Hab mir wohl ein Trojaner eingefangen, MELDUNG: RECYCLER\S-5-2-28-100007742-100000561-100025748-3362.com,
da ich neu hier bin und nicht weiß wie ich den wieder los werde
hoffe ich, dass ich ihn mit Hilfe von hier schnell wieder los werden.
Hab den Trojaner auf meiner mobilen Festplatte wie auch auf meinem USB-Stick, doppelt hält besser!
Mein Notebook hab ich schon neu aufgesetzt.
Kann mir jemand helfen das Ding los zu werden?

Hallo und

Stecke alles, das du jemals mit dem Computer verbunden hast, wie Kamera, Handy, Speicherkarten, Memorysticks, externe Laufwerke, ... vor dem nächsten Scan an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

hier mein maleware log
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2055
Windows 5.1.2600 Service Pack 3

28.05.2009 21:51:04
mbam-log-2009-05-28 (21-50-57).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 150124
Laufzeit: 1 hour(s), 5 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad:
(0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier das Ergebnis mit dem ComboFix

ComboFix 09-04-29.03 - Frank 30.05.2009 11:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.991.643 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe
AV: Avira Premium Security Suite *On-access scanning disabled* (Updated)
FW: Avira Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-5-30 ))))))))))))))))))))))))))))))
.

2009-05-30 08:20 . 2009-05-30 08:20 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-05-30 08:19 . 2007-07-16 13:29 59928 ----a-w c:\windows\system32\fxcompchannel.dll
2009-05-30 08:19 . 2007-07-17 01:55 665 ----a-r c:\windows\system32\hppapr11.dat
2009-05-30 08:19 . 2008-01-04 21:04 331776 ----a-r c:\windows\system32\hppcpr11.dll
2009-05-30 08:19 . 2009-05-30 08:19 -------- d-----w c:\windows\LastGood
2009-05-30 08:12 . 2008-04-13 20:17 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-05-30 08:12 . 2008-04-13 20:17 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-28 18:43 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-28 18:30 . 2009-05-28 18:30 -------- d-----w c:\programme\CCleaner
2009-05-28 17:58 . 2008-04-13 21:15 26368 -c--a-w c:\windows\system32\dllcache\usbstor.sys
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\programme\iPod
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\programme\iTunes
2009-05-24 08:38 . 2009-05-24 08:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-05-24 08:30 . 2009-05-24 08:30 -------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-05-24 08:28 . 2009-05-24 08:33 -------- d-----w c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:33 -------- d-----w c:\programme\AutoCAD 2010
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\Autodesk
2009-05-24 08:27 . 2008-03-05 13:56 1420824 ----a-w c:\windows\system32\D3DCompiler_37.dll
2009-05-24 08:27 . 2008-02-05 21:07 462864 ----a-w c:\windows\system32\d3dx10_37.dll
2009-05-24 08:27 . 2008-03-05 13:56 3786760 ----a-w c:\windows\system32\D3DX9_37.dll
2009-05-24 08:27 . 2009-05-24 08:27 -------- d-----w c:\windows\Logs
2009-05-24 08:25 . 2006-06-29 11:07 14048 ------w c:\windows\system32\spmsg2.dll
2009-05-24 08:23 . 2009-05-24 10:46 601808 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-24 08:22 . 2009-05-24 08:25 -------- d-----w c:\windows\system32\XPSViewer
2009-05-24 08:22 . 2009-05-24 08:22 -------- d-----w c:\programme\Reference Assemblies
2009-05-24 08:22 . 2008-07-06 12:06 117760 ------w c:\windows\system32\prntvpt.dll
2009-05-24 08:22 . 2008-07-06 12:06 89088 -c----w c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-05-24 08:22 . 2008-07-06 10:50 597504 -c----w c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-05-24 08:22 . 2008-07-06 12:06 575488 -c----w c:\windows\system32\dllcache\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06 575488 ------w c:\windows\system32\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06 1676288 -c----w c:\windows\system32\dllcache\xpssvcs.dll
2009-05-24 08:22 . 2008-07-06 12:06 1676288 ------w c:\windows\system32\xpssvcs.dll
2009-05-24 08:22 . 2009-05-24 08:22 -------- d-----w C:\f1c84b8a7dad054ed1cb
2009-05-24 08:04 . 2009-05-24 08:09 -------- d-----w c:\programme\autocad

