ebenfalls VIRUS ALERT

Halli_G · 09.07.2008, 21:27

Sorry. Ich weiß nicht was ich unter deinem Link runterladen soll.

Habe nun auch nochmal combofix laufen lassen.

hier das Logfile.

Code:

ATTFilter

ComboFix 08-07-02.5 - *** 2008-07-09 21:46:33.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.412 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\p2.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\sc
C:\WINDOWS\cookies.ini
C:\WINDOWS\ekld.exe
C:\WINDOWS\system32\aemqnuxc.ini
C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\clbinit.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\FgijkUtv.ini2
C:\WINDOWS\system32\GOnqrBeg.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\sysdm.exe
C:\WINDOWS\system32\vFehPqru.ini2
C:\WINDOWS\system32\vgvktmum.ini
C:\WINDOWS\system32\WENnmnpo.ini
C:\WINDOWS\system32\WENnmnpo.ini2
C:\WINDOWS\system32\wpjpmdaw.ini

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Service_clbdriver


(((((((((((((((((((((((   Dateien erstellt von 2008-06-09 bis 2008-07-09  ))))))))))))))))))))))))))))))
.

2008-07-09 22:07 . 2008-07-09 22:07	294	---hs----	C:\WINDOWS\system32\cyvknavo.ini
2008-07-09 21:34 . 2008-07-09 21:34	89,088	--a------	C:\WINDOWS\system32\ovankvyc.dll
2008-07-09 21:32 . 2008-07-09 21:32	112,256	--a------	C:\WINDOWS\system32\uposdxmw.dll
2008-07-09 21:32 . 2008-07-09 21:32	112,256	--a------	C:\WINDOWS\system32\hqstnc.dll
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-06-28 14:16	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-09 00:02 . 2008-06-28 14:16	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-08 23:44 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-07-08 23:44 . 2008-05-29 09:35	86,528	--a------	C:\WINDOWS\system32\VACFix.exe
2008-07-08 23:44 . 2008-05-18 21:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-07-08 23:44 . 2008-07-02 13:33	82,432	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-07-08 23:44 . 2008-05-23 18:21	81,920	--a------	C:\WINDOWS\system32\404Fix.exe
2008-07-08 23:44 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-07-08 19:12 . 2008-07-09 08:23	88,576	---------	C:\WINDOWS\system32\bmxqsgei.dll
2008-07-03 19:58 . 2008-07-03 19:58	<DIR>	d--------	C:\Programme\CCleaner
2008-07-03 18:54 . 2006-04-27 17:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-07-03 18:54 . 2003-06-05 21:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-07-03 18:54 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-07-03 18:46 . 2008-07-03 18:46	268	--a------	C:\WINDOWS\6.tmp
2008-07-01 23:06 . 2008-07-01 23:06	278	--a------	C:\WINDOWS\3.tmp
2008-06-29 18:08 . 2008-07-03 22:02	0	--a------	C:\WINDOWS\system32\opnmnNEW.dll.$$$
2008-06-29 14:03 . 2008-06-29 14:03	317,696	--a------	C:\WINDOWS\system32\geBrqnOG.dll.bak
2008-06-29 14:02 . 2008-06-29 14:02	278	--a------	C:\WINDOWS\8.tmp
2008-06-28 18:02 . 2008-06-28 18:02	318,720	--a------	C:\WINDOWS\system32\urqPheFv.dll.bak
2008-06-28 17:48 . 2008-07-03 22:02	0	--a------	C:\WINDOWS\system32\khfGwuSi.dll.$$$
2008-06-28 16:44 . 2008-06-28 16:44	318,720	--a------	C:\WINDOWS\system32\vtUkjigF.dll.bak
2008-06-28 15:10 . 2008-06-28 15:10	318,720	--a------	C:\WINDOWS\system32\opnmnNEW.dll.bak
2008-06-28 15:10 . 2008-06-28 15:10	318,720	---------	C:\WINDOWS\system32\opnmnNEW.dll
2008-06-28 15:05 . 2008-06-28 15:05	28,288	---------	C:\WINDOWS\system32\khfGwuSi.dll
2008-06-28 15:05 . 2003-04-02 14:00	4,224	--a------	C:\WINDOWS\system32\beep.sys
2008-06-27 18:15 . 2008-06-27 18:15	278	--a------	C:\WINDOWS\7.tmp
2008-06-17 21:58 . 2008-06-17 21:58	<DIR>	d--------	C:\Programme\Zattoo
2008-06-10 22:00 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 22:00 . 2008-05-08 14:28	202,752	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 17:24	---------	d-----w	C:\Programme\DivX
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2004-10-01 14:00	40,960	----a-w	C:\Programme\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF6C07D6-BC64-4C28-BD3B-D063A6809B18}]
2008-06-28 15:10	318720	---------	C:\WINDOWS\system32\opnmnNEW.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}]
2008-06-28 15:05	28288	---------	C:\WINDOWS\system32\khfGwuSi.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e894d498-4c0c-48b4-a8f8-3c7409e584d6}]
2008-07-09 21:32	112256	--a------	C:\WINDOWS\system32\hqstnc.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16 401491]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" [2004-03-01 15:41 229376]
"BDNewsAgent"="c:\programme\softwin\bitdefender professional edition\bdnagent.exe" [2004-04-20 17:00 4608]
"BDSwitchAgent"="C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe" [2006-03-21 00:38 53248]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-01-06 18:33 131584]
"b8469b5f"="C:\WINDOWS\system32\ovankvyc.dll" [2008-07-09 21:34 89088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16 401491]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}"= "C:\WINDOWS\system32\khfGwuSi.dll" [2008-06-28 15:05 28288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfGwuSi]
2008-06-28 15:05 28288 C:\WINDOWS\system32\khfGwuSi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2007-03-01 11:37 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
--a------ 2005-10-26 17:35 225280 C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-04-21 22:10 335872 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 01:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-05-12 16:01]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-10-15 13:28]
R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-13 23:53]
R2 BBDemon;Backbone Service;"C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service []
R2 FILESpy;FILESpy;C:\Programme\Softwin\BitDefender Professional Edition\filespy.sys [2004-05-07 18:47]
R2 Remote Solver for COSMOSFloWorks 2007;Remote Solver for COSMOSFloWorks 2007;C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe [2007-04-02 12:39]
S2 LogPem;LogPem;"C:\Programme\Gemeinsame Dateien\Microsoft Shared\LoK.exe" [2008-07-09 22:07]
S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 15:58]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 15:58]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 15:58]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 15:58]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS);C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 15:58]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 15:58]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM);C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 15:58]

