Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: fakewebcam

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.03.2009, 21:17   #1
karel gott
 
fakewebcam - Standard

fakewebcam



hallo.

habe eben einen video-editor (freeware) installiert. danach meldet sich die pfw, daß der i-e- verändert wurde. wie kann das sein?

der genaue text:
Zitat:
Die EXE-Datei wurde seit der letzten Verwendung von D:\Programme\Internet Explorer\iexplore.exe geändert.
Dateiversion : 7.00.6000.16791 (vista_gdr.081217-1620)
Dateibeschreibung : Internet Explorer
Dateipfad : D:\Programme\Internet Explorer\iexplore.exe
Prozess-ID : A54 (Heximal) 2644 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 10.211.39.4
Lokaler Port : 2881
Remote-Name : www.fakewebcam.com
Remote-Adresse : 208.109.122.94
Remote-Port : 80 (HTTP - World Wide Web)

Ethernet-Paket-Details:
Ethernet II (Packet Length: 76)
Destination: 00-19-cb-59-c3-98
Source: 00-30-84-76-6b-da
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x3a69 (Correct)
Source: 10.211.39.4
Destination: 208.109.122.94
Transmission Control Protocol (TCP)
Source port: 2881
Destination port: 80
Sequence number: 2932677847
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x472f (Correct)
Data (0 Bytes)

Binäres Abbild des Pakets:
0000: 00 19 CB 59 C3 98 00 30 : 84 76 6B DA 08 00 45 00 | ...Y...0.vk...E.
0010: 00 30 54 EB 40 00 40 06 : 69 3A 0A D3 27 04 D0 6D | .0T.@.@.i:..'..m
0020: 7A 5E 0B 41 00 50 AE CD : 1C D7 00 00 00 00 70 02 | z^.A.P........p.
0030: FF FF 2F 47 00 00 02 04 : 05 B4 01 01 04 02 65 77 | ../G..........ew
0040: 65 62 63 61 6D 03 63 6F : 6D 00 00 01 | ebcam.com...
muss ich mir sorgen machen?
kav findet nichts.
keine ahnung was das mit fakewebcam.com sein soll, kann mir jmd helfen, bitte?

Alt 17.03.2009, 14:25   #2
Chris4You
 
fakewebcam - Standard

fakewebcam



Hi,

ja, das solltest Du!
http://filepony.de/?q=WOTde/scorecard/fakewebcam.com

Da ist zumindest Adware mit installiert worden...

Daher bitte:
http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

chris
__________________

__________________

Alt 19.03.2009, 14:30   #3
karel gott
 
fakewebcam - Standard

fakewebcam



nun,

- ein hjt-scan brachte mit der automatischen auswertung kein negatives ergebnis.

- einkav 7.0.1.325 vollscan mit neuesten signaturen bleibt eben falls ohne befund.

- die entsprechende datei (iexplorer.exe) auf virustotal getestet bringt 37 mal kein befall, vba32 bringt nur ein heuristisches ergebnis (suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)) und nur McAffee-GW-Edition zeigt befall mit Win32.LooksLike.Virut....

ein browser hijack ist es wohl auch nicht, hab dennoch den zugan zum netzwerk für ie immer noch gesperrt...

- wenn es etwas nützt, kann ich die sonstigen angaben von virustotal (hash-werte und so) auch posten.

ich weiß echt nicht was ich davon halten soll.
die anwendung die das "mitgebracht" hat ist wieder deinstalliert.

würde es etwas bringen, nur die iexplorer.exe gegen eine "neue" aus dem netzt auszutauschen? wo würde ich diese finden und wie sicherstellen, daß es die richtige version ist?

// noch was: ein scan mit regcleaner zeigt "verdächtige" schlüssel an:
1.) yahoo-partner toolbar -> wede ich löschen
2.) Software : vfcC
Alter : Neu

Wenn Sie diesen Eintrag löschen, werden folgende Schlüssel gelöscht
HKEY_CURRENT_USER\Software\vfcC
HKEY_LOCAL_MACHINE\Software\vfcC

nach vfcc gegoogelt, zeigt es eine verbindung zu diesem fakewebcam-zeugs. ich werde die schlüssel mal löschen, wenn ihr mir nichts anderes ratet
__________________

Geändert von karel gott (19.03.2009 um 14:38 Uhr) Grund: ergänzung

Alt 19.03.2009, 15:09   #4
Chris4You
 
fakewebcam - Standard

fakewebcam



Hi,

exportiere die Schlüssel als Textfile und poste sie hier!
HKEY_CURRENT_USER\Software\vfcC
HKEY_LOCAL_MACHINE\Software\vfcC

Download IE (auch wenn hier 7 nur für XP angeboten wird, ev. gleich auf IE8 umsteigen)...

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

Wenn der auch nichts bringt, hmmm...

RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 19.03.2009, 15:13   #5
karel gott
 
fakewebcam - Standard

fakewebcam



hi chris.

die vfcc schlüssel sind zwar schon gelöscht, ich kann aber eine entsprechende sicherung aus regcleaner widerherstellen lassen. soll ich das machen?

das rist hab ich grad eh durchlaufen lassen, das sieht so aus:
Code:
ATTFilter
Logfile of random's system information tool 1.05 (written by random/random)
Run by *** at 2009-03-19 16:06:37
Microsoft Windows XP Professional Service Pack 3
System drive D: has 464 MB (5%) free of 10 GB
Total RAM: 1023 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:06:55, on 19.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\dmadmin.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\Mixer.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\rsit\RSIT.exe
D:\Programme\trend micro\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:6002
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "D:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - D:\Programme\SmartWhois\swmsie.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - D:\Programme\SmartWhois\swmsie.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - D:\Programme\SmartWhois\swmsie.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233086192275
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC7E5C80-6387-4ABE-9798-F88C1D7CFA42}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service:  Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

