Keylogger

Sep_Michi · 30.10.2008, 20:31

und hier info

Zitat:

info.txt logfile of random's system information tool 1.04 2008-10-30 20:22:56

======Uninstall list======

-->MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
-->MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
3D Button Creator Gold-->C:\WINDOWS\unvise32.exe D:\Programme\3D Button Creator Gold\uninstal.log
3dsmax ancillary install-->MsiExec.exe /I{7C8B5E63-821A-4DFB-BDFA-19854D88EC5C}
7-Zip 4.57-->"D:\Programme\7-Zip\Uninstall.exe"
Adobe Acrobat 6.0 Professional - English, Français, Deutsch-->MsiExec.exe /I{AC76BA86-1033-F400-7760-000000000001}
Adobe After Effects 6.0-->MsiExec.exe /I{1EC60864-A294-44BF-984A-3E8867D74EA2}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5102}
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7
Adobe Premiere Elements 4.0-->msiexec /I {3E2C691B-B7E6-4053-B5C3-94B8BC407E7A}
Adobe Premiere Elements 4.0-->MsiExec.exe /I{3E2C691B-B7E6-4053-B5C3-94B8BC407E7A}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Apple Mobile Device Support-->MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x444e
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class

ISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Audition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9DB52C99-EC51-4173-93C5-298769170CB0}\setup.exe" -l0x7 -removeonly
Autodesk 3ds Max 9 32-bit-->MsiExec.exe /I{E96D4088-AAC5-437F-9E39-EC0E387897B4}
Autodesk DWF Viewer 7-->MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057}
AUTODESK MAYA V8.5-->D:\Programme\AUTODESK MAYA V8.5\uninstall.exe
AutoIt v3.2.10.0-->D:\Programme\AutoIt3\Uninstall.exe
Avanquest update-->C:\Programme\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\Setup.exe -runfromtemp -l0x0007 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AVIVO Codecs-->MsiExec.exe /X{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}
Backburner-->MsiExec.exe /I{3D347E6D-5A03-4342-B5BA-6A771885F379}
BPM-Studio 4 Demo-->MsiExec.exe /X{9CCB8F6D-33FC-4E79-8616-7BE5DF32A955}
BrainWave Generator-->C:\WINDOWS\IsUninst.exe -f"D:\Programme\BrainWave Generator\Uninst.isu"
Camtasia Studio 5-->MsiExec.exe /I{A5049F43-18B8-4984-9B98-FE701B0D2526}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Client Hack 1.9.2d-->C:\WINDOWS\iun6002.exe "D:\Games\World of Warcraft 1.9\irunin.ini"
Corel Paint Shop Pro Photo X2-->MsiExec.exe /X{64E72FB1-2343-4977-B4A8-262CD53D0BD3}
DiscJuggler-->D:\Programme\Padus\DiscJuggler\Uninstall.exe
DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DyynoPlayer 0.8.6e-->C:\Programme\Dyyno\Dyyno Player\uninstall.exe
Easy MP3 Sound Recorder version 3.11-->"D:\Programme\SoundRecorder\unins000.exe"
EuropeMapleStory-->MsiExec.exe /I{D17D8B97-F937-432F-88BD-382727D34441}
FBX Plugin 2006.08 for Max 9.0-->C:\Programme\Autodesk\FBX\FbxPlugins\2006.08\Max90\Uninstall.exe
FBX Plugin 2006.11.1 for Max 2008-->C:\Programme\Autodesk\FBX\FbxPlugins\2006.11.1\Max2008\Uninstall.exe
Firebird SQL Server - MAGIX Edition-->D:\Programme\MAGIX\Common\Database\unwise.exe
Fraps (remove only)-->"D:\Programme\Fraps\uninstall.exe"
Free Games Offer, Desktop Shortcut-->MsiExec.exe /X{31DABA20-10A1-4746-9D9F-57955B8DFF66}
Game Cam (Registered) v1.4.0.5-->MsiExec.exe /I{EBE7050B-7988-4BC3-BBFD-5C6828859483}