.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-iconcache - (no file)
MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 22:07:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\WINDOWS\explorer.exe [1772] 0x86066928

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
-> C:\WINDOWS\system32\khfGwuSi.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ovankvyc.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\MATLAB7\bin\win32\MATLAB.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdmcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-09 22:20:47 - machine was rebooted
ComboFix-quarantined-files.txt  2008-07-09 20:20:34

              10 Verzeichnis(se), 101,925,285,888 Bytes frei
              14 Verzeichnis(se), 102,821,261,312 Bytes frei

192	--- E O F ---	2008-06-22 17:58:49

myrtille · 09.07.2008, 22:41

Mein Fehler.

In dem Link war gar kein Link.

Wir machen erstmal mit Folgenden weiter:
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

file::
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\ovankvyc.dll
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\6.tmp
C:\WINDOWS\3.tmp
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\7.tmp
C:\Programme\Uninstall_CDS.exe



registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF6C07D6-BC64-4C28-BD3B-D063A6809B18}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e894d498-4c0c-48b4-a8f8-3c7409e584d6}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfGwuSi]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"b8469b5f"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms (WICHTIG!) und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Erstelle anschließend noch ein Log mit DSS, so gehts dann auch besser:

DSS

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

uwe · 09.07.2008, 23:08

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

Halli_G · 10.07.2008, 19:00

So dann wollen wir mal

.
ich ignoriere mal die Antwort von uwe...

Sorry muss es stückeln.

DSS extra.txt

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) XP 3000+
Percentage of Memory in Use: 46%
Physical Memory (total/avail): 1023.49 MiB / 545.99 MiB
Pagefile Memory (total/avail): 2461.33 MiB / 2093.29 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1915.56 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 149.04 GiB total, 95.67 GiB free.
D: is CDROM (No Media)
E: is CDROM (No Media)
F: is CDROM (UDF)
G: is Fixed (NTFS) - 117.19 GiB total, 24.82 GiB free.
H: is Fixed (NTFS) - 180.9 GiB total, 1.07 GiB free.

\\.\PHYSICALDRIVE1 - SAMSUNG HD321KJ SCSI Disk Device - 298.09 GiB - 2 partitions
\PARTITION0 - Installierbares Dateisystem - 117.19 GiB - G:
\PARTITION1 - Installierbares Dateisystem - 180.9 GiB - H:

\\.\PHYSICALDRIVE0 - ST316002 3AS SCSI Disk Device - 149.05 GiB - 1 partition
\PARTITION0 (bootable) - Installierbares Dateisystem - 149.04 GiB - C:

-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

AntivirusOverride is set.

