TR/Crypt.ZPACK.Gen / TR AGENT variante /eventuell Rootkit laut GMER

haegz · 17.07.2009, 21:11

hoi all an alle fleissigen helfer und experten hier

hab vor kurzem wohl nen TR/Crypt.ZPACK.Gen eingefangen der irgendeine Variante von TR/AGENT oder so nachgeladen hat.

Bedauerlicherweise hab ich teils chaotisch panisch reagiert: Avira (da noch in veralteter Version) kam mit 4 Fehlermeldung (2x TR/Crypt.ZPACK.Gen, 2x besagte Agent variante) innerhalb 20sec beim surfen die alle im TEMP lagen. Während ich mich noch wunder macht es ZAP, Bildschirm schwarz und die kiste restartet von selber. Hab direkt das Netzkabel gezogen (soweit ja net falsch), dann manuell C\Win..user\Temp inhalt gelöscht (im nachhinein etwas naiv zu glauben damit wärs getan nachdem er schon selber neustartet...), und wollte dann direkt ab in den Abgesicherten Modus um dort zu retten was zu retten ist, ... aber leider schon alles zu spät, bei der Auswahl zw Abgeischertem Modus und normal start ging nix mehr von wegen Abgesicherten Modus wählen - oh und der Asuwahlbildschirm kam auch iwie net bei F8 -da kamen bootdevices, sondern bei F5 - kann aber auch am Ami Bios liegen des is net mein Rechner und ich bin AWARD gewöhnt...(zum thema abges.mod und tastatur, ja es ist ne usb tastatur, aber ich meine mich zu erinnern dass es sonst gefunzt hat...)

Ich hab dann erstmal Avira ohne abgesicherten modus deinstalliert da ich dem ding nicht mehr getraut hab denn den guard.exe hatte es seit dem ereignis auch gleich terminiert und testweise nen wiederherstellungspunkt von vor 2 tagen geladen. nachdem danach abgesicherter modus immer noch nicht auswählbar war und der guard immer noch weg...

Ab hier ha ichs dann ernster genommen und erstmal gegoogelt und gelesen...
gefunden hab ich diesen thread:

Zitat:

http://www.trojaner-board.de/71263-t...04-76-a-2.html

an dem ich versucht habe mich zu orientieren.

Ich hab dann erstmal Avira ohne abgesicherten modus neuinstalliert (vom usbstick aus, der usbstick kommt jetz erstmal an nix andres als an die verseuchte kiste ran)

Gefunden hat er danach, in der aktuellen neuinstallierten, upgedateteten Version, und mit den Einstellungen wie hier ( http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html) beschrieben gesetzt, folgendes:

Zitat:

idiotischerweise hab ich es nun zu gut gemeint und protokollierung stand auf mittel - das hier ist ein auszug anfang /ende aus den 100 seiten oder so... :/ falls hier was wichtiges fehlt kann ich das ergänzen ggf.:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 17. Juli 2009 20:38

Es wird nach 1548239 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HAEGI

Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 18:29:49
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12.07.2009 18:29:53
ANTIVIR3.VDF : 7.1.4.252 445440 Bytes 17.07.2009 18:29:55
Engineversion : 8.2.0.222
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.18 442746 Bytes 17.07.2009 18:30:00
AESCN.DLL : 8.1.2.3 127347 Bytes 14.05.2009 10:02:01
AERDL.DLL : 8.1.2.4 430452 Bytes 17.07.2009 18:30:00
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.07.2009 18:29:59
AEHEUR.DLL : 8.1.0.143 1864055 Bytes 17.07.2009 18:29:59
AEHELP.DLL : 8.1.4.5 229748 Bytes 17.07.2009 18:29:56
AEGEN.DLL : 8.1.1.48 348532 Bytes 17.07.2009 18:29:56
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.5 180597 Bytes 17.07.2009 18:29:55
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: mittel
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 17. Juli 2009 20:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '29379' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdateCenterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

*gekürzt*

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\A0151604.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a91cd22.qua' verschoben!
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\A0151605.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a91cd23.qua' verschoben!