--
End of file - 8851 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - D:\Programme\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - d:\programme\google\googletoolbar2.dll [2008-08-20 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2008-06-11 345480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - D:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll [2008-09-16 737776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Programme\Java\jre6\bin\jp2ssv.dll [2009-02-18 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E5A1691B-D188-4419-AD02-90002030B8EE}]
FlashFXP Helper for Internet Explorer - D:\Programme\FlashFXP\IEFlash.dll [2006-03-31 191096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-02-18 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4971EE7-DAA0-4053-9964-665D8EE6A077}]
SmartSelect Class - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2008-06-11 345480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} - FlashGet Bar - D:\PROGRA~1\FlashGet\fgiebar.dll [2005-06-07 86016]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - d:\programme\google\googletoolbar2.dll [2008-08-20 2427968]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2008-06-11 345480]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"=Mixer.exe /startup []
"CloneCDTray"=D:\Programme\CloneCD\CloneCDTray.exe [2006-09-28 57344]
"FinePrint Dispatcher v5"=D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe [2007-04-20 499712]
"pdfFactory Pro Dispatcher v3"=D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe [2007-04-07 503808]
"AVP"=D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [2008-02-08 227856]
"NvCplDaemon"=D:\WINDOWS\system32\NvCpl.dll [2006-10-22 7700480]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=D:\WINDOWS\system32\NvMcTray.dll [2006-10-22 86016]
"AdobeCS4ServiceManager"=D:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe [2008-08-14 611712]
"Adobe Acrobat Speed Launcher"=D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe [2008-06-12 37232]
"Acrobat Assistant 8.0"=D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe [2008-06-11 640376]
"SmcService"=D:\PROGRA~1\Sygate\SPF\smc.exe [2004-02-24 2372760]
"SunJavaUpdateSched"=D:\Programme\Java\jre6\bin\jusched.exe [2009-02-18 148888]
"TrueImageMonitor.exe"=D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe [2008-11-27 4386336]
"AcronisTimounterMonitor"=D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe [2008-11-27 962584]
"Acronis Scheduler2 Service"=D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2008-11-27 165144]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=D:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [2007-06-27 152872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
D:\Programme\Ad-Aware 2007\AAWTray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
D:\Programme\Messenger\msmsgs.exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-01 153136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-09-16 68856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Messenger"=2
"WMPNetworkSvc"=3
"StarWindServiceAE"=2
"ose"=3
"NMIndexingService"=3
"gusvc"=3

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="wbsys.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
D:\WINDOWS\system32\klogon.dll [2008-02-08 219664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WB]
D:\Programme\AlienGUIse\fastload.dll [2001-12-20 24576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
D:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=B1000000
"NoLowDiskSpaceCheck"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\WINDOWS\system32\sessmgr.exe"="D:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Programme\SmartWhois\sw.exe"="D:\Programme\SmartWhois\sw.exe:*:Enabled:SmartWhois"
"D:\Programme\FlashFXP\FlashFXP.exe"="D:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"
"D:\Programme\Java\jre1.6.0_07\bin\javaw.exe"="D:\Programme\Java\jre1.6.0_07\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"D:\Programme\Java\jre1.6.0_07\bin\java.exe"="D:\Programme\Java\jre1.6.0_07\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"D:\Programme\Java\jre1.6.0_07\launch4j-tmp\JDownloader.exe"="D:\Programme\Java\jre1.6.0_07\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"D:\WINDOWS\system32\java.exe"="D:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Programme\FlashFXP\FlashFXP.exe"="D:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"

======List of files/folders created in the last 1 months======

2009-03-19 16:06:37 ----D---- D:\rsit
2009-03-19 16:01:36 ----D---- D:\Programme\trend micro
2009-03-19 16:01:35 ----D---- D:\Programme\rsit
2009-03-15 21:15:55 ----HDC---- D:\WINDOWS\$NtUninstallKB959772_WM11$
2009-03-15 21:15:49 ----HDC---- D:\WINDOWS\$NtUninstallKB967715$
2009-03-15 21:15:43 ----HDC---- D:\WINDOWS\$NtUninstallKB958690$
2009-03-15 21:15:38 ----HDC---- D:\WINDOWS\$NtUninstallKB960225$
2009-03-15 21:15:00 ----HDC---- D:\WINDOWS\$NtUninstallKB961118$
2009-03-15 21:14:34 ----HDC---- D:\WINDOWS\$NtUninstallKB960715$
2009-03-15 15:03:50 ----D---- D:\WINDOWS\CSC
2009-03-15 12:19:46 ----D---- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Acronis
2009-03-15 09:46:19 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
2009-03-15 09:38:50 ----D---- D:\Programme\Acronis
2009-03-15 09:38:32 ----D---- D:\Programme\Gemeinsame Dateien\Acronis
2009-03-15 08:44:01 ----A---- D:\WINDOWS\system32\vusetup.dll
2009-03-15 08:43:42 ----A---- D:\WINDOWS\IsUn0407.exe
2009-03-15 08:27:33 ----A---- D:\WINDOWS\IsUninst.exe
2009-02-26 13:34:58 ----D---- D:\Programme\tor-im-browser-1.1.9_de