FW: BitDefender Professional Edition v7.2 v7.2 (Softwin)
AV: BitDefender Professional Edition v7.2 v7.2 (Softwin)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"="C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe:*:Enabled

nlineTV"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"="C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe:*:Enabled

rbixd"
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"="C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe:*:Enabled:CATIA"
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"="G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"="G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Programme\\Zattoo\\Zattoo2.exe"="C:\\Programme\\Zattoo\\Zattoo2.exe:*:Enabled: "

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\*\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=MISTERG
ComSpec=C:\WINDOWS\system32\cmd.exe
COSMOSM=C:\Programme\SolidWorks\COSMOS
DEFAULT_CA_NR=CA8
FP_NO_HOST_CHECK=NO
GEOSTAR_HELP_TYPE=WINHELP
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Martin Hagner
LOGONSERVER=\\MISTERG
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\SolidWorks\COSMOS;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\MATLAB7\bin\win32;C:\Programme\Gemeinsame Dateien\Teleca Shared
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp
USERDOMAIN=MISTERG
USERNAME=Martin Hagner
USERPROFILE=C:\Dokumente und Einstellungen\*
windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

Halli_G · 10.07.2008, 19:01

teil 2 von extra.txt

* (admin)
qNLYPUSF (admin)
Administrator (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3C1B8CBC-9118-11D7-86D3-00055DF3561E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{83021AC3-086F-4B77-ACCD-1BD7C9AB211E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x9
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Reader for Pocket PC 2.0 --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{291A772C-FFB9-4681-B720-AB2A0A620896}
AFPL Ghostscript 8.14 --> C:\gs\uninstgs.exe "C:\gs\gs8.14\uninstal.txt"
AFPL Ghostscript Fonts --> C:\gs\uninstgs.exe "C:\gs\fonts\uninstal.txt"
Anti-Blaxx 1.18 --> "C:\Programme\Anti-Blaxx 1.18\unins000.exe"
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class

ISPLAY -clean
ATI HydraVision --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe"
Bild.de Radio Version 1.03.3 --> C:\Programme\BTORadio\unins000.exe
BitDefender Professional Edition --> MsiExec.exe /I{DF4FBF3F-2BD1-48A6-932B-669ABE354108}
Calculator Powertoy for Windows XP --> MsiExec.exe /I{B37C842A-B624-46B8-A727-654E72F1C91A}
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CorelDRAW Graphics Suite 12 --> MsiExec.exe /I{505AFDC0-5E72-4928-8368-5DEA385E3647}
COSMOSFloWorks 2007 SP04 --> MsiExec.exe /I{E022D717-4894-4954-AF03-1A638D77540E}
COSMOSM 2007 (2007/140) --> MsiExec.exe /I{78B44E27-7C7B-4D35-82F5-4A1F66DF33B8}
COSMOSMotion 2007 SP04 --> MsiExec.exe /I{0E8104A4-EBB0-4352-973E-E3EEDC8A3C38}
COSMOSWorks 2007 SP04 --> MsiExec.exe /I{982A1405-5168-497F-AB8A-E307555FE976}
Creative DVD Audio Plugin for Audigy Series --> "C:\Programme\Creative\CTDPlugin\CTUIDVD.exe " -u
Dassault Systemes Software B17 --> "C:\Programme\Dassault Systemes\B17\intel_a\code\bin\Uninstall.exe" "C:\Programme\Dassault Systemes\B17" "CODE" "GUI" "B17" "0"
DivX Content Uploader --> C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EPSON-Drucker-Software --> C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON CardMonitor --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x7 uninst
EPSON Copy Utility 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\Setup.exe" -l0x7 -UnInstall
EPSON PhotoQuicker3.5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x7 uninst
EPSON PhotoStarter3.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x7 uninst
EPSON PRINT Image Framer Tool2.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
EPSON Scan --> C:\Programme\epson\escndv\setup\setup.exe /r
EPSON Smart Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x7 Uninstall
EPSON Web-To-Page --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything
ESPRX420 Ref. Handbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\REF_G\DOCUNINS.EXE
ESPRX420 Softwarehandbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\PQU_G\DOCUNINS.EXE
FreePDF XP (Remove only) --> C:\Programme\FreePDF_XP\fpsetup.exe /r
FreeRIP v3.00 --> "C:\Programme\FreeRIP3\unins000.exe"
HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Hijack\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB919880) --> "C:\WINDOWS\$NtUninstallKB919880$\spuninst\spuninst.exe"
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
ICQ Toolbar --> regsvr32 /u /s "C:\Programme\ICQToolbar\toolbaru.dll"
InterVideo WinDVD 5 --> "C:\Programme\InstallShield Installation Information\{1B399A41-C1D0-40A2-9E4F-095868EFAF01}\setup.exe" REMOVEALL
J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
J2SE Runtime Environment 5.0 Update 9 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090}
Java 2 Runtime Environment, SE v1.4.2_05 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142050}
Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
LinkOptimizer --> "C:\Programme\Internet Explorer\iexplore.exe" "http://notetol.com/uninstall.php"
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver --> MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
MATLAB Family of Products Release 14 --> C:\Programme\MATLAB7\uninstall\uninstall.exe C:\Programme\MATLAB7\
Megaupload Toolbar --> C:\Programme\MegauploadToolbar\uninstall.exe
Microsoft ActiveSync 3.7 --> "C:\WINDOWS\ISUN0407.EXE" -f"C:\Programme\Microsoft ActiveSync\DeIsL1.isu" -c"C:\Programme\Microsoft ActiveSync\ceuninst.dll"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007 --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007 --> MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007 --> MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007 --> MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007 --> MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Need for Speed™ Most Wanted --> C:\Programme\EA GAMES\Need for Speed Most Wanted\EAUninstall.exe
Nero 7 Premium --> MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
NETGEAR WG311T Wireless Adapter --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{FC321AD2-48B4-4013-B997-A65D5FBBD006}
NVIDIA nForce Drivers --> C:\WINDOWS\System32\NVUninst.exe Uninstall C:\WINDOWS\System32\NVU001.nvu,NVIDIA nForce Drivers
Phonostar eBay-Icon 1.0.000 --> C:\WINDOWS\uninstall\Phonostar eBay-Icon\setup.exe
PIF DESIGNER2.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7BD0A2D8-4EA0-43C6-BDF8-DDA87B8031C6}\SETUP.EXE" -l0x7 anything
RedMon - Redirection Port Monitor --> C:\WINDOWS\system32\unredmon.exe
Remove Vista Customization Pack v3 --> c:\windows\vcp_save\runme.bat
S.T.A.L.K.E.R. - Shadow of Chernobyl --> "G:\S.T.A.L.K.E.R. - Shadow of Chernobyl\unins000.exe"
ScanToWeb --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\SETUP.EXE" ADDREMOVEDLG
Sentinel System Driver --> C:\WINDOWS\SYSTEM32\RNBOSENT\SETUPX86.EXE /U /q
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567) --> "C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922760) --> "C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123) --> "C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894) --> "C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
SolidWorks 2007-2008 Student Edition --> MsiExec.exe /X{74A08690-5E48-4418-9BCD-46722F6E9035}
Sony Ericsson PC Suite --> MsiExec.exe /I{FC906D5C-91F9-4DA4-A765-6DCBB669F317}
SpeechRedist --> MsiExec.exe /X{8795CBED-55E2-4693-9F14-84EC446935BE}
StrongestPaladin --> "C:\Programme\Internet Explorer\iexplore.exe" "http://notetol.com/uninstall.php"
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942) --> "C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB929338) --> "C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB932823-v3) --> "C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Update für Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.2 --> C:\Programme\VideoLAN\VLC\uninstall.exe
Virtual Cable Tester --> MsiExec.exe /X{3D654496-9C3D-4565-858C-3E551ECDA4E2}
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe
Yahoo! Toolbar mit Pop-Up-Blocker --> C:\PROGRA~1\Yahoo!\Common\unyt.exe
Zattoo 3.2.1 Beta --> C:\Programme\Zattoo\uninst.exe
------------