Ende des Suchlaufs: Freitag, 17. Juli 2009 21:11
Benötigte Zeit: 33:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5872 Verzeichnisse wurden überprüft
153597 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
31 Dateien konnten nicht durchsucht werden
153564 Dateien ohne Befall
1476 Archive wurden durchsucht
40 Warnungen
61 Hinweise
29379 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

von dem TR / Agent den die alte Avira kurz vorm bösartigen Reboot gefunden hatte keine Spur mehr, die alten LOGs sind dank meines chaos leider weg.

Dann hab ich CCleaner drüberlaufen lassen entsprechend der Anleitung. Das ging bis auf einen Registry eintrag gut. Dieser lässt sich auch bei 10x suchen/beheben nicht loswerden. manuelles Regedit brachte "schlüssel kann nicht gelöscht werden, fehler beim löschen des Schlüssels" zu tage. Im CCleaner folgendermaßen angezeigt:

Zitat:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Dann hab ich, entsprechend obigen threads erst GMER entsprechend anleitung drüberlaufen lassen bevor ich mit Malwarebytes und RSIT angefangen habe, das war nen Fehler meinerseits hab mich bei der Reihenfolge verlesen, falls das Probs macht müsst ihr mir sagen ab wo ich wieder anfangen muss:

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-07-17 21:29:35
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84F12A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF84FC910]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8238D478

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)

---- Modules - GMER 1.0.14 ----

Module _________ F8452000-F846A000 (98304 bytes)

---- EOF - GMER 1.0.14 ----

Malwarebytes und RSIT folgen gleich, nehme mal an die logfiles gehen eh nicht alle in einen einzelpost also stell ichs schonmal rein.

Im voraus danke, falls ich was am prozedere noch falsch hab dass Euch das helfen erschwert bitte sagen.

greetz & thx, haegz

edit: 0o hui Malwarebytes braucht ja nen bissl länger .... *wart* naja immerhin issa jetz auf D:\ und hat bis jetz noch nix gefunden ...

haegz · 17.07.2009, 22:02

sry 4 doppelpost aber ich pack die logs mal lieber in 2 posts wegen länge:

malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2452
Windows 5.1.2600 Service Pack 2

17.07.2009 22:53:34
mbam-log-2009-07-17 (22-53-34).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 142518
Laufzeit: 44 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

RSIT - log.txt

Zitat:

Logfile of random's system information tool 1.06 (written by random/random)
Run by **USER** at 2009-07-17 22:56:14
Microsoft Windows XP Professional Service Pack 2
System drive C: has 268 MB (4%) free of 7 GB
Total RAM: 511 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:56:47, on 17.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Programme\trend micro\***.exe

R3 - URLSearchHook: TorrentMan Toolbar - {7c5c0f58-e061-457d-9033-77307f5ed00c} - C:\Programme\TorrentMan\tbTor0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: TorrentMan Toolbar - {7c5c0f58-e061-457d-9033-77307f5ed00c} - C:\Programme\TorrentMan\tbTor0.dll
O3 - Toolbar: TorrentMan Toolbar - {7c5c0f58-e061-457d-9033-77307f5ed00c} - C:\Programme\TorrentMan\tbTor0.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] D:\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] D:\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] D:\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] D:\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe

--
End of file - 4533 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1169027706.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - D:\SPYBOT~1\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 501400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7c5c0f58-e061-457d-9033-77307f5ed00c}]
TorrentMan Toolbar - C:\Programme\TorrentMan\tbTor0.dll [2009-07-11 2215960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{7c5c0f58-e061-457d-9033-77307f5ed00c} - TorrentMan Toolbar - C:\Programme\TorrentMan\tbTor0.dll [2009-07-11 2215960]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=C:\WINDOWS\UpdReg.EXE [2000-05-11 90112]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"SW20"=C:\WINDOWS\system32\sw20.exe [2006-09-07 208896]
"SW24"=C:\WINDOWS\system32\sw24.exe [2006-09-07 69632]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-10-22 7700480]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-10-22 86016]
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2005-09-28 172544]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-07-13 414992]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe [2007-03-16 63712]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
D:\CloneCD\CloneCDTray.exe [2005-05-19 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
D:\Programme\ICQ6\ICQ.exe silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
D:\Creative\SBLive\PROGRAM\ADGJDet.exe [2001-11-29 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
D:\QuickTime\qttask.exe -atboottime []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
g:\steam\steam.exe [2008-12-31 1410296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe [2007-03-14 83608]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINDVDPatch]
C:\WINDOWS\system32\CTHELPER.EXE [2002-07-02 24576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3
"idsvc"=3