======List of files/folders modified in the last 1 months======

2009-03-19 16:06:01 ----RD---- D:\Programme
2009-03-19 15:34:33 ----D---- D:\WINDOWS\Prefetch
2009-03-19 15:20:57 ----D---- D:\WINDOWS\Temp
2009-03-19 15:19:54 ----D---- D:\Programme\Mozilla Firefox
2009-03-19 10:43:30 ----D---- D:\WINDOWS\system32\NtmsData
2009-03-19 09:31:21 ----D---- D:\WINDOWS\system32\CatRoot2
2009-03-19 09:31:18 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-18 23:03:45 ----A---- D:\WINDOWS\SchedLgU.Txt
2009-03-18 12:42:45 ----D---- D:\Programme\Gemeinsame Dateien
2009-03-18 12:38:38 ----D---- D:\Programme\hijackthis_199
2009-03-17 23:00:37 ----A---- D:\WINDOWS\NeroDigital.ini
2009-03-17 22:05:28 ----A---- D:\WINDOWS\mixerdef.ini
2009-03-17 11:56:11 ----D---- D:\Programme\jdownloader
2009-03-15 22:04:42 ----D---- D:\WINDOWS
2009-03-15 21:59:11 ----D---- D:\WINDOWS\system32
2009-03-15 21:59:11 ----D---- D:\Programme\Internet Explorer
2009-03-15 21:16:01 ----HD---- D:\WINDOWS\inf
2009-03-15 21:15:54 ----A---- D:\WINDOWS\imsins.BAK
2009-03-15 21:15:52 ----RSHDC---- D:\WINDOWS\system32\dllcache
2009-03-15 21:15:33 ----D---- D:\WINDOWS\system32\CatRoot
2009-03-15 21:14:41 ----HD---- D:\WINDOWS\$hf_mig$
2009-03-15 20:37:18 ----A---- D:\WINDOWS\ntbtlog.txt
2009-03-15 12:48:00 ----D---- D:\WINDOWS\system32\drivers
2009-03-15 09:40:02 ----SHD---- D:\WINDOWS\Installer
2009-03-15 09:39:02 ----D---- D:\WINDOWS\WinSxS
2009-03-15 09:32:24 ----D---- D:\Programme\DAEMON Tools Pro
2009-03-09 12:56:00 ----D---- D:\Programme\FlashFXP
2009-03-09 12:34:14 ----SD---- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-03-07 17:53:27 ----D---- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2009-03-01 12:58:15 ----A---- D:\WINDOWS\CMMIXER.INI
2009-02-26 15:20:23 ----D---- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla
2009-02-25 12:55:00 ----A---- D:\WINDOWS\system32\MRT.exe
2009-02-23 09:44:54 ----D---- D:\Programme\Spybot - Search & Destroy
2009-02-22 11:31:21 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; D:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 ElbyCDIO;ElbyCDIO Driver; D:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2007-08-07 25160]
R1 kbdhid;Tastatur-HID-Treiber; D:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 klif;Klif; \??\D:\WINDOWS\system32\drivers\klif.sys []
R1 wpsdrvnt;wpsdrvnt; \??\D:\WINDOWS\system32\drivers\wpsdrvnt.sys []
R2 adfs;adfs; D:\WINDOWS\system32\drivers\adfs.sys [2008-08-14 74720]
R2 tifsfilter;Acronis True Image FS Filter; D:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-03-15 44704]
R2 wg3n;SyGate for NT, wg3n; D:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]
R3 AnyDVD;AnyDVD; D:\WINDOWS\System32\Drivers\AnyDVD.sys [2007-08-04 96704]
R3 cmpci;C-Media PCI Audio Driver (WDM); D:\WINDOWS\system32\drivers\cmaudio.sys [2002-11-18 377358]
R3 ElbyCDFL;ElbyCDFL; D:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2006-12-26 34760]
R3 ElbyDelay;ElbyDelay; D:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 ezplay;VSO Software ezplay; D:\WINDOWS\System32\Drivers\ezplay.sys [2007-09-08 94208]
R3 hidusb;Microsoft HID Class-Treiber; D:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; D:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 mouhid;Maus-HID-Treiber; D:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 nv;nv; D:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-10-22 3994624]
R3 pcouffin;VSO Software pcouffin; D:\WINDOWS\System32\Drivers\pcouffin.sys [2007-09-08 47360]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter; D:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; D:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbhub;Microsoft USB-Standardhubtreiber; D:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; D:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 vulfntrs;VIA USB Roothub Lower Filter; D:\WINDOWS\System32\Drivers\vulfntr.sys [2005-06-06 11264]
S3 a8l00mex;a8l00mex; D:\WINDOWS\system32\drivers\a8l00mex.sys []
S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter; \??\D:\WINDOWS\system32\drivers\NSDriver.sys []
S3 Ad-Watch Real-Time Scanner;AW Real-Time Scanner; \??\D:\WINDOWS\system32\drivers\AWRTPD.sys []
S3 Ad-Watch Registry Filter;Ad-Watch Registry Kernel Filter; \??\D:\WINDOWS\system32\drivers\AWRTRD.sys []
S3 AMDPCI;AMDPCI; \??\D:\DOKUME~1\FLITTC~1\LOKALE~1\Temp\AMDPCI.sys []
S3 avf0uhsr;avf0uhsr; D:\WINDOWS\system32\drivers\avf0uhsr.sys []
S3 USBSTOR;USB-Massenspeichertreiber; D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 viafilter;VIA USB Filter; D:\WINDOWS\System32\Drivers\viausb1.sys [2001-09-19 9728]
S3 vulfnths;VIA USB Host Controller Lower Filter; D:\WINDOWS\System32\Drivers\vulfnth.sys [2005-01-05 6912]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; D:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; D:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; D:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; D:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73472]
         


Alt 19.03.2009, 15:14   #6
karel gott
 
fakewebcam - Standard

fakewebcam



fortsetzung von rist:
Code:
ATTFilter
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2008-11-27 554264]
R2 AVP;Kaspersky Anti-Virus 7.0; D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [2008-02-08 227856]
R2 JavaQuickStarterService;Java Quick Starter; D:\Programme\Java\jre6\bin\jqs.exe [2009-02-18 152984]
R2 NVSvc;NVIDIA Display Driver Service; D:\WINDOWS\system32\nvsvc32.exe [2006-10-22 159810]
R2 SmcService; Sygate Personal Firewall Platinum; D:\Programme\Sygate\SPF\smc.exe [2004-02-24 2372760]
S2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; D:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET-Zustandsdienst; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-02-03 655624]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; D:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NBService;NBService; D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-06-29 800040]
S4 gusvc;Google Updater Service; D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-20 138168]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 NMIndexingService;NMIndexingService; D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S4 ose;Office Source Engine; D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S4 StarWindServiceAE;StarWind AE Service; D:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe [2007-05-28 275968]
S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; D:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------
         

Alt 19.03.2009, 15:18   #7
karel gott
 
fakewebcam - Standard

fakewebcam



rist info.txt:
Code:
ATTFilter
info.txt logfile of random's system information tool 1.05 2009-03-19 16:07:01