Halli_G · 10.07.2008, 19:02

teil 3 von extra.txt

-- Application Event Log -------------------------------------------------------

Event Record #/Type18062 / Error
Event Submitted/Written: 07/10/2008 07:42:59 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung wlancfg5.exe, Version 4.2.18.30601, fehlgeschlagenes Modul wcapi.dll, Version 4.1.0.161, Fehleradresse 0x0000dd60.
Das medienspezifische Ereignis für [wlancfg5.exe!ws!] wird verarbeitet.

Event Record #/Type18000 / Error
Event Submitted/Written: 07/07/2008 08:18:18 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16674, fehlgeschlagenes Modul urlmon.dll, Version 7.0.6000.16674, Fehleradresse 0x00020b5a.
Das medienspezifische Ereignis für [iexplore.exe!ws!] wird verarbeitet.

Event Record #/Type17973 / Error
Event Submitted/Written: 07/03/2008 07:51:58 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16674, fehlgeschlagenes Modul urlmon.dll, Version 7.0.6000.16674, Fehleradresse 0x00020b5a.
Das medienspezifische Ereignis für [iexplore.exe!ws!] wird verarbeitet.

Event Record #/Type17935 / Error
Event Submitted/Written: 07/01/2008 11:12:31 PM
Event ID/Source: 1 / MBAMService
Event Description:
MBAMServiceWin32 Error: StartServiceCtrlDispatcher failed with error 427 (1063)

Event Record #/Type17919 / Error
Event Submitted/Written: 07/01/2008 10:40:43 PM
Event ID/Source: 0 / matlabserver
Event Description:
matlabserver error: 0Engine wait timeout 180 reached for instance 0.