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=B1000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*

isabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\usmt\migwiz.exe"="C:\WINDOWS\system32\usmt\migwiz.exe:*

isabled:Assistent zum Übertragen von Dateien und Einstellungen"
"G:\Steam\SteamApps\**USER**\counter-strike source\hl2.exe"="G:\Steam\SteamApps\**USER***\counter-strike source\hl2.exe:*:Enabled:hl2"
"D:\Mozilla Firefox\firefox.exe"="D:\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"G:\Steam\steam.exe"="G:\Steam\steam.exe:*:Enabled:Steam"
"D:\BitTorrent\bittorrent.exe"="D:\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"G:\BitLord\BitLord.exe"="G:\BitLord\BitLord.exe:*:Enabled:BitLord"
"D:\eMule\emule.exe"="D:\eMule\emule.exe:*:Enabled:eMule"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-07-17 22:56:16 ----D---- C:\Programme\trend micro
2009-07-17 22:56:14 ----D---- C:\rsit
2009-07-17 21:36:12 ----D---- C:\Dokumente und Einstellungen\**USER**\Anwendungsdaten\Malwarebytes
2009-07-17 21:36:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-17 21:36:00 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-17 21:19:22 ----D---- C:\Programme\CCleaner
2009-07-17 21:14:59 ----A---- C:\WINDOWS\gmer_uninstall.cmd
2009-07-17 21:14:59 ----A---- C:\WINDOWS\gmer.dll
2009-07-17 21:14:58 ----A---- C:\WINDOWS\gmer.exe
2009-07-17 20:28:12 ----D---- C:\WINDOWS\LastGood
2009-07-17 20:28:04 ----D---- C:\Programme\Avira
2009-07-17 20:28:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-07-17 19:01:52 ----D---- C:\WINDOWS\Minidump
2009-07-04 23:31:05 ----D---- C:\Dokumente und Einstellungen\**USER**\Anwendungsdaten\InstallShield

======List of files/folders modified in the last 1 months======

2009-07-17 22:56:16 ----RD---- C:\Programme
2009-07-17 21:36:05 ----D---- C:\WINDOWS\system32\drivers
2009-07-17 21:22:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-17 21:22:35 ----D---- C:\WINDOWS\Temp
2009-07-17 21:22:35 ----D---- C:\WINDOWS\Debug
2009-07-17 21:22:35 ----D---- C:\WINDOWS
2009-07-17 20:59:41 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-17 20:28:15 ----HD---- C:\WINDOWS\inf
2009-07-17 20:28:12 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-17 20:27:28 ----SHD---- C:\WINDOWS\Installer
2009-07-17 20:27:28 ----D---- C:\Config.Msi
2009-07-17 20:27:26 ----D---- C:\WINDOWS\WinSxS
2009-07-17 20:27:25 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-17 20:22:57 ----RASH---- C:\boot.ini
2009-07-17 20:22:57 ----A---- C:\WINDOWS\win.ini
2009-07-17 20:22:57 ----A---- C:\WINDOWS\system.ini
2009-07-17 20:14:33 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-07-17 19:55:55 ----D---- C:\WINDOWS\system32\config
2009-07-17 19:55:14 ----D---- C:\WINDOWS\system32\wbem
2009-07-17 19:55:14 ----D---- C:\WINDOWS\Registration
2009-07-17 19:13:41 ----D---- C:\WINDOWS\Prefetch
2009-07-11 18:16:00 ----D---- C:\Programme\TorrentMan
2009-07-03 15:07:11 ----RSD---- C:\WINDOWS\Fonts
2009-07-01 11:22:22 ----D---- C:\WINDOWS\system32