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-30 08:21 . 2008-04-14 10:00 81300 ----a-w c:\windows\system32\perfc007.dat
2009-05-30 08:21 . 2008-04-14 10:00 452150 ----a-w c:\windows\system32\perfh007.dat
2009-05-27 17:32 . 2009-03-29 10:14 -------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-05-24 08:37 . 2009-03-19 20:19 100480 ----a-w c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-24 08:22 . 2009-03-19 21:44 -------- d-----w c:\programme\MSBuild
2009-03-31 17:36 . 2009-03-31 17:36 -------- d-----w c:\programme\Ashampoo
2009-03-21 09:09 . 2009-03-19 19:44 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-19 20:41 . 2009-03-19 20:41 0 ----a-w c:\windows\nsreg.dat
2009-03-19 19:44 . 2008-04-14 10:00 67 --sha-w c:\windows\Fonts\desktop.ini
2009-03-19 19:41 . 2009-03-19 19:41 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-03-19 14:32 . 2009-03-29 10:16 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-05 21:59 . 2009-03-29 10:14 36864 ----a-w c:\windows\system32\drivers\usbaapl.sys
2009-03-05 21:59 . 2009-03-29 10:14 1900544 ----a-w c:\windows\system32\usbaaplrc.dll
.

------- Sigcheck -------

[-] 2008-11-19 17:45 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7561216]
"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-06-01 16208384]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-04-27 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2006-06-23 180608]
S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2008-05-07 71592]
S2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-05-16 344321]
S2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-03-19 164097]
S2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]
S2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]
S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2008-05-07 71464]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - NET_DRIVER_HPZ12
*NewlyCreated* - PML_DRIVER_HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners

2009-04-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jzlqf817.default\
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 11:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(988)
c:\windows\system32\avsda.dll
.
Zeit der Fertigstellung: 2009-05-30 11:08
ComboFix-quarantined-files.txt 2009-05-30 09:08

Vor Suchlauf: 9 Verzeichnis(se), 57.441.181.696 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 57.546.293.248 Bytes frei

152

Hier noch der log vom Random's System Information Tool (RSIT)


Logfile of random's system information tool 1.06 (written by random/random)
Run by Frank at 2009-05-30 11:33:32
Microsoft Windows XP Professional Service Pack 3
System drive C: has 55 GB (72%) free of 76 GB
Total RAM: 991 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:46, on 30.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Download\RSIT.exe
C:\Programme\trend micro\Frank.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6134 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-01 16208384]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-04-27 7561216]
"nwiz"=nwiz.exe /install []
"avgnt"=C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe [2008-06-12 266497]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-01-05 413696]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-04-02 342312]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-23 3584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2008-07-08 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8e032d6-4cf3-11de-acd6-0015af052fd2}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-5-47-100017573-100030608-100022750-6193.com f:\
shell\Open\command - RECYCLER\S-5-5-47-100017573-100030608-100022750-6193.com f:\


======File associations======

.scr - open - C:\WINDOWS\system32\notepad.exe "%1"
.scr - install -
.scr - config -