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type48894 / Error
Event Submitted/Written: 07/10/2008 07:42:53 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48863 / Error
Event Submitted/Written: 07/10/2008 07:30:25 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48834 / Error
Event Submitted/Written: 07/10/2008 07:09:31 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48794 / Error
Event Submitted/Written: 07/09/2008 10:07:07 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48757 / Error
Event Submitted/Written: 07/09/2008 09:31:38 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

-- End of Deckard's System Scanner: finished at 2008-07-10 19:50:29

und compofix.txt

ComboFix 08-07-02.5 - * 2008-07-10 19:17:43.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.285 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*\Desktop\p2.exe
Command switches used :: C:\Dokumente und Einstellungen\*\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\Programme\Uninstall_CDS.exe
C:\WINDOWS\3.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\ovankvyc.dll
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\WS2Fix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Uninstall_CDS.exe
C:\WINDOWS\3.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\lRBHRqss.ini
C:\WINDOWS\system32\lRBHRqss.ini2
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\ssqRHBRl.dll
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\xfkvlntg.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2008-07-09 22:33 . 2008-07-09 22:33 89,088 --a------ C:\WINDOWS\system32\gtnlvkfx.dll
2008-07-09 22:31 . 2008-07-09 22:31 112,256 --a------ C:\WINDOWS\system32\yuecuuuw.dll
2008-07-09 22:31 . 2008-07-09 22:31 112,256 --a------ C:\WINDOWS\system32\xbgxdg.dll
2008-07-09 00:02 . 2008-07-09 00:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-09 00:02 . 2008-07-09 00:02 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Hagner\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-07-09 00:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-09 00:02 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-08 23:44 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-07-03 19:58 . 2008-07-03 19:58 <DIR> d-------- C:\Programme\CCleaner
2008-07-03 18:54 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-17 21:58 . 2008-06-17 21:58 <DIR> d-------- C:\Programme\Zattoo
2008-06-10 22:00 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 22:00 . 2008-05-08 14:28 202,752 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 17:24 --------- d-----w C:\Programme\DivX
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2006-04-04 08:54 456,768 ----a-w C:\WINDOWS\inf\WG311T\WG311T13.sys
2006-04-04 08:54 35,232 ----a-w C:\WINDOWS\inf\WG311T\ME_INST.EXE
2006-04-04 08:54 26,112 ----a-w C:\WINDOWS\inf\WG311T\install.exe
.

Halli_G · 10.07.2008, 19:04

und zum schluss DSS main.txt

Code:

ATTFilter

Deckard's System Scanner v20071014.68
Run by Martin Hagner on 2008-07-10 19:47:55
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
37: 2008-07-10 17:47:59 UTC - RP64 - Deckard's System Scanner Restore Point
36: 2008-07-10 17:33:23 UTC - RP63 - Software Distribution Service 3.0
35: 2008-07-10 17:16:54 UTC - RP62 - ComboFix created restore point
34: 2008-07-09 20:30:51 UTC - RP61 - Last known good configuration
33: 2008-07-09 20:30:46 UTC - RP60 - ComboFix created restore point


-- First Restore Point -- 
1: 2008-07-09 20:30:45 UTC - RP28 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as .exe) ---------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:49, on 2008-07-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\*\Desktop\dss.exe
C:\DOKUME~1\MARTIN~1\EIGENE~1\DOWNLO~1\Hijack\*.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: {704ab892-2af5-832b-2fb4-ceffdeeee0f6} - {6f0eeeed-ffec-4bf2-b238-5fa2298ba407} - C:\WINDOWS\system32\xbgxdg.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender professional edition\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6576 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - c:\windows\system32\drivers\sfsync02.sys <Not Verified; Protection Technology; StarForce Protection System>
R1 LUMDriver - c:\windows\system32\drivers\lumdriver.sys <Not Verified; IBM; LUM application>
R2 AegisP (AEGIS Protocol (IEEE 802.1x) v3.2.0.3) - c:\windows\system32\drivers\aegisp.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 3.2.0.3>
R2 FILESpy - c:\programme\softwin\bitdefender professional edition\filespy.sys
R2 REGSpy - c:\programme\softwin\bitdefender professional edition\regspy.sys
R2 Sentinel - c:\windows\system32\drivers\sentinel.sys
R3 AR5211 (NETGEAR WG311T V1H3 Wireless Adapter Service) - c:\windows\system32\drivers\wg311t13.sys <Not Verified; Atheros Communications, Inc.; Atheros AR5001 Wireless Network Adapter>

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)
S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)
S3 catchme - c:\p2\catchme.sys (file missing)
S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 ACS (Atheros Configuration Service) - c:\windows\system32\acs.exe
R2 BBDemon (Backbone Service) - "c:\programme\dassault systemes\b17\intel_a\code\bin\catsysdemon.exe" -service <Not Verified; Dassault Systemes; Dassault Systemes Product>
R2 matlabserver (MATLAB Server) - c:\programme\matlab7\webserver\bin\win32\matlabserver.exe
R2 Remote Solver for COSMOSFloWorks 2007 - c:\programme\solidworks\cosmos\floworks\bincfw\standaloneslv.exe <Not Verified; ; StandAloneSlv Module>

S2 LogPem - "c:\programme\gemeinsame dateien\microsoft shared\yzyq.exe"
S3 SolidWorks Licensing Service - "c:\programme\gemeinsame dateien\solidworks shared\service\solidworkslicensing.exe" <Not Verified; SolidWorks; SolidWorks Licensing Service>
S4 NMIndexingService - "c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe" (file missing)