Glitchys MES 2.6-->"D:\Games\WoW-Modding Pack\Glitchy's Model Editing Suite\unins000.exe"
Google SketchUp 6-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{98736A65-3C79-49EC-B7E9-A3C77774B0E6}\setup.exe" -l0x7 -removeonly
Google SketchUp 6-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B3D8B2F8-3C2C-45BC-933E-8B60E78F6684}\setup.exe" -l0x7 -removeonly
Grand Theft Auto San Andreas-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{086BADF8-9B1F-4E89-B207-2EDA520972D6}\setup.exe" -l0x7 -removeonly
Half-Life 2: Deathmatch-->"D:\Games\Steam\steam.exe" steam://uninstall/320
Half-Life 2: Lost Coast-->"D:\Games\Steam\steam.exe" steam://uninstall/340
Hamachi 1.0.2.5-->D:\Programme\Hamachi\uninstall.exe
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
iTunes-->MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
Java 3D 1.5.0-->MsiExec.exe /X{32A9C5B3-D166-4C6D-A11E-A54473150000}
Java 3D 1.5.1-->MsiExec.exe /X{32A9C5B3-D166-4C6D-A11E-A54473151000}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
JMB36X Raid Configurer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x7 -removeonly
Joe-->MsiExec.exe /X{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}
Joost (tm) Beta 1.0.8-->C:\Programme\Joost\uninst.exe
Linren Sound Recorder-->D:\PROGRA~1\LINREN~1\UNWISE.EXE D:\PROGRA~1\LINREN~1\INSTALL.LOG
MAGIX Music Maker 2008 Producer Edition Trial 13.0.1.11 (D)-->D:\Programme\MAGIX\MusicMaker2008PEDownloadVersion\unwise.exe
MAGIX Music Maker Techno Edition 2 4.0.0.10 (D)-->D:\Programme\MAGIX\MusicMakerTechnoEdition2\instslct.exe
MAGIX Screenshare 4.3.6.1987 (D)-->D:\Programme\MAGIX\PCVisit\unwise.exe
Mangos 2.4.1 Server v3.0-->F:\WoW Server\uninstall.exe
Marvell Miniport Driver-->MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
MediaCoder 0.6.1-->C:\Programme\MediaCoder\uninst.exe
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{9309DD7E-EBFE-3C95-8B47-30D3A012F606}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft .NET Framework 3.5 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack - deu-->MsiExec.exe /I{1545207E-C6F3-31D7-9918-BDBB65075FBF}
Microsoft .NET Framework 3.5-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5\setup.exe
Microsoft .NET Framework 3.5-->MsiExec.exe /I{2FC099BD-AC9B-33EB-809C-D332E1B27C40}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)-->MsiExec.exe /X{E09B48B5-E141-427A-AB0C-D3605127224A}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (3.0.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MP3 Recorder Studio 5.9-->"D:\Programme\MP3 Recorder Studio\unins000.exe"
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
MyPhoneExplorer-->D:\Programme\MyPhoneExplorer\uninstall.exe
Nero 6 AudioPlugins-->MsiExec.exe /X{E65E137D-F81C-4F7E-9C61-DB618D72DD7A}
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nero 6 VideoPlugins-->MsiExec.exe /X{B45F8388-9D26-438D-8C68-3F4E2FA0B577}
NeroVision Express 2-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
NeroVision Express Plugins-->MsiExec.exe /X{05D6AEBA-03FA-492E-9B10-412E4FF0E742}
NetLimiter 2 Pro (remove only)-->"D:\Programme\NetLimiter 2 Pro\nl2uninst.exe"
ObjectDock-->C:\PROGRA~1\Stardock\OBJECT~1\UNWISE.EXE C:\PROGRA~1\Stardock\OBJECT~1\INSTALL.LOG