======List of files/folders created in the last 1 months======

2009-05-30 11:33:32 ----D---- C:\rsit
2009-05-30 11:33:32 ----D---- C:\Programme\trend micro
2009-05-30 11:08:05 ----D---- C:\WINDOWS\temp
2009-05-30 11:08:04 ----A---- C:\ComboFix.txt
2009-05-30 11:04:41 ----A---- C:\WINDOWS\zip.exe
2009-05-30 11:04:41 ----A---- C:\WINDOWS\vFind.exe
2009-05-30 11:04:41 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-05-30 11:04:41 ----A---- C:\WINDOWS\SWSC.exe
2009-05-30 11:04:41 ----A---- C:\WINDOWS\SWREG.exe
2009-05-30 11:04:41 ----A---- C:\WINDOWS\sed.exe
2009-05-30 11:04:41 ----A---- C:\WINDOWS\NIRCMD.exe
2009-05-30 11:04:41 ----A---- C:\WINDOWS\grep.exe
2009-05-30 11:04:20 ----D---- C:\WINDOWS\ERDNT
2009-05-30 11:04:19 ----D---- C:\ComboFix
2009-05-30 11:04:17 ----AD---- C:\Qoobox
2009-05-30 10:20:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-05-30 10:19:36 ----RA---- C:\WINDOWS\system32\hppcpr11.dll
2009-05-30 10:19:36 ----A---- C:\WINDOWS\system32\fxcompchannel.dll
2009-05-30 10:19:33 ----D---- C:\WINDOWS\LastGood
2009-05-28 20:43:26 ----D---- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Malwarebytes
2009-05-28 20:43:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-28 20:43:18 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-28 20:30:18 ----D---- C:\Programme\CCleaner
2009-05-27 19:32:32 ----D---- C:\Programme\iPod
2009-05-27 19:32:21 ----D---- C:\Programme\iTunes
2009-05-27 19:32:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-24 10:38:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-05-24 10:30:51 ----D---- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2009-05-24 10:28:12 ----D---- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2009-05-24 10:28:12 ----D---- C:\Programme\AutoCAD 2010
2009-05-24 10:28:12 ----D---- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Autodesk
2009-05-24 10:28:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2009-05-24 10:27:19 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-05-24 10:27:19 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-05-24 10:27:16 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-05-24 10:27:07 ----A---- C:\WINDOWS\system32\d3dx9_30.dll
2009-05-24 10:27:00 ----D---- C:\WINDOWS\Logs
2009-05-24 10:25:27 ----N---- C:\WINDOWS\system32\spmsg2.dll
2009-05-24 10:25:23 ----HDC---- C:\WINDOWS\$NtUninstallXPSEPSCLP$
2009-05-24 10:22:57 ----D---- C:\WINDOWS\system32\XPSViewer
2009-05-24 10:22:51 ----D---- C:\WINDOWS\system32\en-US
2009-05-24 10:22:45 ----D---- C:\Programme\Reference Assemblies
2009-05-24 10:22:06 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2009-05-24 10:22:06 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2009-05-24 10:22:06 ----N---- C:\WINDOWS\system32\prntvpt.dll
2009-05-24 10:22:06 ----D---- C:\f1c84b8a7dad054ed1cb
2009-05-24 10:21:28 ----RSD---- C:\WINDOWS\assembly
2009-05-24 10:21:02 ----D---- C:\WINDOWS\Microsoft.NET
2009-05-24 10:10:27 ----HDC---- C:\WINDOWS\$NtUninstallKB942288-v3$
2009-05-24 10:04:58 ----D---- C:\Programme\autocad

======List of files/folders modified in the last 1 months======

2009-05-30 11:33:32 ----RD---- C:\Programme
2009-05-30 11:33:30 ----D---- C:\WINDOWS\Prefetch
2009-05-30 11:09:26 ----D---- C:\Programme\Mozilla Firefox
2009-05-30 11:08:06 ----D---- C:\WINDOWS\system32\drivers
2009-05-30 11:08:06 ----D---- C:\WINDOWS\system32
2009-05-30 11:08:05 ----D---- C:\WINDOWS
2009-05-30 11:07:10 ----A---- C:\WINDOWS\system.ini
2009-05-30 11:04:59 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-30 10:27:57 ----HD---- C:\WINDOWS\inf
2009-05-30 10:21:51 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-05-30 10:20:12 ----SHD---- C:\WINDOWS\Installer
2009-05-30 10:19:34 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-30 10:12:53 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-05-28 20:36:45 ----D---- C:\WINDOWS\Debug
2009-05-27 19:32:53 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-05-27 19:32:31 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2009-05-24 10:33:05 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-05-24 10:32:27 ----D---- C:\WINDOWS\Help
2009-05-24 10:30:51 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-24 10:30:18 ----RSD---- C:\WINDOWS\Fonts
2009-05-24 10:27:23 ----D---- C:\WINDOWS\system32\DirectX
2009-05-24 10:27:22 ----D---- C:\WINDOWS\system32\CatRoot
2009-05-24 10:25:08 ----D---- C:\WINDOWS\system32\de-de
2009-05-24 10:24:06 ----D---- C:\WINDOWS\WinSxS
2009-05-24 10:22:53 ----D---- C:\Programme\MSBuild
2009-05-24 10:22:21 ----D---- C:\WINDOWS\system32\spool
2009-05-24 10:21:07 ----D---- C:\Programme\Internet Explorer
2009-05-24 10:10:50 ----D---- C:\WINDOWS\system32\mui

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avfwot;avfwot; C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-05-07 71592]
R1 avgio;avgio; \??\C:\Programme\Avira\Avira Premium Security Suite\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-19 75072]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2008-04-14 12032]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-11-12 60800]
R3 avfwim;AvFw Packet Filter Miniport; C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-05-07 71464]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\Avira Premium Security Suite\avgntflt.sys []
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-06 4284928]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2008-11-12 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-11-12 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-04-27 3659968]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-02-17 13056]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter; C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-23 180608]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-14 79232]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-09-20 162432]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 catchme;catchme; \??\C:\DOKUME~1\Frank\LOKALE~1\Temp\catchme.sys []
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-02-17 34176]
S3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys []
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-03-05 36864]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2008-07-08 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2008-07-08 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirFirewallService;Avira Premium Security Suite Firewall; C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-05-16 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard; C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-03-19 164097]
R2 AntiVirScheduler;Avira Premium Security Suite Planer; C:\Programme\Avira\Avira Premium Security Suite\sched.exe [2009-03-19 68865]
R2 AntiVirService;Avira Premium Security Suite Guard; C:\Programme\Avira\Avira Premium Security Suite\avguard.exe [2009-03-19 151297]
R2 antivirwebservice;Avira Premium Security Suite WebGuard; C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-03-06 132424]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst; C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 Net Driver HPZ12;Net Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-04-27 143427]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-04-02 656168]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-05-24 651720]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Und hier noch der infotext zum Random's System Information Tool (RSIT)