======Uninstall list======

-->D:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->D:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf
Acronis True Image Home-->MsiExec.exe /X{37C8899D-FD70-481F-94AA-1F1B08765E22}
Adobe AIR-->D:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}
Adobe Anchor Service CS4-->MsiExec.exe /I{1618734A-3957-4ADD-8199-F973763109A8}
Adobe Bridge CS4-->MsiExec.exe /I{83877DB1-8B77-45BC-AB43-2BAC22E093E0}
Adobe CMaps CS4-->MsiExec.exe /I{94D398EB-D2FD-4FD1-B8C4-592635E8A191}
Adobe Color - Photoshop Specific CS4-->MsiExec.exe /I{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}
Adobe Color EU Recommended Settings CS4-->MsiExec.exe /I{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}
Adobe Color JA Extra Settings CS4-->MsiExec.exe /I{0D6013AB-A0C7-41DC-973C-E93129C9A29F}
Adobe Color NA Extra Settings CS4-->MsiExec.exe /I{098A2A49-7CF3-4F08-A38D-FB879117152A}
Adobe Color Video Profiles CS CS4-->MsiExec.exe /I{63C24A08-70F3-4C8E-B9FB-9F21A903801D}
Adobe Creative Suite 4 Master Collection-->D:\Programme\Gemeinsame Dateien\Adobe\Installers\b2d6abde968e6f277ddbfd501383e02\Setup.exe --uninstall=1
Adobe Creative Suite 4 Master Collection-->MsiExec.exe /I{61D6891E-E822-4448-9F9A-0AAAAEB6AF6C}
Adobe CSI CS4-->MsiExec.exe /I{0F723FC1-7606-4867-866C-CE80AD292DAF}
Adobe Default Language CS4-->MsiExec.exe /I{C52E3EC1-048C-45E1-8D53-10B0C6509683}
Adobe Device Central CS4-->MsiExec.exe /I{67F0E67A-8E93-4C2C-B29D-47C48262738A}
Adobe Drive CS4-->MsiExec.exe /I{16E16F01-2E2D-4248-A42F-76261C147B6C}
Adobe Encore CS4 Codecs-->MsiExec.exe /I{FB2A5FCC-B81B-48C2-A009-7804694D83E9}
Adobe ExtendScript Toolkit CS4-->MsiExec.exe /I{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}
Adobe Extension Manager CS4-->MsiExec.exe /I{054EFA56-2AC1-48F4-A883-0AB89874B972}
Adobe Flash Player 10 ActiveX-->D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->D:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}
Adobe Linguistics CS4-->MsiExec.exe /I{931AB7EA-3656-4BB7-864D-022B09E3DD67}
Adobe Media Encoder CS4 Exporter-->MsiExec.exe /I{561968FD-56A1-49FD-9ED0-F55482C7C5BC}
Adobe Media Encoder CS4 Importer-->MsiExec.exe /I{8186FF34-D389-4B7E-9A2F-C197585BCFBD}
Adobe Output Module-->MsiExec.exe /I{BB4E33EC-8181-4685-96F7-8554293DEC6A}
Adobe PDF Library Files CS4-->MsiExec.exe /I{F93C84A6-0DC6-42AF-89FA-776F7C377353}
Adobe Photoshop CS4 Support-->MsiExec.exe /I{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}
Adobe Photoshop CS4-->MsiExec.exe /I{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}
Adobe Premiere Pro CS4 Third Party Content-->MsiExec.exe /I{C938BE91-3BB5-4B84-9EF6-88F0505D0038}
Adobe Search for Help-->MsiExec.exe /I{F0E64E2E-3A60-40D8-A55D-92F6831875DA}
Adobe Service Manager Extension-->MsiExec.exe /I{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}
Adobe Setup-->MsiExec.exe /I{E8EE9410-8AC4-4F43-A626-DDECA75C79F3}
Adobe Soundbooth CS4 Codecs-->MsiExec.exe /I{52232EF4-CC12-4C21-ABCF-ADB79618302D}
Adobe Type Support CS4-->MsiExec.exe /I{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}
Adobe Update Manager CS4-->MsiExec.exe /I{05308C4E-7285-4066-BAE3-6B50DA6ED755}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}
Adobe XMP Panels CS4-->MsiExec.exe /I{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}
AdobeColorCommonSetCMYK-->MsiExec.exe /I{68243FF8-83CA-466B-B2B8-9F99DA5479C4}
AdobeColorCommonSetRGB-->MsiExec.exe /I{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}
AnyDVD-->"D:\Programme\AnyDVD\AnyDVD-uninst.exe" /D="D:\Programme\AnyDVD"
BlindWrite 6-->"D:\Programme\BlindWrite6\unins000.exe"
CloneCD-->"D:\Programme\CloneCD\ccd-uninst.exe" /D="D:\Programme\CloneCD"
CloneDVD2-->"D:\Programme\CloneDVD2\CloneDVD2-uninst.exe" /D="D:\Programme\CloneDVD2"
CmdHere Powertoy For Windows XP-->MsiExec.exe /I{6855CCDD-BDF9-48E4-B80A-80DFB96FE36C}
Cole2k Media - Nero Audio Plugin Pack-->D:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Uninst.exe
Connect-->MsiExec.exe /I{B29AD377-CC12-490A-A480-1452337C618D}
DH Driver Cleaner Professional Edition-->D:\Programme\Driver Cleaner Pro\Uninstall.exe
Duden Korrektor PLUS 3.51 Servicepack 2-->D:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{A053CE4F-E859-401A-9276-7DCE36A46BF7} 
FinePrint-->D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpinst5.exe /uninstall
FlashFXP v3-->"D:\Programme\FlashFXP\Uninstall.exe" "D:\Programme\FlashFXP\install.log" -u
FlashGet(JetCar)-->D:\PROGRA~1\FlashGet\UNWISE.EXE D:\PROGRA~1\FlashGet\INSTALL.LOG
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "d:\programme\google\googletoolbar2.dll"
Grim's Ping-->D:\WINDOWS\st6unst.exe -n "D:\Programme\Grims Ping\ST6UNST.LOG"  
HijackThis 2.0.2-->"D:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.0 (KB932471)-->D:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {ECD292A0-0347-4244-8C24-5DBCE990FB40} /package {BAF78226-3200-4DB4-BE33-4D922A799840}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->D:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->D:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"D:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"D:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"D:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"D:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
IsoBuster 2.2-->"D:\Programme\IsoBuster\Uninst\unins000.exe"
J2SE Runtime Environment 5.0 Update 15-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150150}
JAP-->D:\Programme\JAP\uninstall.exe
Java(TM) 6 Update 12-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Kaspersky Anti-Virus 7.0-->MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}
Kaspersky Anti-Virus 7.0-->MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}
kuler-->MsiExec.exe /I{098727E1-775A-4450-B573-3F441F1CA243}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 German Language Pack-->D:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->D:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->D:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"D:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"D:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"D:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Excel-Add-In für SQL Server Analysis Services-->MsiExec.exe /I{75E8EA7A-A2C1-4AEF-A2B9-E2F74C0C0298}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"D:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
MKVtoolnix 2.2.0-->D:\Programme\MKVtoolnix\uninst.exe
Mozilla Firefox (2.0.0.12)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 7 Ultra Edition-->MsiExec.exe /X{847CAE64-4CD2-4B2D-AF00-978FF5431031}
Nero Fast CD-Burning Plug-in-->D:\WINDOWS\UnWMPBurn.exe /UNINSTALL
Nero Reloaded PlugIn Pack 2.0.4 by GEAR-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{F3D7915D-6B42-49FA-9FC8-5020479A6A57}\setup.exe" -l0x7  -removeonly
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->D:\WINDOWS\system32\nvudisp.exe UninstallGUI
PCI Audio Driver-->cmuninst.exe
PDF Settings CS4-->MsiExec.exe /I{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}
pdfFactory Pro-->D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppinst3.exe /uninstall
Photoshop Camera Raw-->MsiExec.exe /I{CC75AB5C-2110-4A7F-AF52-708680D22FE8}
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"D:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"D:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"D:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"D:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"D:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"D:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"D:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"D:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"D:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->D:\WINDOWS\system32\MacroMed\Flash\genuinst.exe D:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"D:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"D:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"D:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"D:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"D:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"D:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"D:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"D:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"D:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"D:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"D:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"D:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"D:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"D:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"D:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"D:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"D:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"D:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"D:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"D:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"D:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"D:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"D:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
SmartWhois-->D:\PROGRA~1\SMARTW~1\swsetup.exe -uninstall
Spybot - Search & Destroy 1.4-->"D:\Programme\Spybot - Search & Destroy\unins000.exe"
Spybot - Search & Destroy-->"D:\Programme\Spybot - Search & Destroy\unins001.exe"
Suite Shared Configuration CS4-->MsiExec.exe /I{842B4B72-9E8F-4962-B3C1-1C422A5C4434}
Sygate Personal Firewall Platinum-->MsiExec.exe /X{96A80FEF-C479-4A88-9190-3AED7DC49FA3}
Tool zum Entfernen verborgener Daten-->MsiExec.exe /X{90F80407-6000-11D3-8CFE-0150048383C9}
Update für Windows XP (KB951978)-->"D:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"D:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"D:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VIA Plattform-Geräte-Manager-->D:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169} 
Wichtiges Update für Windows Media Player 11 (KB959772)-->"D:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Windows Imaging Component-->"D:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"D:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"D:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"D:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"D:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"d:\windows\$ntservicepackuninstall$\spuninst\spuninst.exe"
WinISO 5.3-->D:\Programme\WinISO\unins000.exe
WinRAR-->D:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"D:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Hosts File======