OpenGL Extensions Viewer 3.0-->"D:\Programme\realtech VR\OpenGL Extensions Viewer 3.0\uninst.exe"
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
Opera 9.26-->MsiExec.exe /X{FB706A00-C234-4716-AB1F-27DCB192C664}
PC Inspector File Recovery-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe" -l0x7
PC Inspector smart recovery-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C9A87D86-FDFD-418B-BF96-EF09320973B3}\Setup.exe" -l0x7
Phun beta 3.5-->"D:\Programme\Phun\unins000.exe"
PremiumSoft Navicat MySQL 7.2-->"D:\Programme\PremiumSoft\Navicat MySQL\unins000.exe"
QuickTime-->MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
Remove Vista Customization Pack v3-->c:\windows\vcp_save\runme.bat
RollerCoaster Tycoon® 3-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x9
save2pc Light 3.25-->"D:\Programme\FDRLab\save2pc\unins000.exe"
save2pc Pro 3.31-->"D:\Programme\FDRLab\save2pc\unins001.exe"
Sony Ericsson Media Manager 1.0-->MsiExec.exe /X{5C72622B-643D-4296-B57D-5D53D0C68509}
Sony Ericsson PC Suite 3.209.00-->C:\Programme\InstallShield Installation Information\{2FFE93F0-BB72-4E52-8761-354D1AAA9387}\Setup.exe -runfromtemp -l0x0007 -removeonly
Sony Media Manager 2.2-->MsiExec.exe /X{C9E129BC-27D3-436E-BAAC-4CE81E0962F1}
Sony Vegas 7.0-->MsiExec.exe /X{96965E6C-41DB-4E0A-BC65-D92381D51D2A}
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7 -removeonly
SPORE™ Labor Basisversion-->"C:\Programme\InstallShield Installation Information\{ECEE0279-785F-4CB3-9F28-E69813234BF8}\setup.exe" -runfromtemp -l0x0007 -removeonly
Spybot - Search & Destroy 1.3-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Spyware Doctor 6.0-->C:\Programme\Spyware Doctor\unins000.exe /LOG
SPYWAREfighter-->"C:\Programme\Fighters\spywarefighter\Uninstall.exe" Remove
SPYWAREfighter-->MsiExec.exe /I{B940005A-1212-4E87-885B-1FF80B40D6F4}
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
StepMania (remove only)-->"D:\Games\StepMania\uninstall.exe"
SUPER © Version 2008.bld.33 (Sep 2, 2008)-->D:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
SWFPlayer-->D:\Programme\SWFPlayer\unins000.exe
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Text-To-Speech-Runtime-->MsiExec.exe /X{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}
Tortun 0.8-->"C:\Programme\Tortun\unins000.exe"
TuneUp Utilities 2004-->MsiExec.exe /I{2C3738C9-56FA-410A-BCB5-79C5DFD238F0}
Universal Extractor 1.5-->"D:\Programme\Universal Extractor\unins000.exe"
VideoLAN VLC media player 0.8.6i-->D:\Programme\VideoLAN\VLC\uninstall.exe
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_87B606860B720724BEB5DCEB69E8628A61DE0A7E\amdk8.inf
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
World of Warcraft Public Test-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\Burning Crusade-PTR\Uninstall.exe
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT (2)\Uninstall.exe
Wrath of the Lich King - Alpha-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT (2)\Uninstall.exe
Wrath of the Lich King-Beta-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\Wrath of the Lich King\Uninstall.exe
XAMPP 1.6.1-->"D:\xampp\uninstall.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
ZU-ONLINE-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D619E865-AE93-4785-BB20-F3072CE4E8C5}\setup.exe" -l0x9 -removeonly