nfo.txt logfile of random's system information tool 1.06 2009-05-30 11:33:47

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
32 Bit HP BiDi Channel Components Installer-->MsiExec.exe /I{9DE3F260-B88E-42CE-90E7-73C78C37D95E}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Apple Mobile Device Support-->MsiExec.exe /I{AFA20D47-69C3-4030-8DF8-D37466E70F13}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Ashampoo Burning Studio 2009-->"C:\Programme\Ashampoo\Ashampoo Burning Studio 2009\unins000.exe"
AutoCAD 2010 - Deutsch-->C:\Programme\AutoCAD 2010\Setup\Setup.exe /P {5783F2D7-8001-0407-0002-0060B0CE6BBA} /M ACAD /language de-DE
AutoCAD 2010 - Deutsch-->C:\Programme\AutoCAD 2010\Setup\Setup.exe /P {5783F2D7-8001-0407-0002-0060B0CE6BBA} /M ACAD /language de-DE
Avira Premium Security Suite-->C:\Programme\Avira\Avira Premium Security Suite\SETUP.EXE /REMOVE
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix für Windows XP (KB942288-v3)-->"C:\WINDOWS\$NtUninstallKB942288-v3$\spuninst\spuninst.exe"
iTunes-->MsiExec.exe /I{5EFCBB42-36AB-4FF9-B90C-E78C7B9EE7B3}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.9)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
VLC media player 0.9.8a-->C:\Programme\VideoLAN\VLC\uninstall.exe
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Security center information======

AV: Avira Premium Security Suite
FW: Avira Firewall

======System event log======

Computer Name: FRANK-LAPTOP
Event Code: 15007
Message: Die von URL-Präfix "http://*:2869/" identifizierte Namespacereservierung wurde erfolgreich hinzugefügt.

Record Number: 5
Source Name: HTTP
Time Written: 20090319204324.000000+060
Event Type: Informationen
User:

Computer Name: FRANK-LAPTOP
Event Code: 6011
Message: Der NetBIOS-Name und DNS-Hostname dieses Computers wurden von MACHINENAME in FRANK-LAPTOP geändert.

Record Number: 4
Source Name: EventLog
Time Written: 20090319203818.000000+060
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 3
Source Name: Serial
Time Written: 20090319203209.000000+060
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20090319203153.000000+060
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090319203153.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: FRANK-LAPTOP
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090319204044.000000+060
Event Type: Informationen
User:

Computer Name: FRANK-LAPTOP
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090319204040.000000+060
Event Type: Informationen
User:

Computer Name: FRANK-LAPTOP
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090319203910.000000+060
Event Type: Informationen
User:

Computer Name: FRANK-LAPTOP
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090319203844.000000+060
Event Type: Informationen
User:

Computer Name: FRANK-LAPTOP
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090319203827.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 72 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4802
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Programme\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------

1.) Deinstalliere:

• Bonjour
• Apple Software Update

2.) Ändere dein Systemdatum auf das aktuelle Datum. Windows XP Uhr stellen: Uhrzeit richtig einstellen

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
catchme

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
"RTHDCPL"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8e032d6-4cf3-11de-acd6-0015af052fd2}]

Folder::
C:\rsit
C:\f1c84b8a7dad054ed1cb

File::
c:\windows\Tasks\AppleSoftwareUpdate.job
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

So habe jetzt die untenstehende Aktion durchgeführt.
Allerdings ohne die externe Festplatte und den USB-Stick anzuschließen.

Hätte ich die vordieserAktion anschließen müssen oder werden die im Nachgang von Schädlingen befreit?