127.0.0.1 serial.alcohol-soft.com
127.0.0.1 www.alcohol-soft.com
127.0.0.1 images.alcohol-soft.com
127.0.0.1 trial.alcohol-soft.com
127.0.0.1 alcohol-soft.com
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com

======Security center information======

AV: Kaspersky Anti-Virus

System event log

Computer Name: VECTRA
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 24004
Source Name: Service Control Manager
Time Written: 20090303144845.000000+060
Event Type: Informationen
User: 

Computer Name: VECTRA
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 24003
Source Name: Service Control Manager
Time Written: 20090303144845.000000+060
Event Type: Informationen
User: 

Computer Name: VECTRA
Event Code: 7036
Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt".

Record Number: 24002
Source Name: Service Control Manager
Time Written: 20090303144845.000000+060
Event Type: Informationen
User: 

Computer Name: VECTRA
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 24001
Source Name: Service Control Manager
Time Written: 20090303144845.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: VECTRA
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.

Record Number: 24000
Source Name: Service Control Manager
Time Written: 20090303144845.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Application event log

Computer Name: VECTRA
Event Code: 11707
Message: Produkt: Windows Workflow Foundation DE Language Pack -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 138
Source Name: MsiInstaller
Time Written: 20070901131753.000000+120
Event Type: Informationen
User: VECTRA\***

Computer Name: VECTRA
Event Code: 11707
Message: Produkt: Windows Communication Foundation Language Pack - DEU -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 137
Source Name: MsiInstaller
Time Written: 20070901131748.000000+120
Event Type: Informationen
User: VECTRA\***

Computer Name: VECTRA
Event Code: 11707
Message: Product: Windows Presentation Foundation Language Pack (DEU) -- Installation completed successfully.

Record Number: 136
Source Name: MsiInstaller
Time Written: 20070901131742.000000+120
Event Type: Informationen
User: VECTRA\***

Computer Name: VECTRA
Event Code: 11707
Message: Produkt: Microsoft .NET Framework 3.0 German Language Pack -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 135
Source Name: MsiInstaller
Time Written: 20070901131735.000000+120
Event Type: Informationen
User: VECTRA\***

Computer Name: VECTRA
Event Code: 11707
Message: Product: Microsoft .NET Framework 3.0 -- Installation completed successfully.

Record Number: 134
Source Name: MsiInstaller
Time Written: 20070901131649.000000+120
Event Type: Informationen
User: VECTRA\***

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"devmgr_show_nonpresent_devices"=1
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 6 Stepping 2, AuthenticAMD
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0602
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------
         

Alt 19.03.2009, 15:44   #8
Chris4You
 
fakewebcam - Standard

fakewebcam



Hi,

was macht Gmer?

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
D:\WINDOWS\system32\drivers\a8l00mex.sys
D:\WINDOWS\system32\drivers\avf0uhsr.sys
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Das Hostfile sieht interessant aus, ist Alcohol legal erworben...?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 19.03.2009, 16:00   #9
karel gott
 
fakewebcam - Standard

fakewebcam



hi.

gmer: ich hatte gar keine fragen :/, das rootkit-log ist hier:
Code:
ATTFilter
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-19 16:58:13
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwClose [0xEB3D6370]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwConnectPort [0xEB3D4420]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwCreateKey [0xEB3C77A0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwCreateProcess [0xEB3D60A0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwCreateProcessEx [0xEB3D6210]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwCreateSection [0xEB3D6E70]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwCreateSymbolicLinkObject [0xEB3D6940]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwCreateThread [0xEB3D77B0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwDeleteKey [0xEB3C78A0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwDeleteValueKey [0xEB3C7920]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwDuplicateObject [0xEB3D6510]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwEnumerateKey [0xEB3C79B0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwEnumerateValueKey [0xEB3C7A60]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwFlushKey [0xEB3C7B10]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwInitializeRegistry [0xEB3C7B90]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwLoadDriver [0xEB3D3FD0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwLoadKey [0xEB3C8590]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwLoadKey2 [0xEB3C7BB0]
SSDT   \??\D:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                      ZwMapViewOfSection [0xF162D8D0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwNotifyChangeKey [0xEB3C7C80]
SSDT   kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)                                                       ZwOpenFile [0xF72B3020]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwOpenKey [0xEB3C7D60]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwOpenProcess [0xEB3D5E90]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwOpenSection [0xEB3D6CA0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwQueryKey [0xEB3C7E30]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwQueryMultipleValueKey [0xEB3C7EE0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwQuerySystemInformation [0xEB3D7460]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwQueryValueKey [0xEB3C7F90]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwReplaceKey [0xEB3C8040]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwRequestWaitReplyPort [0xEB3D4A00]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwRestoreKey [0xEB3C80D0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwResumeThread [0xEB3D7760]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSaveKey [0xEB3C82D0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSetContextThread [0xEB3D7AE0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSetInformationFile [0xEB3D80A0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSetInformationKey [0xEB3C8360]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSetSecurityObject [0xEB3D2C20]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSetSystemInformation [0xEB3D6B20]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSetValueKey [0xEB3C8400]
SSDT   \??\D:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                      ZwShutdownSystem [0xF162DE70]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSuspendThread [0xEB3D7710]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwSystemDebugControl [0xEB3D42E0]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwTerminateProcess [0xEB3D7300]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwUnloadKey [0xEB3C8550]
SSDT   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   ZwWriteVirtualMemory [0xEB3D63D0]