=====HijackThis Backups=====

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/index.php?rvs=hompag
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKCU\..\Run: [StartXChar] C:\Programme\Xchar\Xchar Faces Client\Profiler.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Administrator\OctoshapeClient.exe" -inv:bootrun
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp2004\WinStylerThemeSvc.exe

======Security center information======

AV: Avira AntiVir PersonalEdition
FW: Norton Internet Worm Protection (disabled)

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Microsoft SQL Server\80\Tools\Binn\;C:\Programme\Gemeinsame Dateien\Adobe\AGL;C:\Programme\Gemeinsame Dateien\Autodesk Shared\;D:\Programme\Universal Extractor\bin;D:\Programme\QuickTime\QTSystem\;D:\Programme\Autodesk\Backburner\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=4303
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip

-----------------EOF-----------------

schrauber · 30.10.2008, 20:34

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

und wenn du das nächste mal code-tags statt quote-tags nimmst, wird auch der post kürzer

.

Sep_Michi · 30.10.2008, 22:28

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1340
Windows 5.1.2600 Service Pack 2

30.10.2008 22:25:58
mbam-log-2008-10-30 (22-25-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 217259
Laufzeit: 1 hour(s), 46 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.

so das ist bei Malwarebytes' Anti-Malware rausgekommen ...

Online Kaspersky geht bei mir nicht...

undoreal · 30.10.2008, 22:41

Poste bitte noch ein AVZ log.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
Unter File -> Database Update Start drücken.
Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
Im Hauptfenster den Start Button drücken.
Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
Deaktiviere den AVZGuard!
Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Sep_Michi · 30.10.2008, 23:04

http://rapidshare.com/files/159149078/avz_sysinfo.zip.html

undoreal · 31.10.2008, 09:12

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\System32\Drivers\awusgh18.SYS
spyu.sys <-- musst du wie in meiner Signatur beschrieben wird suchen lassen!
C:\WINDOWS\system32\DRIVERS\vffilter.sys
C:\WINDOWS\system32\SystemHper.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Sep_Michi · 31.10.2008, 10:12

Code:

ATTFilter

SystemHper.dll

Status: Laden ...  Wartend  Warten  Überprüfung  Beendet  Nicht gefunden  Gestoppt
Ergebnis: 5/36 (13.89%)

Antivirus  Version  letzte aktualisierung  Ergebnis
AhnLab-V3 2008.10.30.1 2008.10.31 -
AntiVir 7.9.0.10 2008.10.30 -
Authentium 5.1.0.4 2008.10.31 -
Avast 4.8.1248.0 2008.10.30 -
AVG 8.0.0.161 2008.10.30 -
BitDefender 7.2 2008.10.31 DeepScan:Generic.PWS.WoW.49CB567E
CAT-QuickHeal 9.50 2008.10.31 -
ClamAV 0.93.1 2008.10.31 -
DrWeb 4.44.0.09170 2008.10.31 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.10.30 -
F-Prot 4.4.4.56 2008.10.30 -
F-Secure 8.0.14332.0 2008.10.31 Trojan-GameThief.Win32.WOW.cjl
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.10.31 DeepScan:Generic.PWS.WoW.49CB567E
Ikarus T3.1.1.44.0 2008.10.31 -
K7AntiVirus 7.10.512 2008.10.30 -
Kaspersky 7.0.0.125 2008.10.31 Trojan-GameThief.Win32.WOW.cjl
McAfee 5419 2008.10.31 -
Microsoft 1.4005 2008.10.31 -
NOD32 3571 2008.10.30 -
Norman 5.80.02 2008.10.30 -
Panda 9.0.0.4 2008.10.30 -
PCTools 4.4.2.0 2008.10.30 -
Prevx1 V2 2008.10.31 -
Rising 21.01.41.00 2008.10.31 -
SecureWeb-Gateway 6.7.6 2008.10.31 Trojan.LooksLike.Thief.Wow
Sophos 4.35.0 2008.10.31 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.10.31 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.30 -
weitere Informationen
File size: 65536 bytes
MD5...: 22c77205746fe6e9e138c4a8a3db5d78
SHA1..: 7a0de47c4086eccd297f375f496b2f51a48d8dcf
SHA256: cdf9c5a58991c3c7c5d800c4e888ae5c60ab286f936114095c9ee6fd8cb5191e
SHA512: ef67f19d103a33dc22c9893f8859ec1450da6cadf76619a24414d55e9aac3a60
528ab13fff3a13c55c16aed68081497f40fcda28600d31896bd5947820912aab
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
DirectShow filter (58.3%)
Windows OCX File (35.7%)
Win32 Executable Generic (2.4%)
Win32 Dynamic Link Library (generic) (2.1%)
Generic Win/DOS Executable (0.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000676d
timedatestamp.....: 0x49087d34 (Wed Oct 29 15:11:48 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8958 0x9000 6.47 60ade7613e4c7fa0ffd1e2eb6443bb83
.rdata 0xa000 0x1bb6 0x2000 4.87 c0605fe8ec1b2fd48929d2dda15718cd
.data 0xc000 0x36c0 0x1000 2.76 336d63525f6b797033a5ec8ea7a36812
WOWCLin 0x10000 0x6 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x11000 0xdd8 0x1000 3.92 17067222c34268e8e6fd78fea04846ac
.reloc 0x12000 0x6e2 0x1000 3.18 5f82f09c97dec101067a758f75f300bd