PHP-Code:

ComboFix 09-04-29.03 - Frank 01.05.2009 14:28.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.991.571 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Frank\Desktop\cfscript.txt
AV: Avira Premium Security Suite *On-access scanning enabled* (Updated)
FW: Avira Firewall *enabled*
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\Tasks\AppleSoftwareUpdate.job
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\f1c84b8a7dad054ed1cb
c:\f1c84b8a7dad054ed1cb\amd64\filterpipelineprintproc.dll
c:\f1c84b8a7dad054ed1cb\amd64\msxpsdrv.cat
c:\f1c84b8a7dad054ed1cb\amd64\msxpsdrv.inf
c:\f1c84b8a7dad054ed1cb\amd64\msxpsinc.gpd
c:\f1c84b8a7dad054ed1cb\amd64\msxpsinc.ppd
c:\f1c84b8a7dad054ed1cb\amd64\mxdwdrv.dll
c:\f1c84b8a7dad054ed1cb\amd64\xpssvcs.dll
c:\f1c84b8a7dad054ed1cb\i386\filterpipelineprintproc.dll
c:\f1c84b8a7dad054ed1cb\i386\msxpsdrv.cat
c:\f1c84b8a7dad054ed1cb\i386\msxpsdrv.inf
c:\f1c84b8a7dad054ed1cb\i386\msxpsinc.gpd
c:\f1c84b8a7dad054ed1cb\i386\msxpsinc.ppd
c:\f1c84b8a7dad054ed1cb\i386\mxdwdrv.dll
c:\f1c84b8a7dad054ed1cb\i386\xpssvcs.dll
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATCHME
-------\Service_catchme


(((((((((((((((((((((((   Dateien erstellt von 2009-06-01 bis 2009-5-1  ))))))))))))))))))))))))))))))
.