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: NVIDIA nForce MCP Networking Controller
Device ID: PCI\VEN_10DE&DEV_0066&SUBSYS_80A71043&REV_A1\3&13C0B0C5&0&20
Manufacturer: Nvidia
Name: NVIDIA nForce MCP Networking Controller
PNP Device ID: PCI\VEN_10DE&DEV_0066&SUBSYS_80A71043&REV_A1\3&13C0B0C5&0&20
Service: NVENET

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45
Device ID: PCI\VEN_11AB&DEV_4320&SUBSYS_811A1043&REV_13\4&3B1D9AB8&0&2040
Manufacturer: Marvell
Name: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45
PNP Device ID: PCI\VEN_11AB&DEV_4320&SUBSYS_811A1043&REV_13\4&3B1D9AB8&0&2040
Service: yukonwxp


-- Files created between 2008-06-10 and 2008-07-10 -----------------------------

2008-07-10 19:28:03     53248 --a------ C:\WINDOWS\PSEXESVC.EXE <Not Verified; Sysinternals; Sysinternals PsExec>
2008-07-10 19:16:23         0 d-------- C:\p2
2008-07-09 22:33:35     89088 --a------ C:\WINDOWS\system32\gtnlvkfx.dll
2008-07-09 22:31:19    112256 --a------ C:\WINDOWS\system32\yuecuuuw.dll
2008-07-09 22:31:19    112256 --a------ C:\WINDOWS\system32\xbgxdg.dll
2008-07-09 21:43:59     68096 --a------ C:\WINDOWS\zip.exe
2008-07-09 21:43:59     49152 --a------ C:\WINDOWS\VFind.exe
2008-07-09 21:43:59    212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-07-09 21:43:59    136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-07-09 21:43:59    161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-07-09 21:43:59     98816 --a------ C:\WINDOWS\sed.exe
2008-07-09 21:43:59     80412 --a------ C:\WINDOWS\grep.exe
2008-07-09 21:43:59     89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-07-09 00:02:45         0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-08 23:44:26    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-07-03 19:58:54         0 d-------- C:\Programme\CCleaner
2008-07-03 18:54:46     51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-28 15:10:23  10747904 --a------ C:\Dokumente und Einstellungen\*\ntuser.dat
2008-06-17 21:58:38         0 d-------- C:\Programme\Zattoo


-- Find3M Report ---------------------------------------------------------------

2008-07-09 00:02:50         0 d-------- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Malwarebytes
2008-07-08 23:48:17      2178 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-08 19:24:45         0 d-------- C:\Programme\DivX
2008-06-18 23:22:58         0 d-------- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
2008-05-18 21:15:43         0 d-------- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Adobe
2008-04-11 19:22:58    414766 --a------ C:\WINDOWS\system32\perfh007.dat
2008-04-11 19:22:58     73508 --a------ C:\WINDOWS\system32\perfc007.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6f0eeeed-ffec-4bf2-b238-5fa2298ba407}]
2008-07-09 22:31	112256	--a------	C:\WINDOWS\system32\xbgxdg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" [2004-03-01 15:41]
"BDNewsAgent"="c:\programme\softwin\bitdefender professional edition\bdnagent.exe" [2004-04-20 17:00]
"BDSwitchAgent"="C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe" [2006-03-21 00:38]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-01-06 18:33]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
NETGEAR WG311T Smart Wizard.lnk - C:\Programme\NETGEAR\WG311T\wlancfg5.exe [2006-05-18 11:40:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions




-- End of Deckard's System Scanner: finished at 2008-07-10 19:50:29 ------------

myrtille · 10.07.2008, 19:45

Hi,
schnelle Frage:
kennst du dieses Benutzerkonto:

Zitat:

qNLYPUSF (admin)

Editier bitte noch deinen Namen aus den Logs raus.

lg myrtille

Halli_G · 10.07.2008, 23:13

Nein. kenne ich nicht. Ich habe keine Benutzerkontos, außer mein eigenes und Administrator, das ja glaube ich bei XP Pro immer mit dabei ist.
Sorry wollte ich machen, habe wahrscheinlich nicht alle erwischt, kann ich die im nachhinein noch irgendwie rauskriegen?

myrtille · 11.07.2008, 08:42

Hi,
ich werd mal einen Admin benachrichtigen... der sollte das können.

Könntest du bitte nochmal das Combofixlog posten, es ist unvollständig.
Ich informier mich derweil, was wir mit dem Konto anstellen können.

lg myrtille

Halli_G · 11.07.2008, 22:17

Hier der Logfile.

Code:

ATTFilter

ComboFix 08-07-02.5 - * 2008-07-11 22:58:24.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.455 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*\Desktop\p2.exe
Command switches used :: C:\Dokumente und Einstellungen\*\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\Programme\Uninstall_CDS.exe
C:\WINDOWS\3.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\ovankvyc.dll
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\WS2Fix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Programme\Uninstall_CDS.exe
C:\WINDOWS\3.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\lRBHRqss.ini
C:\WINDOWS\system32\lRBHRqss.ini2
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\ssqRHBRl.dll
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\xfkvlntg.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-06-11 bis 2008-07-11  ))))))))))))))))))))))))))))))
.

2008-07-10 19:47 . 2008-07-10 19:47	<DIR>	d--------	C:\Deckard
2008-07-09 22:33 . 2008-07-09 22:33	89,088	--a------	C:\WINDOWS\system32\gtnlvkfx.dll
2008-07-09 22:31 . 2008-07-09 22:31	112,256	--a------	C:\WINDOWS\system32\yuecuuuw.dll
2008-07-09 22:31 . 2008-07-09 22:31	112,256	--a------	C:\WINDOWS\system32\xbgxdg.dll
2008-07-09 22:12 . 2006-08-16 13:58	100,352	-----c---	C:\WINDOWS\system32\dllcache\6to4svc.dll
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Dokumente und Einstellungen\*\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-06-28 14:16	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-09 00:02 . 2008-06-28 14:16	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-08 23:44 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-07-03 19:58 . 2008-07-03 19:58	<DIR>	d--------	C:\Programme\CCleaner
2008-07-03 18:54 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-06-20 19:39 . 2008-06-20 19:39	247,296	-----c---	C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44	138,368	-----c---	C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:52 . 2008-06-20 11:52	225,920	-----c---	C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-17 21:58 . 2008-06-17 21:58	<DIR>	d--------	C:\Programme\Zattoo

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 21:48	2,178	----a-w	C:\WINDOWS\system32\tmp.reg
2008-07-08 17:24	---------	d-----w	C:\Programme\DivX
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-05-07 05:14	1,293,312	----a-w	C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2006-04-04 08:54	456,768	----a-w	C:\WINDOWS\inf\WG311T\WG311T13.sys
2006-04-04 08:54	35,232	----a-w	C:\WINDOWS\inf\WG311T\ME_INST.EXE
2006-04-04 08:54	26,112	----a-w	C:\WINDOWS\inf\WG311T\install.exe
.

(((((((((((((((((((((((((((((   snapshot@2008-07-09_22.17.39.90   )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-08-16 12:13:36	100,352	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\6to4svc.dll
+ 2008-06-20 10:44:08	138,368	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\afd.sys
+ 2008-06-20 17:36:12	147,968	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\dnsapi.dll
+ 2008-06-20 17:36:12	247,296	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\mswsock.dll
+ 2008-06-20 10:44:42	360,960	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\tcpip.sys
+ 2008-06-20 09:32:39	225,920	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\tcpip6.sys
+ 2008-06-20 11:40:08	138,496	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\afd.sys
+ 2008-06-20 17:46:10	147,968	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\dnsapi.dll
+ 2008-06-20 17:46:10	247,296	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\mswsock.dll
+ 2008-06-20 11:51:12	361,600	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys
+ 2008-06-20 11:08:27	225,856	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip6.sys
+ 2008-06-20 11:48:03	138,496	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys
+ 2008-06-20 17:43:49	147,968	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\dnsapi.dll
+ 2008-06-20 17:43:49	247,296	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\mswsock.dll
+ 2008-06-20 11:59:02	361,600	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
+ 2008-06-20 11:16:44	225,856	----a-w	C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip6.sys
+ 2007-11-30 12:39:14	18,808	----a-w	C:\WINDOWS\$hf_mig$\KB951748\spmsg.dll
+ 2007-11-30 12:39:14	234,872	----a-w	C:\WINDOWS\$hf_mig$\KB951748\spuninst.exe
+ 2007-11-30 12:39:14	26,488	----a-w	C:\WINDOWS\$hf_mig$\KB951748\update\spcustom.dll
+ 2007-11-30 12:39:08	765,304	----a-w	C:\WINDOWS\$hf_mig$\KB951748\update\update.exe
+ 2007-11-30 12:39:08	388,984	----a-w	C:\WINDOWS\$hf_mig$\KB951748\update\updspapi.dll
- 2008-07-09 20:06:49	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-07-11 20:53:19	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
- 2008-07-09 19:46:19	16,384	----a-w	C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-11 21:07:01	16,384	----a-w	C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-09 19:46:19	32,768	----a-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-11 21:07:01	32,768	--sha-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-09 19:46:19	32,768	----a-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-11 21:07:01	32,768	----a-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-02-20 05:33:54	148,992	-c----w	C:\WINDOWS\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:39:48	148,992	-c--a-w	C:\WINDOWS\system32\dllcache\dnsapi.dll
- 2007-10-30 17:20:55	360,064	-c----w	C:\WINDOWS\system32\dllcache\tcpip.sys
+ 2008-06-20 10:45:13	360,320	-c--a-w	C:\WINDOWS\system32\dllcache\tcpip.sys
- 2008-02-20 05:33:54	148,992	----a-w	C:\WINDOWS\system32\dnsapi.dll
+ 2008-06-20 17:39:48	148,992	----a-w	C:\WINDOWS\system32\dnsapi.dll
- 2008-05-29 23:35:11	17,486,968	----a-w	C:\WINDOWS\system32\MRT.exe
+ 2008-06-25 16:15:46	17,972,344	----a-w	C:\WINDOWS\system32\MRT.exe
- 2007-11-30 11:18:34	18,808	------w	C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:14	18,808	------w	C:\WINDOWS\system32\spmsg.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6f0eeeed-ffec-4bf2-b238-5fa2298ba407}]
2008-07-09 22:31	112256	--a------	C:\WINDOWS\system32\xbgxdg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16 401491]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" [2004-03-01 15:41 229376]
"BDNewsAgent"="c:\programme\softwin\bitdefender professional edition\bdnagent.exe" [2004-04-20 17:00 4608]
"BDSwitchAgent"="C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe" [2006-03-21 00:38 53248]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-01-06 18:33 131584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16 401491]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
NETGEAR WG311T Smart Wizard.lnk - C:\Programme\NETGEAR\WG311T\wlancfg5.exe [2006-05-18 11:40:18 1499136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2007-03-01 11:37 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
--a------ 2005-10-26 17:35 225280 C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-04-21 22:10 335872 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 01:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-05-12 16:01]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-10-15 13:28]
R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-13 23:53]
R2 BBDemon;Backbone Service;"C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service []
R2 FILESpy;FILESpy;C:\Programme\Softwin\BitDefender Professional Edition\filespy.sys [2004-05-07 18:47]
R2 Remote Solver for COSMOSFloWorks 2007;Remote Solver for COSMOSFloWorks 2007;C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe [2007-04-02 12:39]
S2 LogPem;LogPem;"C:\Programme\Gemeinsame Dateien\Microsoft Shared\SJV.exe" [2008-07-11 22:53]
S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 15:58]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 15:58]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 15:58]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 15:58]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS);C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 15:58]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 15:58]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM);C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 15:58]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 23:09:21
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