Code   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   FsRtlCheckLockForReadAccess
Code   \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)                                   IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!_abnormal_termination + 1D0                                                               804E282C 12 Bytes  [D0, 3F, 3D, EB, 90, 85, 3C, ...]
.text  ntoskrnl.exe!IoIsOperationSynchronous                                                                  804E875A 5 Bytes  JMP EB3D89C0 \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)
.text  ntoskrnl.exe!FsRtlCheckLockForReadAccess                                                               80512919 5 Bytes  JMP EB3D84C0 \??\D:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)
?      D:\WINDOWS\system32\drivers\sptd.sys                                                                   Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text  USBPORT.SYS!DllUnload                                                                                  F5CE38AC 5 Bytes  JMP 866451C8 
?      System32\Drivers\avlgfcac.SYS                                                                          Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

?      D:\WINDOWS\System32\dmadmin.exe[496] D:\WINDOWS\system32\kernel32.dll                                  time/date stamp mismatch; 
?      D:\WINDOWS\system32\csrss.exe[848] D:\WINDOWS\system32\KERNEL32.dll                                    time/date stamp mismatch; 
?      D:\WINDOWS\system32\winlogon.exe[876] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\WINDOWS\system32\services.exe[920] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\WINDOWS\system32\lsass.exe[932] D:\WINDOWS\system32\kernel32.dll                                    time/date stamp mismatch; 
?      D:\WINDOWS\system32\lsass.exe[932] D:\WINDOWS\system32\USER32.dll                                      time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?      D:\WINDOWS\system32\lsass.exe[932] D:\WINDOWS\system32\SHELL32.dll                                     time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dll
?      D:\WINDOWS\system32\svchost.exe[1096] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\WINDOWS\system32\svchost.exe[1160] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\WINDOWS\System32\svchost.exe[1224] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\Programme\Sygate\SPF\smc.exe[1392] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\WINDOWS\System32\svchost.exe[1412] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\WINDOWS\System32\svchost.exe[1412] D:\WINDOWS\system32\USER32.dll                                   time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?      D:\WINDOWS\System32\svchost.exe[1412] D:\WINDOWS\system32\SHELL32.dll                                  time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dll
?      D:\WINDOWS\System32\svchost.exe[1480] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\WINDOWS\System32\wbem\wmiapsrv.exe[1532] D:\WINDOWS\system32\kernel32.dll                           time/date stamp mismatch; 
?      D:\WINDOWS\system32\spoolsv.exe[1608] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe[1844] D:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; 
?      D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe[1860] D:\WINDOWS\system32\kernel32.dll     time/date stamp mismatch; 
.text  D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe[1860] USER32.dll!AlignRects + FFFA5598     7E362A78 4 Bytes  [D0, 11, 42, 30]
?      D:\Programme\Java\jre6\bin\jqs.exe[1948] D:\WINDOWS\system32\kernel32.dll                              time/date stamp mismatch; 
?      D:\WINDOWS\system32\nvsvc32.exe[1968] D:\WINDOWS\system32\kernel32.dll                                 time/date stamp mismatch; 
?      D:\Programme\Mozilla Firefox\firefox.exe[2708] D:\WINDOWS\system32\kernel32.dll                        time/date stamp mismatch; 
?      D:\Programme\Mozilla Firefox\firefox.exe[2708] D:\WINDOWS\system32\USER32.dll                          time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?      D:\Programme\Mozilla Firefox\firefox.exe[2708] D:\WINDOWS\system32\SHELL32.dll                         time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dll
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!StrStrW + FFE2854E                          7E675128 3 Bytes  [F0, 00, EA]
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!StrStrW + FFE2855A                          7E675134 3 Bytes  [60, 01, EA] {PUSHA ; ADD EDX, EBP}
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!StrStrW + FFE2A40E                          7E676FE8 3 Bytes  [70, 04, EA]
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!StrStrW + FFE2A526                          7E677100 3 Bytes  [E0, 04, EA]
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!StrStrW + FFE2A546                          7E677120 3 Bytes  [A0, 06, EA]
.text  ...                                                                                                    
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!SHChangeNotifyDeregister + 2CA              7E6A4CE4 3 Bytes  [90, 03, EA] {NOP ; ADD EBP, EDX}
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!SHChangeNotifyDeregister + 2EA              7E6A4D04 3 Bytes  [20, 03, EA]
.text  D:\Programme\Mozilla Firefox\firefox.exe[2708] SHELL32.dll!SHChangeNotifyDeregister + 322              7E6A4D3C 3 Bytes  [B0, 02, EA]
?      D:\Dokumente und Einstellungen\Flittchen\Desktop\2m0ocx5t.exe[3416] D:\WINDOWS\system32\kernel32.dll   time/date stamp mismatch; 
?      D:\Dokumente und Einstellungen\Flittchen\Desktop\2m0ocx5t.exe[3416] D:\WINDOWS\system32\USER32.dll     time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?      D:\WINDOWS\Explorer.EXE[3560] D:\WINDOWS\system32\kernel32.dll                                         time/date stamp mismatch; 
?      D:\WINDOWS\Explorer.EXE[3560] D:\WINDOWS\system32\USER32.dll                                           time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?      D:\WINDOWS\Explorer.EXE[3560] D:\WINDOWS\system32\SHELL32.dll                                          time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dll
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!StrStrW + FFE2854E                                           7E675128 3 Bytes  [F0, 00, EA]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!StrStrW + FFE2855A                                           7E675134 3 Bytes  [60, 01, EA] {PUSHA ; ADD EDX, EBP}
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!StrStrW + FFE2B90A                                           7E6784E4 4 Bytes  [F0, 00, A6, 02]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!StrStrW + FFE2B986                                           7E678560 3 Bytes  [40, 09, EA] {INC EAX; OR EDX, EBP}
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!StrStrW + FFE2B9FE                                           7E6785D8 4 Bytes  [80, 00, A6, 02]
.text  ...                                                                                                    
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!ILFindChild + 1324                                           7E6A283C 3 Bytes  [70, 0B, EA]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!SHChangeNotifyDeregister + 2CA                               7E6A4CE4 3 Bytes  [30, 06, EA]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!SHChangeNotifyDeregister + 2EA                               7E6A4D04 3 Bytes  [C0, 05, EA]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!SHChangeNotifyDeregister + 322                               7E6A4D3C 3 Bytes  [50, 05, EA]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!SHMapPIDLToSystemImageListIndex + 648                        7E6B40EC 3 Bytes  [E0, 0B, EA]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!SHMapPIDLToSystemImageListIndex + 6A4                        7E6B4148 3 Bytes  [50, 0C, EA] {PUSH EAX; OR AL, 0xea}
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!ILLoadFromStream + BA5                                       7E6BDF60 3 Bytes  [20, 0A, EA]
.text  D:\WINDOWS\Explorer.EXE[3560] SHELL32.dll!ILLoadFromStream + CB5                                       7E6BE070 3 Bytes  [00, 0B, EA]
?      D:\WINDOWS\Mixer.exe[3752] D:\WINDOWS\system32\kernel32.dll                                            time/date stamp mismatch; 
?      D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe[3772] D:\WINDOWS\system32\kernel32.dll         time/date stamp mismatch; 
?      D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe[3784] D:\WINDOWS\system32\kernel32.dll         time/date stamp mismatch; 
?      D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe[3796] D:\WINDOWS\system32\kernel32.dll     time/date stamp mismatch; 
?      D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe[3796] D:\WINDOWS\system32\USER32.dll       time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
.text  D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe[3796] USER32.dll!AlignRects + FFFA5598     7E362A78 4 Bytes  [D0, 11, 42, 30]
?      D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe[3796] D:\WINDOWS\system32\SHELL32.dll      time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dll
?      D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe[3896] D:\WINDOWS\system32\kernel32.dll             time/date stamp mismatch; 
?      D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe[3896] D:\WINDOWS\system32\USER32.dll               time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?      D:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe[3896] D:\WINDOWS\system32\SHELL32.dll              time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dll
?      D:\Programme\Java\jre6\bin\jusched.exe[3940] D:\WINDOWS\system32\kernel32.dll                          time/date stamp mismatch; 
?      D:\Programme\Java\jre6\bin\jusched.exe[3940] D:\WINDOWS\system32\USER32.dll                            time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
         
die beiden files werde ich gleich auf virustotal checken.

alkohol: das war jetzt ne fangfrage
host datei ist relativ voll, vieles von spybot, auch eigene einträge von seiten die ich nicht besuchen will. alkohol gehört da auch dazu

Alt 19.03.2009, 16:18   #10
karel gott
 
fakewebcam - Standard

fakewebcam



Zitat:
Zitat von Chris4You Beitrag anzeigen

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
D:\WINDOWS\system32\drivers\a8l00mex.sys
D:\WINDOWS\system32\drivers\avf0uhsr.sys
         
[list]
ich finde beide dateien nicht. und ja, systemdateien und versteckte dateien werden angezeigt.

Alt 20.03.2009, 06:44   #11
Chris4You
 
fakewebcam - Standard

fakewebcam



Hi,

Dein Rechner hat einige "Querverbknüpfungen" die ungewöhnlich sind...
C:\WINDOWS\system32\powrprof.dll <- sollte gepürft werden (Virustotal, kann von MS oder Wurm sein)
D:\Dokumente und Einstellungen\Flittchen\Desktop\2m0ocx5t.exe
Hast Du sowas wie Windowsblinds im Einsatz?

Sonst ist nichts auffälliges zu erkennen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.03.2009, 08:58   #12
karel gott
 
fakewebcam - Standard

fakewebcam



morgen chris.
virustotal meldet kein befall der datei powrprof.dll
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.03.20	-
AhnLab-V3	5.0.0.2	2009.03.20	-
AntiVir	7.9.0.120	2009.03.20	-
Authentium	5.1.2.4	2009.03.20	-
Avast	4.8.1335.0	2009.03.20	-
AVG	8.5.0.283	2009.03.19	-
BitDefender	7.2	2009.03.20	-
CAT-QuickHeal	10.00	2009.03.20	-
ClamAV	0.94.1	2009.03.20	-
Comodo	1074	2009.03.20	-
DrWeb	4.44.0.09170	2009.03.20	-
eSafe	7.0.17.0	2009.03.19	-
eTrust-Vet	31.6.6408	2009.03.20	-
F-Prot	4.4.4.56	2009.03.20	-
Fortinet	3.117.0.0	2009.03.20	-
GData	19	2009.03.20	-
Ikarus	T3.1.1.48.0	2009.03.20	-
K7AntiVirus	7.10.676	2009.03.19	-
Kaspersky	7.0.0.125	2009.03.20	-
McAfee	5558	2009.03.20	-
McAfee+Artemis	5558	2009.03.19	-
McAfee-GW-Edition	6.7.6	2009.03.20	-
Microsoft	1.4502	2009.03.20	-
NOD32	3950	2009.03.20	-
Norman	6.00.06	2009.03.19	-
nProtect	2009.1.8.0	2009.03.20	-
Panda	10.0.0.10	2009.03.20	-
PCTools	4.4.2.0	2009.03.20	-
Rising	21.21.41.00	2009.03.20	-
Sophos	4.39.0	2009.03.20	-
Sunbelt	3.2.1858.2	2009.03.19	-
Symantec	1.4.4.12	2009.03.20	-
TheHacker	6.3.3.0.286	2009.03.20	-
TrendMicro	8.700.0.1004	2009.03.20	-
VBA32	3.12.10.1	2009.03.19	-
ViRobot	2009.3.20.1658	2009.03.20	-
VirusBuster	4.6.5.0	2009.03.19	-
weitere Informationen
File size: 17408 bytes
MD5...: c8c0bdabc966b6c24d337df0a0a399e1
SHA1..: 2010e87fb787c233fdf0f91b60c0c52c98de95fc
SHA256: 2a8376bc6ec1b2a8b632051c47a8a5106b984887774cfebd2624f58d73ba8e66
SHA512: 1a34d3154b0a068c2746055586c39347992915f2ca8bd76c8ffd3b8b83af41de
5a0bef9feb9ba180a3dcf874bb44012bed0af1d328034626e9a2719c14cd8b22
ssdeep: 384:h1kmspudJuPmI2vdoZGRLSZ9jtmi33XTV5QIEgsh8hWLxgWs4qy:Gpe42qqL
CB552xa4q
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1352
timedatestamp.....: 0x4802bf9d (Mon Apr 14 02:21:17 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32a5 0x3400 6.28 93001684d888fad05225ed0c9571692f
.data 0x5000 0x5c0 0x400 2.87 00eaee125c1e87f9686ff68ae1fb20ae
.rsrc 0x6000 0x3f0 0x400 3.39 6a4a48ce0b5ce263c6e45b11f5e539d1
.reloc 0x7000 0x284 0x400 4.81 d19ba85d38b1cc39f98546e439cc5716