2009-05-30 09:33 . 2009-05-30 09:33    --------    d-----w    c:\programme\trend micro
2009-05-30 08:20 . 2009-05-30 08:20    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-05-30 08:19 . 2007-07-16 13:29    59928    ----a-w    c:\windows\system32\fxcompchannel.dll
2009-05-30 08:19 . 2007-07-17 01:55    665    ----a-r    c:\windows\system32\hppapr11.dat
2009-05-30 08:19 . 2008-01-04 21:04    331776    ----a-r    c:\windows\system32\hppcpr11.dll
2009-05-30 08:12 . 2008-04-13 20:17    25856    -c--a-w    c:\windows\system32\dllcache\usbprint.sys
2009-05-30 08:12 . 2008-04-13 20:17    25856    ----a-w    c:\windows\system32\drivers\usbprint.sys
2009-05-28 18:43 . 2009-05-28 18:43    --------    d-----w    c:\dokumente und einstellungen\Frank\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-04-06 13:32    15504    ----a-w    c:\windows\system32\drivers\mbam.sys
2009-05-28 18:43 . 2009-04-06 13:32    38496    ----a-w    c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-28 18:43 . 2009-05-28 18:43    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-05-28 18:43    --------    d-----w    c:\programme\Malwarebytes' Anti-Malware
2009-05-28 18:30 . 2009-05-28 18:30    --------    d-----w    c:\programme\CCleaner
2009-05-28 17:58 . 2008-04-13 21:15    26368    -c--a-w    c:\windows\system32\dllcache\usbstor.sys
2009-05-27 17:32 . 2009-05-27 17:32    --------    d-----w    c:\programme\iPod
2009-05-27 17:32 . 2009-05-27 17:32    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-27 17:32 . 2009-05-27 17:32    --------    d-----w    c:\programme\iTunes
2009-05-24 08:38 . 2009-05-24 08:38    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-05-24 08:30 . 2009-05-24 08:30    --------    d-----w    c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-05-24 08:28 . 2009-05-24 08:33    --------    d-----w    c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-05-24 08:28 . 2009-05-24 08:28    --------    d-----w    c:\dokumente und einstellungen\Frank\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:28    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:33    --------    d-----w    c:\programme\AutoCAD 2010
2009-05-24 08:28 . 2009-05-24 08:28    --------    d-----w    c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\Autodesk
2009-05-24 08:27 . 2008-03-05 13:56    1420824    ----a-w    c:\windows\system32\D3DCompiler_37.dll
2009-05-24 08:27 . 2008-02-05 21:07    462864    ----a-w    c:\windows\system32\d3dx10_37.dll
2009-05-24 08:27 . 2008-03-05 13:56    3786760    ----a-w    c:\windows\system32\D3DX9_37.dll
2009-05-24 08:27 . 2009-05-24 08:27    --------    d-----w    c:\windows\Logs
2009-05-24 08:25 . 2006-06-29 11:07    14048    ------w    c:\windows\system32\spmsg2.dll
2009-05-24 08:23 . 2009-05-01 12:30    601808    ----a-w    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-24 08:22 . 2009-05-24 08:25    --------    d-----w    c:\windows\system32\XPSViewer
2009-05-24 08:22 . 2009-05-24 08:22    --------    d-----w    c:\programme\Reference Assemblies
2009-05-24 08:22 . 2008-07-06 12:06    117760    ------w    c:\windows\system32\prntvpt.dll
2009-05-24 08:22 . 2008-07-06 12:06    89088    -c----w    c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-05-24 08:22 . 2008-07-06 10:50    597504    -c----w    c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-05-24 08:22 . 2008-07-06 12:06    575488    -c----w    c:\windows\system32\dllcache\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06    575488    ------w    c:\windows\system32\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06    1676288    -c----w    c:\windows\system32\dllcache\xpssvcs.dll
2009-05-24 08:22 . 2008-07-06 12:06    1676288    ------w    c:\windows\system32\xpssvcs.dll
2009-05-24 08:04 . 2009-05-24 08:09    --------    d-----w    c:\programme\autocad
2009-04-30 15:19 . 2009-04-30 15:19    664    ----a-w    c:\windows\system32\d3d9caps.dat
2009-04-04 13:37 . 2009-04-04 13:37    --------    d-----w    c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-27 17:32 . 2009-03-29 10:14    --------    d-----w    c:\programme\Gemeinsame Dateien\Apple
2009-05-24 08:22 . 2009-03-19 21:44    --------    d-----w    c:\programme\MSBuild
2009-03-31 17:36 . 2009-03-31 17:36    --------    d-----w    c:\programme\Ashampoo
2009-03-29 10:15 . 2009-03-29 10:15    --------    d-----w    c:\programme\QuickTime
2009-03-22 12:09 . 2009-03-22 12:09    --------    d-----w    c:\programme\VideoLAN
2009-03-21 09:09 . 2009-03-19 19:44    86327    ----a-w    c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-19 21:44 . 2009-03-19 21:44    --------    d-----w    c:\programme\Microsoft Works
2009-03-19 21:06 . 2009-03-19 21:06    --------    d-----w    c:\programme\Gemeinsame Dateien\Adobe
2009-03-19 20:41 . 2009-03-19 20:41    0    ----a-w    c:\windows\nsreg.dat
2009-03-19 20:16 . 2009-03-19 20:16    --------    d-----w    c:\programme\Avira
2009-03-19 19:47 . 2009-03-19 19:47    --------    d-----w    c:\programme\microsoft frontpage
2009-03-19 19:44 . 2008-04-14 10:00    67    --sha-w    c:\windows\Fonts\desktop.ini
2009-03-19 19:43 . 2009-03-19 19:43    --------    d-----w    c:\programme\Online-Dienste
2009-03-19 19:42 . 2009-03-19 19:42    --------    d-----w    c:\programme\Gemeinsame Dateien\Dienste
2009-03-19 19:41 . 2009-03-19 19:41    21740    ----a-w    c:\windows\system32\emptyregdb.dat
2009-03-19 19:40 . 2009-03-19 19:40    --------    d-----w    c:\programme\Windows Media Connect 2
2009-03-19 14:32 . 2009-03-29 10:16    23400    ----a-w    c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-05 21:59 . 2009-03-29 10:14    36864    ----a-w    c:\windows\system32\drivers\usbaapl.sys
2009-03-05 21:59 . 2009-03-29 10:14    1900544    ----a-w    c:\windows\system32\usbaaplrc.dll
2009-02-12 12:08 . 2009-02-12 12:08    16712    ----a-w    c:\windows\system32\AcSignExtRes.dll
2009-02-09 08:13 . 2009-02-09 08:13    43160    ----a-w    c:\windows\system32\AcSignIcon.dll
2009-02-09 08:13 . 2009-02-09 08:13    429720    ----a-w    c:\windows\system32\AcSignOpt.exe
2009-02-09 08:13 . 2009-02-09 08:13    29848    ----a-w    c:\windows\system32\AcSignExt.dll
.

------- Sigcheck -------

[-] 2008-11-19 17:45    1571840    451D0981F4CCA5697307AF90D799BDC3    c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7561216]
"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2008-05-07 71592]
S2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-05-16 344321]
S2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-03-19 164097]
S2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]
S2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]
S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2008-05-07 71464]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2006-06-23 180608]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12    REG_MULTI_SZ       Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jzlqf817.default\
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-01 14:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(988)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(1504)
c:\windows\system32\msi.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\Avira Premium Security Suite\sched.exe
c:\programme\Avira\Avira Premium Security Suite\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-01 14:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-01 12:33
ComboFix2.txt  2009-05-30 09:08

Vor Suchlauf: 12 Verzeichnis(se), 56.280.293.376 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 56.207.585.280 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

191 


Bitte nicht als Php-Code posten, sondern als Code, wenn überhaupt.