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2007-01-17 82380]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2007-08-07 25160]
R2 NVR0FLASHDev;NVR0FLASHDev; \??\C:\WINDOWS\nvflash.sys []
R2 PfModNT;PfModNT; \??\C:\WINDOWS\system32\PfModNT.sys []
R2 rspndr;Antwort für Verbindungsschicht-Topologieerkennung; C:\WINDOWS\system32\DRIVERS\rspndr.sys [2006-12-13 62336]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2006-10-20 20096]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB; C:\WINDOWS\system32\DRIVERS\cjusb.sys [2005-10-04 17664]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 emu10k;Creative SB Live! (WDM); C:\WINDOWS\system32\drivers\emu10k1m.sys [2001-08-17 283904]
R3 emu10k1;Creative-Schnittstellen-Verwaltungstreiber (WDM); C:\WINDOWS\system32\drivers\ctlfacem.sys [2001-08-17 6912]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-23 9600]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2003-03-09 51024]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2003-03-09 16080]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2003-03-09 21456]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-10-22 3994624]
R3 sfman;Creative-SoundFont-Verwaltungstreiber (WDM); C:\WINDOWS\system32\drivers\sfmanm.sys [2001-08-17 36480]
R3 SISNIC;SiS-PCI-Fast Ethernet- Adaptertreiber; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2004-08-03 32768]
R3 TSMPacket;DSL-Manager Service; C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 13824]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2006-12-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2006-12-13 59264]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2006-12-13 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys []
S1 InCDRm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys []
S3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\System32\drivers\ctac32k.sys [2002-07-19 127948]
S3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2002-07-19 837548]
S3 ctljystk;Creative SBLive!-Gameport; C:\WINDOWS\System32\DRIVERS\ctljystk.sys [2001-08-17 3712]
S3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\System32\drivers\ctprxy2k.sys [2002-07-19 11068]
S3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\System32\drivers\ctsfm2k.sys [2002-07-19 213860]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\dsltestSp5.sys [2007-09-12 26816]
S3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\System32\drivers\emupia2k.sys [2002-07-19 156604]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI; C:\WINDOWS\System32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2009-07-17 85969]
S3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2002-07-24 998004]
S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS []
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver; \??\D:\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2004-08-03 40320]
S3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2002-07-19 195432]
S3 PCANDIS5;PCANDIS5; \??\C:\PROGRA~1\T-Online\DSL-MA~1\PCANDIS5.SYS []
S3 pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\pcouffin.sys []
S3 RT73;Topcom Skyr@cer USB 4001g Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-23 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-05-11 185089]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-10-22 159810]
R2 UpdateCenterService;Update Center Service; C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe [2008-05-23 114688]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2003-03-09 65795]
S3 TDslMgrService;DSL-Manager; C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe [2007-11-26 294912]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]
S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------

haegz · 17.07.2009, 22:06

RSIT - info.txt

Zitat:

info.txt logfile of random's system information tool 1.06 2009-07-17 22:56:52

======Uninstall list======

-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->D:\Creative\SBLive\Program\Ctzapxx.EXE /X /U /S
-->D:\Nero 7\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2638924D-DC58-4C40-BB1C-48C2B24B7B1B}\Setup.exe" -L0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{52739387-B81C-4C55-9593-EB7A1044A657}\Setup.exe" -L0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x9 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x9 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x9 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x9 /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware SE Personal-->D:\AD-AWA~1\UNWISE.EXE D:\AD-AWA~1\INSTALL.LOG
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Adobe® Photoshop® Album Starter Edition 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-4AF04F044D61}
AnyDVD-->"C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Programme\SlySoft\AnyDVD"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
BitLord 1.1-->C:\Programme\BitLord\uninst.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CleanUp!-->D:\CleanUp!\uninstall.exe
CloneCD-->"D:\CloneCD\ccd-uninst.exe" /D="D:\CloneCD"
CloneDVD2-->"D:\CloneDVD2\CloneDVD2-uninst.exe" /D="D:\CloneDVD2"
Counter-Strike: Source-->MsiExec.exe /I{9580813D-94B1-4C28-9426-A441E2BB29A5}
cyberJack Base Components-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FC338210-F594-11D3-BA24-00001C3AB4DF}\Setup.exe"
DAEMON Tools-->MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}
Disk Cleaner (remove only)-->"C:\Programme\Disk Cleaner\uninstall.exe"
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DSL-Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{90A455A7-0FC8-4508-B7FA-8F135B8F041A}\Setup.exe" -l0x7
DVD Shrink 3.2-->"D:\DVD Shrink\unins000.exe"
EMEA02-->MsiExec.exe /X{949460AD-3C77-44FD-8D78-BF605EF28114}
eMule-->"C:\Programme\eMule\Uninstall.exe"
Foxit Reader-->C:\Programme\Foxit Software\Foxit Reader\Uninstall.exe
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HP Foto- und Bildbearbeitung 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series-->D:\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber -->MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
hp psc 1200 series-->MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
HP Speicher-Disc-->MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
K-Lite Codec Pack 3.8.0 Full-->"C:\Programme\K-Lite Codec Pack\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.11)-->D:\Mozilla Firefox\uninstall\helper.exe
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
Nero 7 Demo-->MsiExec.exe /I{84B2CF01-194D-2284-B313-F2E0D78D1031}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
NVIDIA System Monitor-->"C:\Programme\InstallShield Installation Information\{E9CFBE78-ED91-4FCF-9E6F-210E477E527D}\setup.exe" -runfromtemp -l0x0407 -removeonly
NVIDIA System Monitor-->MsiExec.exe /I{E9CFBE78-ED91-4FCF-9E6F-210E477E527D}
NVIDIA System Update-->"C:\Programme\InstallShield Installation Information\{6F69C969-2942-4E7B-B594-75B37664B8BA}\setup.exe" -runfromtemp -l0x0407 -removeonly
NVIDIA System Update-->MsiExec.exe /I{6F69C969-2942-4E7B-B594-75B37664B8BA}
OnlineControl 1.2-->"D:\OnlineControl\unins000.exe"
Panda ActiveScan-->C:\WINDOWS\system32\ASUninst.exe Panda ActiveScan
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
QuickTime Alternative 1.76-->"D:\QuickTime Alternative\unins000.exe"
Real Alternative 1.51-->"D:\Real Alternative\unins000.exe"
screensaver-800x600-->C:\WINDOWS\screensaver-800x600.scr /u
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
SiSAGP driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DC226AC9-0314-496C-BE6A-B6A132628466}\setup.exe" -l0x7
Sound Blaster Live! Web 2K/XP-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3FCAADB8-EB1B-11D6-AB2D-0090271A23A2}\Setup.exe" -l0x9
Spybot - Search & Destroy-->"D:\Spybot - Search & Destroy\unins000.exe"
StarMoney 3.0 S-Edition-->C:\WINDOWS\IsUn0407.exe -f"D:\StarMoney 3.0 S-Edition\Uninst.isu" -c"D:\StarMoney 3.0 S-Edition\deinst.dll"
StarMoney 5.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6FDCF790-49AF-4E3B-8EB2-C07E2DBA55EA}\setup.exe" -l0x7 -removeonly
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Streamripper (Remove only)-->C:\Programme\Streamripper\Uninstall.exe
T-Online 6.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B1275E23-717A-4D52-997A-1AD1E24BC7F3}\setup.exe" CPAS
Topcom Wireless LAN Card-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E91E8912-769D-42F0-8408-0E329443BABC}\setup.exe" -l0x9 -removeonly
TorrentMan Toolbar-->C:\PROGRA~1\TORREN~1\UNWISE.EXE C:\PROGRA~1\TORREN~1\INSTALL.LOG
Winamp (remove only)-->"D:\Winamp\UninstWA.exe"
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
WinRAR Archivierer-->D:\WinRAR\uninstall.exe
WinZip-->"D:\WinZip\WINZIP32.EXE" /uninstall
xp-AntiSpy 3.96-4-->D:\xp-AntiSpy\Uninstall.exe
XP-Clean-->MsiExec.exe /I{95F48480-6D51-49A5-BFC3-7D8043AC5386}

======Hosts File======

127.0.0.1 w*w.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 w*w.008k.com
127.0.0.1 008k.com
127.0.0.1 w*w.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 w*w.032439.com
127.0.0.1 032439.com

======Security center information======

AV: Avira AntiVir PersonalEdition Classic (outdated)
AV: Avira AntiVir PersonalEdition Classic
AV: AntiVir Desktop (disabled) (outdated)
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic

======System event log======

Computer Name: ****
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "CrystalSysInfo" gesendet.

Record Number: 40369
Source Name: Service Control Manager
Time Written: 20090413131152.000000+120
Event Type: Informationen
User: PCNAME\**USER**

Computer Name: ****
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 40368
Source Name: Service Control Manager
Time Written: 20090413131149.000000+120
Event Type: Informationen
User:

Computer Name: ****
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 40367
Source Name: Service Control Manager
Time Written: 20090413131149.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ****
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 40366
Source Name: Service Control Manager
Time Written: 20090413131148.000000+120
Event Type: Informationen
User:

Computer Name: ****
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.

Record Number: 40365
Source Name: Service Control Manager
Time Written: 20090413131148.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: ****
Event Code: 0
Message:
Record Number: 5
Source Name: TDslMgrService
Time Written: 20081127114600.000000+060
Event Type: Informationen
User:

Computer Name: ****
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 4
Source Name: Avira AntiVir
Time Written: 20081127114528.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ****
Event Code: 1517
Message: Die Registrierung des Benutzers "****\**USER**" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 3
Source Name: Userenv
Time Written: 20081127114425.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ****
Event Code: 0
Message:
Record Number: 2
Source Name: TDslMgrService
Time Written: 20081127114004.000000+060
Event Type: Informationen
User:

Computer Name: ****
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 1
Source Name: Avira AntiVir
Time Written: 20081127113928.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;D:\T-Online\T-Online_Software_6\Basis-Software\Basis2\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 1 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=0102
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"ZKA_SIG_HOME"=D:\REINER SCT\cyberJack

-----------------EOF-----------------

so ich glaube das ist es soweit... wenn was fehlt oder falsch durchgefürht wurde bitte bescheid geben. thx fürs lesen u. helfen .... cya

edit2:
der erste GMER scan war wohl nichts, hatte nicht alle partitionen angeklickt, ausserdem lief der avguard noch im hintergrund. habe GMER nochma laufen lassen, jetzt avguard deaktiviert - da ich aber immer noch nicht in den Abges. Mod kann hab ich dabei natürlich dann noch avgnt der sich im taskmanager ja auch nicht killen lässt, im hintergrund gehabt. Trotzdem hat der 2. GMER merh erbracht:

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-07-17 23:59:49
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF84FC818]
SSDT F8C6ED1E ZwCreateKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF84F0A20]
SSDT F8C6ED14 ZwCreateThread
SSDT F8C6ED23 ZwDeleteKey
SSDT F8C6ED2D ZwDeleteValueKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84F12A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF84FC910]
SSDT F8C6ED32 ZwLoadKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF84FC794]
SSDT F8C6ED00 ZwOpenProcess
SSDT F8C6ED05 ZwOpenThread
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF84F12C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF84FC866]
SSDT F8C6ED3C ZwReplaceKey
SSDT F8C6ED37 ZwRestoreKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF84FC0B0]
SSDT F8C6ED28 ZwSetValueKey
SSDT F8C6ED0F ZwTerminateProcess

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8238D478

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)

Device \FileSystem\Fastfat \FatCdrom 819F0730
Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation)
Device \FileSystem\Rdbss \Device\FsWrap 8161E468
Device \Driver\Cdrom \Device\CdRom0 818F2580
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 81905B98
Device \Driver\atapi \Device\Ide\IdePort0 81905B98
Device \Driver\atapi \Device\Ide\IdePort1 81905B98
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 81905B98
Device \Driver\Cdrom \Device\CdRom1 818F2580
Device \FileSystem\Srv \Device\LanmanServer 81557D10
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 816B4EA8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 816B4EA8
Device \FileSystem\Npfs \Device\NamedPipe 816AA8E8
Device \FileSystem\Msfs \Device\Mailslot 816A8DF0
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 817AA228
Device \Driver\d347prt \Device\Scsi\d347prt1 817AA228
Device \FileSystem\Fastfat \Fat 819F0730

AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 817A98B8
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 817A98B8
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 817A98B8
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 817A98B8
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 817A98B8
Device \FileSystem\Cdfs \Cdfs 81955490

---- Modules - GMER 1.0.14 ----

Module _________ F8452000-F846A000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40

---- EOF - GMER 1.0.14 ----

edit3: ich hab beim googeln gelesen dass der nicht funktionierende abgesicherte modus was mit der boot.ini zu tun haben soll?! Weiß nicht obs stimmt, aber falls ja und sie benötigt wird:

Zitat:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

die windoof suche hate ausserdem eine "boot.ini.backup" unter C:\Windows\pss zu tage gebracht. Gehört die dahin?

haegz · 19.07.2009, 16:16

thread can geclosed werden system ist neu aufgesetzt

nich dass sich einer die Arbeit umsonnst macht

thx

TR/Crypt.ZPACK.Gen / TR AGENT variante /eventuell Rootkit laut GMER

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen / TR AGENT variante /eventuell Rootkit laut GMER