C:\WINDOWS\system32\rundll32.exe [208] 0x8605ABE8

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  *joj = rundll32 \\?\C:\WINDOWS\clock$.gsa,zqdedfmggplphcheiww 

Scanne versteckte Dateien...


C:\WINDOWS\xwqrg1.dll 92831 bytes executable
C:\WINDOWS\clock$.gsa 129487 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-07-11 23:15:11
ComboFix-quarantined-files.txt  2008-07-11 21:14:59
ComboFix2.txt  2008-07-09 20:20:50

              11 Verzeichnis(se), 101,901,520,896 Bytes frei
              15 Verzeichnis(se), 102,566,199,296 Bytes frei

245	--- E O F ---	2008-07-10 22:50:53

myrtille · 11.07.2008, 23:33

Hi,
das Log bestätigt, was ich schon befürchtet hatte.
Dein Rechner ist mit einem sehr fiesen Rootkit infiziert ist.

Wir können eine Bereinigung versuchen, allerdings ist die einzige sichere Variante das Neuaufsetzen des Systems.

Lass mich wissen wie du dich entscheidest. Wenn du eine Bereinigung versuchen willst, bräuchte ich noch ein Log von gmer:

Das ist ein Scan auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

lg myrtille

Halli_G · 12.07.2008, 08:16

Ok. das hört sich mal nicht gut an...
Hilft ja alles nichts. Wenn ich die Bereinigung versuche, ist dann mein Rechner auch wirklich bereinigt, oder ist deiner Meinung nach ein Neuaufsetzten gescheiter?
ich probiere heute Abend die Bereinigung mal, denke ich.

Danke für deine Hilfe.

myrtille · 12.07.2008, 10:22

Hi,

das Neuaufsetzen ist auf jedenfall sauber, danach sollte der Rechner sicher sauber sein.
Bei einer Bereinigung besteht die Gefahr, dass wir auch weiterhin nicht alles von dem Befall sehen und er letzendlich den Bereinigungsversuch überlebt und deinen Rechner weiterhin missbraucht.

Darf ich fragen in welchem Land du dich derzeit befindest?

(reine Neugier, das hat auf die Bereinigung keine Auswirkung)

lg myrtille

Halli_G · 12.07.2008, 14:08

Wie in welchem Land? Schland natürlich.
Ja ok. dann schaue ich mal das ich meine Daten schön sicher und setzte in demnächst neu auf.
Soll ich danach nochmal irgendwas durchlaufen lassen und die Logs posten?

danke dir trotzdem soweit. hat ja fast geklappt.

ebenfalls VIRUS ALERT

Plagegeister aller Art und deren Bekämpfung: ebenfalls VIRUS ALERT