Alles anschließen heißt alles anschließen.

ciao, andreas

So habe die Anweisungen nochmals mit USB-Stick und Festplatte durchgeführt.

Wusste nicht das alles dran sein muß da in der ANleitung zuvor nichts davon stand. Ebeno mit dem phpCode.

Habe dummerweise eben festgestellt, dass auf meiner anderen externen Platte das gleiche problem besteht kann da auch nicht drauf zugreifen. Hatte diese allerdings vorher noch nicht angeschlossen. Gibt es da die Möglichkeit mit dem zuvor durchgeführten, auch dort den fehler zu beheben?

hier jetzt aber das neue logfile

ComboFix 09-04-29.03 - Frank 01.05.2009 17:20.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.991.671 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Frank\Desktop\cfscript.txt
AV: Avira Premium Security Suite *On-access scanning disabled* (Updated)
FW: Avira Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\Tasks\AppleSoftwareUpdate.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATCHME


((((((((((((((((((((((( Dateien erstellt von 2009-06-01 bis 2009-5-1 ))))))))))))))))))))))))))))))
.

2009-05-30 09:33 . 2009-05-30 09:33 -------- d-----w c:\programme\trend micro
2009-05-30 08:20 . 2009-05-30 08:20 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-05-30 08:19 . 2007-07-16 13:29 59928 ----a-w c:\windows\system32\fxcompchannel.dll
2009-05-30 08:19 . 2007-07-17 01:55 665 ----a-r c:\windows\system32\hppapr11.dat
2009-05-30 08:19 . 2008-01-04 21:04 331776 ----a-r c:\windows\system32\hppcpr11.dll
2009-05-30 08:12 . 2008-04-13 20:17 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-05-30 08:12 . 2008-04-13 20:17 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-28 18:43 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-28 18:43 . 2009-05-28 18:43 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-28 18:30 . 2009-05-28 18:30 -------- d-----w c:\programme\CCleaner
2009-05-28 17:58 . 2008-04-13 21:15 26368 -c--a-w c:\windows\system32\dllcache\usbstor.sys
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\programme\iPod
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-27 17:32 . 2009-05-27 17:32 -------- d-----w c:\programme\iTunes
2009-05-24 08:38 . 2009-05-24 08:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-05-24 08:30 . 2009-05-24 08:30 -------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-05-24 08:28 . 2009-05-24 08:33 -------- d-----w c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-05-24 08:28 . 2009-05-24 08:33 -------- d-----w c:\programme\AutoCAD 2010
2009-05-24 08:28 . 2009-05-24 08:28 -------- d-----w c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\Autodesk
2009-05-24 08:27 . 2008-03-05 13:56 1420824 ----a-w c:\windows\system32\D3DCompiler_37.dll
2009-05-24 08:27 . 2008-02-05 21:07 462864 ----a-w c:\windows\system32\d3dx10_37.dll
2009-05-24 08:27 . 2008-03-05 13:56 3786760 ----a-w c:\windows\system32\D3DX9_37.dll
2009-05-24 08:27 . 2009-05-24 08:27 -------- d-----w c:\windows\Logs
2009-05-24 08:25 . 2006-06-29 11:07 14048 ------w c:\windows\system32\spmsg2.dll
2009-05-24 08:23 . 2009-05-01 12:30 601808 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-24 08:22 . 2009-05-24 08:25 -------- d-----w c:\windows\system32\XPSViewer
2009-05-24 08:22 . 2009-05-24 08:22 -------- d-----w c:\programme\Reference Assemblies
2009-05-24 08:22 . 2008-07-06 12:06 117760 ------w c:\windows\system32\prntvpt.dll
2009-05-24 08:22 . 2008-07-06 12:06 89088 -c----w c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-05-24 08:22 . 2008-07-06 10:50 597504 -c----w c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-05-24 08:22 . 2008-07-06 12:06 575488 -c----w c:\windows\system32\dllcache\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06 575488 ------w c:\windows\system32\xpsshhdr.dll
2009-05-24 08:22 . 2008-07-06 12:06 1676288 -c----w c:\windows\system32\dllcache\xpssvcs.dll
2009-05-24 08:22 . 2008-07-06 12:06 1676288 ------w c:\windows\system32\xpssvcs.dll
2009-05-24 08:04 . 2009-05-24 08:09 -------- d-----w c:\programme\autocad
2009-04-30 15:19 . 2009-04-30 15:19 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-04 13:37 . 2009-04-04 13:37 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-27 17:32 . 2009-03-29 10:14 -------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-05-24 08:22 . 2009-03-19 21:44 -------- d-----w c:\programme\MSBuild
2009-05-01 12:35 . 2009-05-01 12:35 4706 ----a-w c:\windows\system32\PerfStringBackup.TMP
2009-03-31 17:36 . 2009-03-31 17:36 -------- d-----w c:\programme\Ashampoo
2009-03-29 10:15 . 2009-03-29 10:15 -------- d-----w c:\programme\QuickTime
2009-03-22 12:09 . 2009-03-22 12:09 -------- d-----w c:\programme\VideoLAN
2009-03-21 09:09 . 2009-03-19 19:44 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-19 21:44 . 2009-03-19 21:44 -------- d-----w c:\programme\Microsoft Works
2009-03-19 21:06 . 2009-03-19 21:06 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-19 20:41 . 2009-03-19 20:41 0 ----a-w c:\windows\nsreg.dat
2009-03-19 20:16 . 2009-03-19 20:16 -------- d-----w c:\programme\Avira
2009-03-19 19:47 . 2009-03-19 19:47 -------- d-----w c:\programme\microsoft frontpage
2009-03-19 19:44 . 2008-04-14 10:00 67 --sha-w c:\windows\Fonts\desktop.ini
2009-03-19 19:43 . 2009-03-19 19:43 -------- d-----w c:\programme\Online-Dienste
2009-03-19 19:42 . 2009-03-19 19:42 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-19 19:41 . 2009-03-19 19:41 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-03-19 19:40 . 2009-03-19 19:40 -------- d-----w c:\programme\Windows Media Connect 2
2009-03-19 14:32 . 2009-03-29 10:16 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-05 21:59 . 2009-03-29 10:14 36864 ----a-w c:\windows\system32\drivers\usbaapl.sys
2009-03-05 21:59 . 2009-03-29 10:14 1900544 ----a-w c:\windows\system32\usbaaplrc.dll
2009-02-12 12:08 . 2009-02-12 12:08 16712 ----a-w c:\windows\system32\AcSignExtRes.dll
2009-02-09 08:13 . 2009-02-09 08:13 43160 ----a-w c:\windows\system32\AcSignIcon.dll
2009-02-09 08:13 . 2009-02-09 08:13 429720 ----a-w c:\windows\system32\AcSignOpt.exe
2009-02-09 08:13 . 2009-02-09 08:13 29848 ----a-w c:\windows\system32\AcSignExt.dll
.