( 11 imports )
> KERNEL32.dll: InterlockedIncrement, EnterCriticalSection, InterlockedDecrement, lstrlenW, GetShortPathNameW, GetModuleHandleW, GetModuleFileNameW, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LeaveCriticalSection, LoadLibraryExW, lstrcmpiW, lstrcpynW, HeapDestroy, lstrcpyW, lstrcatW, DeleteFileA, WinExec, GetBinaryTypeA, GetTickCount, GetTempPathA, DeleteCriticalSection, InitializeCriticalSection, GetLocalTime, DisableThreadLibraryCalls, GetCurrentThreadId, lstrlenA, LoadLibraryW, GetProcAddress, WideCharToMultiByte, FreeLibrary, GetModuleHandleA, GetModuleFileNameA, CreateThread, Sleep, GetCurrentProcess, GetLastError, CloseHandle
> USER32.dll: UnhookWindowsHookEx, SetWindowsHookExW, CallNextHookEx, CharNextW, GetMessageW, PostThreadMessageW, SetForegroundWindow, FindWindowA, FindWindowExA, FindWindowExW, GetClassNameA, SendMessageA, PostMessageW, CharLowerA
> ADVAPI32.dll: LookupPrivilegeValueW, OpenProcessToken, RegCloseKey, RegSetValueExA, RegCreateKeyA, RegQueryValueExW, RegOpenKeyExA, RegDeleteKeyW, RegCreateKeyExW, RegDeleteValueW, RegOpenKeyExW, RegEnumKeyExW, RegSetValueExW, RegQueryInfoKeyW, RegEnumValueW, AdjustTokenPrivileges
> SHELL32.dll: ShellExecuteA
> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> OLEACC.dll: GetStateTextA, GetRoleTextA, WindowFromAccessibleObject, AccessibleObjectFromWindow
> MSVCRT.dll: strchr, strncmp, fclose, fwrite, rename, _access, wcslen, wcscmp, _initterm, _adjust_fdiv, _stricmp, memcmp, realloc, malloc, calloc, free, __2@YAPAXI@Z, __3@YAXPAX@Z, _purecall, atoi, strcat, swprintf, getchar, wprintf, strcmp, _splitpath, fopen, fgets, strstr, memcpy, strcpy, sprintf, strlen, memset
> WS2_32.dll: -, -, -, -, -, -, -, -, -
> NETAPI32.dll: Netbios
> WININET.dll: InternetOpenA, InternetReadFile, InternetOpenUrlA, InternetCloseHandle

( 6 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, GetVer, Install

Code:

ATTFilter

vffilter.sys

Laden ...  Wartend  Warten  Überprüfung  Beendet  Nicht gefunden  Gestoppt
Ergebnis: 0/36 (0%)

Antivirus  Version  letzte aktualisierung  Ergebnis
AhnLab-V3 2008.10.30.1 2008.10.31 -
AntiVir 7.9.0.10 2008.10.30 -
Authentium 5.1.0.4 2008.10.31 -
Avast 4.8.1248.0 2008.10.30 -
AVG 8.0.0.161 2008.10.30 -
BitDefender 7.2 2008.10.31 -
CAT-QuickHeal 9.50 2008.10.31 -
ClamAV 0.93.1 2008.10.31 -
DrWeb 4.44.0.09170 2008.10.31 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.10.30 -
F-Prot 4.4.4.56 2008.10.30 -
F-Secure 8.0.14332.0 2008.10.31 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.10.31 -
Ikarus T3.1.1.44.0 2008.10.31 -
K7AntiVirus 7.10.512 2008.10.30 -
Kaspersky 7.0.0.125 2008.10.31 -
McAfee 5419 2008.10.31 -
Microsoft 1.4005 2008.10.31 -
NOD32 3571 2008.10.30 -
Norman 5.80.02 2008.10.30 -
Panda 9.0.0.4 2008.10.30 -
PCTools 4.4.2.0 2008.10.30 -
Prevx1 V2 2008.10.31 -
Rising 21.01.41.00 2008.10.31 -
SecureWeb-Gateway 6.7.6 2008.10.31 -
Sophos 4.35.0 2008.10.31 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.10.31 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.30 -
weitere Informationen
File size: 15496 bytes
MD5...: a133d96958e9d155cd638a3cb4eddfea
SHA1..: 26ef08e66e5e501e402ac83ad790bd6fa72c247a
SHA256: 5bb52fc1d2c7381e6e7f84e32673ac11648ec6492a93e8f9e5a458a9c71d4506
SHA512: 3490f0d32a2e70bdc058e238a4371da8574922bde92648ccd6e73d709eb737cb
01341fab0d2894a71f8ae4bbab722e25b63764a31ee30e1c612733d93a359fae
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1244a
timedatestamp.....: 0x4701e8ad (Tue Oct 02 06:43:57 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xac4 0xb00 5.74 cf9b15e3e50518402c00b2f216ee3d4b
.rdata 0xf80 0x1e6 0x200 3.79 f8f84ea85f8aa0e09fe90c61112ada03
.data 0x1180 0x1048 0x1080 0.02 ffff936550ccfeca0905c4cb85800370
INIT 0x2200 0x63c 0x680 5.55 b140668c9249eca8b19f97c7ac6dde6c
.reloc 0x2880 0x102 0x180 4.29 c239a6303cea4b6eeabedc8ebde6e5a1

( 3 imports )
> ntoskrnl.exe: KeBugCheckEx, KeTickCount, KeInitializeSpinLock, IoGetCurrentProcess, IoThreadToProcess, ExFreePoolWithTag, ExAllocatePoolWithTag, DbgPrint, RtlInitUnicodeString
> HAL.dll: KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock
> FLTMGR.SYS: FltStartFiltering, FltCloseClientPort, FltGetStreamHandleContext, FltIsDirectory, FltCancelFileOpen, FltAllocateContext, FltSetStreamHandleContext, FltReleaseContext, FltGetFileNameInformation, FltParseFileNameInformation, FltSendMessage, FltReleaseFileNameInformation, FltRegisterFilter, FltUnregisterFilter, FltCloseCommunicationPort, FltFreeSecurityDescriptor, FltCreateCommunicationPort, FltBuildDefaultSecurityDescriptor

( 0 exports )

und

C:\WINDOWS\System32\Drivers\awusgh18.SYS
sowie
spyu.sys
konnten nicht gefunden werden ...
spyu.sys hab ich wie beschrieben gesucht ...aber nichts

Keylogger

Log-Analyse und Auswertung: Keylogger

Keylogger

Keylogger

Keylogger

Keylogger

Keylogger

Keylogger

Keylogger

Ähnliche Themen: Keylogger

30.10.2008, 23:04	#5
Sep_Michi	Keylogger http://rapidshare.com/files/159149078/avz_sysinfo.zip.html