( 5 imports )
> ADVAPI32.dll: RegSetValueExW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, AllocateAndInitializeSid, GetLengthSid, InitializeAcl, AddAccessAllowedAce, FreeSid, RegCreateKeyExW, RegOpenCurrentUser, RegOpenKeyW, RegDeleteKeyW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, LookupPrivilegeValueW, OpenThreadToken, OpenProcessToken, AdjustTokenPrivileges, RegEnumKeyExW
> KERNEL32.dll: DisableThreadLibraryCalls, LocalAlloc, CreateSemaphoreW, OpenSemaphoreW, WaitForSingleObject, lstrlenW, OutputDebugStringA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ReleaseSemaphore, LocalFree, GetCurrentThread, GetCurrentProcess, CloseHandle, SetLastError, GetLastError, InterlockedCompareExchange
> msvcrt.dll: _initterm, malloc, _adjust_fdiv, free
> ntdll.dll: NtInitiatePowerAction, NtPowerInformation
> USER32.dll: wvsprintfA, wsprintfW

( 24 exports )
CallNtPowerInformation, CanUserWritePwrScheme, DebugPrintA, DeletePwrScheme, EnumPwrSchemes, GetActivePwrScheme, GetCurrentPowerPolicies, GetPwrCapabilities, GetPwrDiskSpindownRange, IsAdminOverrideActive, IsPwrHibernateAllowed, IsPwrShutdownAllowed, IsPwrSuspendAllowed, LoadCurrentPwrScheme, MergeLegacyPwrScheme, ReadGlobalPwrPolicy, ReadProcessorPwrScheme, ReadPwrScheme, SetActivePwrScheme, SetSuspendState, ValidatePowerPolicies, WriteGlobalPwrPolicy, WriteProcessorPwrScheme, WritePwrScheme
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c8c0bdabc966b6c24d337df0a0a399e1' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c8c0bdabc966b6c24d337df0a
         

nicht direkt windowsblinds, aber etwas das darauf basiert ist installiert

Alt 20.03.2009, 10:30   #13
Chris4You
 
fakewebcam - Standard

fakewebcam



Hi,

bitte auch das hier Online prüfen:
D:\Dokumente und Einstellungen\Flittchen\Desktop\2m0ocx5t.exe

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.03.2009, 16:22   #14
karel gott
 
fakewebcam - Standard

fakewebcam



das "2m0ocx5t.exe" war das tool gmer. hier das ergebnis:
Code:
ATTFilter
atei 2m0ocx5t.exe empfangen 2009.03.20 17:15:12 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/39 (7.7%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.03.20	-
AhnLab-V3	5.0.0.2	2009.03.20	-
AntiVir	7.9.0.120	2009.03.20	-
Authentium	5.1.2.4	2009.03.20	-
Avast	4.8.1335.0	2009.03.20	-
AVG	8.5.0.283	2009.03.20	-
BitDefender	7.2	2009.03.20	-
CAT-QuickHeal	10.00	2009.03.20	-
ClamAV	0.94.1	2009.03.20	-
Comodo	1076	2009.03.20	-
DrWeb	4.44.0.09170	2009.03.20	-
eSafe	7.0.17.0	2009.03.19	Suspicious File
eTrust-Vet	31.6.6408	2009.03.20	-
F-Prot	4.4.4.56	2009.03.20	-
F-Secure	8.0.14470.0	2009.03.20	-
Fortinet	3.117.0.0	2009.03.20	-
GData	19	2009.03.20	-
Ikarus	T3.1.1.48.0	2009.03.20	-
K7AntiVirus	7.10.677	2009.03.20	Trojan.Win32.Malware.2
Kaspersky	7.0.0.125	2009.03.20	-
McAfee	5558	2009.03.20	-
McAfee+Artemis	5558	2009.03.19	-
McAfee-GW-Edition	6.7.6	2009.03.20	-
Microsoft	1.4502	2009.03.20	-
NOD32	3951	2009.03.20	-
Norman	6.00.06	2009.03.20	-
nProtect	2009.1.8.0	2009.03.20	-
Panda	10.0.0.10	2009.03.20	-
PCTools	4.4.2.0	2009.03.20	-
Prevx1	V2	2009.03.20	-
Rising	21.21.42.00	2009.03.20	-
Sophos	4.39.0	2009.03.20	-
Sunbelt	3.2.1858.2	2009.03.19	-
Symantec	1.4.4.12	2009.03.20	-
TheHacker	6.3.3.0.286	2009.03.20	-
TrendMicro	8.700.0.1004	2009.03.20	-
VBA32	3.12.10.1	2009.03.19	suspected of Win32 Shadow Driver Install
ViRobot	2009.3.20.1658	2009.03.20	-
VirusBuster	4.6.5.0	2009.03.19	-
weitere Informationen
File size: 286208 bytes
MD5...: 5508efef0f682f038d24e461d604d8be
SHA1..: 4f9ad28220f06e6fd98a85fe7ca9ee42e3c7a744
SHA256: bec7af19950b39e94350c5df58b1fb8f964236e5bd7399f349d7b41c7e9c8331
SHA512: 36ae82bf66d1dae0b7610b13bd29499265ffe864296e294298c006f45d62f20d
61b77d5779d89073ee0514df46258a61630b1fc9038825483aae866b348ce2da
ssdeep: 6144:eAIEchk9wNFaJteXCj+fsL3eWbGZC9o0Qmdzi3eRnM5v:jIE+kqNFaJteSj
+fsL3eWtvQSziO1s
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb02e0
timedatestamp.....: 0x49ba4fcf (Fri Mar 13 12:21:35 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6c000 0x45000 0x44600 7.93 fdaacaf6804b2b82e38887fe2c3ece08
.rsrc 0xb1000 0x2000 0x1400 3.38 fb2a89eedfbdcf18c86366a0c04d8025

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=5508efef0f682f038d24e461d604d8be' target='_blank'>http://www.threatexpert.com/report.aspx?md5=5508efef0f682f038d24e461d604d8be</a>
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5508efef0f682f038d24e461d604d8be' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5508efef0f682f038d24e461d604d8be</a>
packers (F-Prot): UPX
         

Alt 20.03.2009, 16:47   #15
karel gott
 
fakewebcam - Standard

fakewebcam



hier der prevx scan:
Miniaturansicht angehängter Grafiken
fakewebcam-prevx.jpg  

Antwort

Themen zu fakewebcam
abbild, adresse, ahnung, control, exe-datei, explorer, freeware, iexplore.exe, interne, internet, internet explorer, live, melde, meldet, not, port, programme, reset, sorge, sorgen, urgent, verwendung, verändert, vista, window, world



Zum Thema fakewebcam - hallo. habe eben einen video-editor (freeware) installiert. danach meldet sich die pfw, daß der i-e- verändert wurde. wie kann das sein? der genaue text: Zitat: Die EXE-Datei wurde seit der - fakewebcam...
Archiv
Du betrachtest: fakewebcam auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.