------- Sigcheck -------

[-] 2008-11-19 17:45 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-05-30_09.07.09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 10:00 . 2009-05-30 08:21 68354 c:\windows\system32\perfc009.dat
+ 2008-04-14 10:00 . 2009-05-01 12:35 68354 c:\windows\system32\perfc009.dat
+ 2008-04-14 10:00 . 2009-05-01 12:35 435458 c:\windows\system32\perfh009.dat
- 2008-04-14 10:00 . 2009-05-30 08:21 435458 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7561216]
"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2008-05-07 71592]
S2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-05-16 344321]
S2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-03-19 164097]
S2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]
S2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]
S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2008-05-07 71464]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2006-06-23 180608]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\jzlqf817.default\
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-01 17:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(992)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(3744)
c:\windows\system32\msi.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\Avira Premium Security Suite\sched.exe
c:\programme\Avira\Avira Premium Security Suite\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-01 17:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-01 15:26
ComboFix2.txt 2009-05-01 12:34
ComboFix3.txt 2009-05-30 09:08

Vor Suchlauf: 10 Verzeichnis(se), 54.144.761.856 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 54.139.912.192 Bytes frei

171

Zitat:

Wusste nicht das alles dran sein muß da in der ANleitung zuvor nichts davon stand.

Hö? Fielmann?

Zitat:

Stecke alles, das du jemals mit dem Computer verbunden hast, wie Kamera, Handy, Speicherkarten, Memorysticks, externe Laufwerke, ... vor dem nächsten Scan an.

Zitat:

Gibt es da die Möglichkeit mit dem zuvor durchgeführten, auch dort den fehler zu beheben?

Ja. Platte anstöpseln, ComboFix laufenlassen. Log posten.

ciao, andreas

So, wie es aussieht scheint alles wieder zu funktionieren.

Möchte mich für die schnelle und sehr gute Hilfe bei
Dir bedanken.

Wie, du glaubst doch nicht etwa schon fertig zu sein?

Klicke in meiner Signatur auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas