Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Welcher Trojaner an Bord? Bank sperrt online Account

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.07.2009, 20:10   #1
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Unglücklich

Welcher Trojaner an Bord? Bank sperrt online Account



Hallo zusammen,

Meinen Einstand hatte ich bei Lob und Kritik gegeben...nun denn noch einmal:

Super Arbeit, die ich bis jetzt hier sehen konnte und ich ziehe den Hut vor Eurer Aufopferung für Leute, die Probleme haben.

Kurz zu meinem Fall:
Letzte Woche habe ich mitbekommen, dass meine Bank mir den Online-Zugang dicht gemacht hat.
Auf meine Nachfrage wurde mir erklärt, dass bei meinem Login ein Trojaner/Virus registriert und deshalb mein Account vorsorglich gesperrt wurde.
Als ich dann anrief, um weitere Infos zu bekommen, wurde mir dann gesagt, das der Virus/Trojaner bei denen unter dem Namen "URL Zone" geführt wird. Eine weitere Recherche mit der Bezeichnung hat mich später aber auch nicht weiter gebracht. Mir wurde außerdem ein Neuaufsetzen nahe gelegt - wahrscheinlich, um DAU-Fehler komplett ausschließen zu können.

Ich habe leider keinen blassen Schimmer, woher das Ding - so es denn existiert - stammen soll. Bei mir läuft Antivir, ab und an mache ich einen Scan mit HJT und Stinger.exe, da ich auch ein wenig paranoid, aber anscheinend nicht genug bin.
Außerdem versuche ich mein System mit TuneUp2007 sauber zu halten und habe, nach meiner Einschätzung, alle unnötigen Prozesse (updater von Anwendungen u.ä.) beim Systemstart auf Eis gelegt.
Ich hoffe, dadurch werden auch meine LogFiles entsprechend schmal gehalten.

Ich weiß, dass ich mit dem ServicePack 2 unterwegs bin und habe Schiß mir mein System mit einem Upgrade zu zerschießen (hab ich schonmal erlebt bei SP1 auf SP2) - das hatte mit damals die Userverwaltung zerschossen, ich kam nicht mehr in das System und die XP Reparatur hat nicht gegriffen, da Version SP 0 --> vielen Dank, einmal Neu bitte.

Hier also mein HJT-Scan:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:37, on 27.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\TODDSrv.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\TOSHIBA\TouchED\TouchED.exe
C:\WINDOWS\system32\thpsrv.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Opera\opera.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = <edit>://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.exe
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - <edit>://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - <edit>://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - <edit>://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\Software\..\Telephony: DomainName = <edit-domain>
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = <edit-domain>
O20 - Winlogon Notify: TosBtNP - C:\WINDOWS\SYSTEM32\TosBtNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 8306 bytes
         
Ich hoffe, ich hab alle Soll-Punkte für das Posten von persönlichen und ausführbaren Informationen erwischt.

die Punkte 1 und 2 unter "Für alle Neuen" habe ich bereits gelesen und durchgeführt.

hier noch das Log von Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2489
Windows 5.1.2600 Service Pack 2

26.07.2009 00:53:10
mbam-log-2009-07-26 (00-53-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 74518
Laufzeit: 4 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\<edit>\Anwendungsdaten\NI.GSCNS (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\<edit>\anwendungsdaten\ni.gscns\dl.ini (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\<edit>\anwendungsdaten\ni.gscns\settings.ini (Trojan.Agent) -> Quarantined and deleted successfully.
         
Ich hoffe, Ihr könnt mir helfen?

Viele Grüße,
Marcus

Alt 28.07.2009, 07:32   #2
Chris4You
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hi,

aufsetzten ist immer die beste Methode, wenn man ein aktuelles Backup hat!
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\SYSTEM32\TosBtNP.dll <- gehört ev. zu Deinem (Toshiba)-Notebook
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
__________________

__________________

Alt 28.07.2009, 15:56   #3
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hallo Chris,

Danke, dass Du Dich der Sache angenommen hast.

Ich werde alles durchführen, sobald ich zu Haus bin - tagsüber bin ich halt viel unterwegs.

Dann bis später und viele Grüße
__________________

Alt 28.07.2009, 22:06   #4
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hallo Chris,

Dateieinstellungen war bereits Standard bei mir.

Die Datei gehört zum Notebook und war auch schon immer da.
Onlinescan der Datei TosBtNP.dll - Ergebnis:

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.07.28	-
AhnLab-V3	5.0.0.2	2009.07.28	-
AntiVir	7.9.0.234	2009.07.28	-
Antiy-AVL	2.0.3.7	2009.07.28	-
Authentium	5.1.2.4	2009.07.28	-
Avast	4.8.1335.0	2009.07.28	-
AVG	8.5.0.387	2009.07.28	-
BitDefender	7.2	2009.07.28	-
CAT-QuickHeal	10.00	2009.07.28	-
ClamAV	0.94.1	2009.07.28	-
Comodo	1797	2009.07.28	-
DrWeb	5.0.0.12182	2009.07.28	-
eSafe	7.0.17.0	2009.07.28	-
eTrust-Vet	31.6.6643	2009.07.28	-
F-Prot	4.4.4.56	2009.07.28	-
F-Secure	8.0.14470.0	2009.07.28	-
Fortinet	3.120.0.0	2009.07.28	-
GData	19	2009.07.28	-
Ikarus	T3.1.1.64.0	2009.07.28	-
Jiangmin	11.0.800	2009.07.28	-
K7AntiVirus	7.10.804	2009.07.28	-
Kaspersky	7.0.0.125	2009.07.28	-
McAfee	5691	2009.07.28	-
McAfee+Artemis	5691	2009.07.28	-
McAfee-GW-Edition	6.8.5	2009.07.28	-
Microsoft	1.4903	2009.07.28	-
NOD32	4286	2009.07.28	-
Norman	6.01.09	2009.07.28	-
nProtect	2009.1.8.0	2009.07.28	-
Panda	10.0.0.14	2009.07.28	-
PCTools	4.4.2.0	2009.07.28	-
Prevx	3.0	2009.07.28	-
Rising	21.40.14.00	2009.07.28	-
Sophos	4.44.0	2009.07.28	-
Sunbelt	3.2.1858.2	2009.07.28	-
Symantec	1.4.4.12	2009.07.28	-
TheHacker	6.3.4.3.376	2009.07.28	-
TrendMicro	8.950.0.1094	2009.07.28	-
VBA32	3.12.10.9	2009.07.28	-
ViRobot	2009.7.28.1857	2009.07.28	-
VirusBuster	4.6.5.0	2009.07.28	-
weitere Informationen
File size: 65536 bytes
MD5...: f51eb3a414121332f1820aed34b0cfdf
SHA1..: cc26cc5ccb87df591378144d35dd860154dea448
SHA256: 1b8d965e353ca8f4c5e6dda517f824632619e51c7237553f3d6c1fb17844d466
ssdeep: 768:yn2aGalLuXzXnx9x0ANeiViV3VlY9CTkFFRP59tlHa+NwG3otPlrN1:g2awr
nopTYYTkFxVHBNwFtPln
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x477d
timedatestamp.....: 0x44c0b24f (Fri Jul 21 10:54:07 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x719a 0x8000 6.12 343bb0791e7ca7947ae2590bc0f5fd8f
.rdata 0x9000 0x13e7 0x2000 3.91 315388a13579a1cf7669941dadd4f873
.data 0xb000 0x3514 0x3000 1.35 86ebf9a197cb1a454aaf9aa40fc60ffd
.rsrc 0xf000 0x488 0x1000 1.13 feebb898239ea11d712bcd93956c2db1
.reloc 0x10000 0xfee 0x1000 4.16 8a657bbfdc668f932dbe1be36733bee1

( 4 imports ) 
> KERNEL32.dll: ReleaseMutex, CreateThread, CreateSemaphoreA, CreateMutexA, TerminateThread, WaitForSingleObject, Sleep, MultiByteToWideChar, CreateEventA, SetEvent, CreateNamedPipeA, DisconnectNamedPipe, ConnectNamedPipe, ResetEvent, ReadFile, GetOverlappedResult, GetTickCount, ReleaseSemaphore, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteFile, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetCurrentProcessId, DisableThreadLibraryCalls, VerSetConditionMask, VerifyVersionInfoA, GetCurrentProcess, CreateDirectoryA, GetProcAddress, CreateFileA, GetLastError, GetFileAttributesA, SetFileAttributesA, CloseHandle, GetPrivateProfileStringA, FindFirstFileA, FindNextFileA, FindClose, FreeLibrary, LoadLibraryA, TlsGetValue, HeapFree, HeapAlloc, GetCommandLineA, GetVersion, GetModuleHandleA, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, ExitProcess, RtlUnwind, InterlockedDecrement, InterlockedIncrement, GetCPInfo, GetACP, GetOEMCP, TerminateProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError
> USER32.dll: GetDlgItem, GetClassNameA, GetWindowThreadProcessId, EnumWindows, IsWindowVisible, SystemParametersInfoA, OpenDesktopA, GetForegroundWindow, EnumDesktopWindows, CloseDesktop, GetWindowPlacement, SendDlgItemMessageA, SendMessageTimeoutA, SendMessageA, EndDialog, SetWindowPos, ShowWindow, DialogBoxParamA, IsWindow, PostMessageA, wsprintfA, MessageBoxA, GetDlgItemTextA
> ADVAPI32.dll: RegQueryValueExA, ImpersonateNamedPipeClient, RevertToSelf, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, CreateProcessAsUserA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegCloseKey, CryptAcquireContextA, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptEncrypt, CryptDestroyHash, CryptDestroyKey, CryptReleaseContext
> SHELL32.dll: SHGetFolderPathA

( 9 exports ) 
TBNP_Event_Lock, TBNP_Event_Logoff, TBNP_Event_Logon, TBNP_Event_Shutdown, TBNP_Event_StartScreenSaver, TBNP_Event_StartShell, TBNP_Event_Startup, TBNP_Event_StopScreenSaver, TBNP_Event_Unlock
PDFiD.: -
RDS...: NSRL Reference Data Set
-
         
AntiVir Einstellungen: gesetzt
Komplett-Scan: läuft, Ergebnis kommt
Unter AntiVir --> Scanner --> Suche --> Weitere Einstellungen gibt es in der aktuellen Version mehr Optionen als auf dem Screenshot, ich habe alle aktiv geschaltet bis auf "offline Dateien ignorieren", das ist hoffentlich in Deinem Sinne?

Kann ich RSIT auch während des Avira-Scans starten? Das spart u.U. viel Zeit?

Danke und viele Grüße,
Marcus

Geändert von Dodger (28.07.2009 um 22:15 Uhr)

Alt 28.07.2009, 22:50   #5
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hi Chris,

Ich hab es halt parallel gestartet.
Hier das editierte RSIT log.txt_1:
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by <edit-user> at 2009-07-28 23:25:59
Microsoft Windows XP Professional Service Pack 2
System drive C: has 43 GB (72%) free of 60 GB
Total RAM: 2039 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:33, on 28.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\TODDSrv.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\TOSHIBA\TouchED\TouchED.exe
C:\WINDOWS\system32\thpsrv.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Opera\opera.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\<edit-user>\Desktop\RSIT.exe
D:\Programme\Trend Micro\HijackThis\<edit-user>.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = <edit>://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.exe
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - <edit>://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - <edit>://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - <edit>://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\Software\..\Telephony: DomainName = <edit-domain>
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = <edit-domain>
O20 - Winlogon Notify: TosBtNP - C:\WINDOWS\SYSTEM32\TosBtNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 8450 bytes
         


Alt 28.07.2009, 22:53   #6
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



und das RSIT log.txt_2:
Code:
ATTFilter
======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0\bin\ssv.dll [2007-06-08 501384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"00THotkey"=C:\WINDOWS\system32\00THotkey.exe [2006-08-11 253952]
"TouchED"=C:\Programme\TOSHIBA\TouchED\TouchED.exe [2005-09-01 118784]
"ThpSrv"=C:\WINDOWS\system32\thpsrv /logon []
"TFNF5"=C:\WINDOWS\system32\TFNF5.exe [2006-04-11 622592]
"TPSODDCtl"=C:\WINDOWS\system32\TPSODDCtl.exe [2007-04-20 102400]
"TPSMain"=C:\WINDOWS\system32\TPSMain.exe [2007-04-20 299008]
"TMERzCtl.EXE"=C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE [2006-09-01 90112]
"TosHKCW.exe"=C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe [2005-05-17 49152]
"NDSTray.exe"=NDSTray.exe []
"CFSServ.exe"=CFSServ.exe -NoClient []
"000StTHK"=C:\WINDOWS\system32\000StTHK.exe [2001-06-23 24576]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"F-StopW"=C:\Programme\FSI\F-Prot\F-StopW.EXE [2006-01-06 300032]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"=C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe [2007-04-26 313352]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2007-06-29 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe [2007-05-11 143360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\topi]
C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe [2007-04-02 577536]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
C:\PROGRA~1\Adobe\ACROBA~1.0\Distillr\AcroTray.exe  []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
C:\PROGRA~1\Adobe\READER~1.0\Reader\ADOBEC~1.EXE [2007-05-11 738968]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk]
C:\PROGRA~1\GEMEIN~1\Lexware\UPDATE~1\LXUPDA~1.EXE [2008-11-03 339240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [2000-01-21 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
C:\PROGRA~1\WinZip\WZQKPICK.EXE [2004-03-03 106561]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Norton Ghost"=2
"GEARSecurity"=2
"VMware NAT Service"=2
"vmount2"=2
"VMnetDHCP"=2
"VMAuthdService"=2
"SQLWriter"=3
"ose"=3
"MSSQL$MSSMLBIZ"=2
"MAudioAudiophileService"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2007-03-30 204800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psfus]
C:\WINDOWS\system32\psqlpwd.dll [2006-05-05 40448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\TosBtNP]
C:\WINDOWS\system32\TosBtNP.dll [2006-07-22 65536]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=psqlpwd
scecli

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\ftp.exe"="C:\WINDOWS\system32\ftp.exe:*:Enabled:Programm zur Dateiübertragung"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-07-28 23:25:59 ----D---- C:\rsit
2009-07-28 22:50:17 ----D---- C:\WINDOWS\LastGood
2009-07-23 22:00:34 ----D---- C:\Dokumente und Einstellungen\<edit-user>\Anwendungsdaten\Malwarebytes
2009-07-23 22:00:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-23 19:53:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-23 19:53:46 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2009-07-14 21:15:32 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-14 21:15:24 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-14 21:12:56 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$

======List of files/folders modified in the last 1 months======

2009-07-28 23:25:37 ----D---- C:\WINDOWS\Prefetch
2009-07-28 22:51:01 ----HD---- C:\WINDOWS\inf
2009-07-28 22:50:19 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-28 22:50:18 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-28 22:50:17 ----D---- C:\WINDOWS
2009-07-28 22:46:54 ----D---- C:\WINDOWS\Temp
2009-07-28 07:02:43 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-27 19:28:35 ----D---- C:\WINDOWS\system32\drivers
2009-07-27 19:14:58 ----RD---- C:\Programme
2009-07-26 00:54:04 ----D---- C:\WINDOWS\system32
2009-07-25 21:16:11 ----SHD---- C:\WINDOWS\CSC
2009-07-23 22:45:42 ----A---- C:\WINDOWS\win.ini
2009-07-23 21:55:31 ----D---- C:\WINDOWS\Minidump
2009-07-23 21:55:31 ----D---- C:\WINDOWS\Debug
2009-07-23 21:00:33 ----D---- C:\Programme\Gemeinsame Dateien\Symantec Shared
2009-07-23 21:00:11 ----SHD---- C:\WINDOWS\Installer
2009-07-23 21:00:11 ----D---- C:\Config.Msi
2009-07-23 20:59:45 ----D---- C:\Programme\Symantec
2009-07-23 20:56:40 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-07-23 20:55:34 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-23 20:52:27 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-23 20:48:41 ----D---- C:\Programme\M-Audio
2009-07-23 20:07:44 ----RSD---- C:\WINDOWS\Fonts
2009-07-23 19:53:47 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-21 19:54:20 ----D---- C:\WINDOWS\system32\config
2009-07-21 19:53:48 ----D---- C:\WINDOWS\system32\wbem
2009-07-21 19:53:48 ----D---- C:\WINDOWS\Registration
2009-07-14 21:15:26 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-06 21:18:41 ----D---- C:\WINDOWS\system32\sX3i19
2009-07-06 01:28:51 ----A---- C:\WINDOWS\system.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-02-13 95576]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 PQNTDrv;PQNTDrv; C:\WINDOWS\system32\drivers\PQNTDrv.sys [2004-05-05 4228]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R1 TMEI3E;TMEI3E; C:\WINDOWS\System32\Drivers\TMEI3E.SYS [2004-06-16 5888]
R1 Tosrfcom;Bluetooth RFCOMM; C:\WINDOWS\System32\Drivers\tosrfcom.sys [2005-08-01 64896]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-02-13 55640]
R2 FdRedir;FdRedir; \??\C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys []
R2 FileDisk2;FileDisk Protector Kernel Driver; \??\C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys []
R2 hcmon;VMware hcmon; \??\C:\WINDOWS\system32\Drivers\hcmon.sys []
R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:\WINDOWS\system32\DRIVERS\netdevio.sys [2003-01-29 12032]
R2 smihlp;SMI helper driver; \??\C:\Programme\Protector Suite QL\smihlp.sys []
R2 tdudf;TOSHIBA UDF File System Driver; C:\WINDOWS\system32\DRIVERS\tdudf.sys [2007-03-26 105856]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver; C:\WINDOWS\system32\DRIVERS\trudf.sys [2007-02-19 134016]
R2 VMnetBridge;VMware Bridge Protocol; C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys [2005-12-20 23424]
R2 VMnetuserif;VMware Network Application Interface; \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys []
R2 vmx86;VMware vmx86; \??\C:\WINDOWS\system32\Drivers\vmx86.sys []
R2 vstor2;Vstor2 Virtual Storage Driver; \??\C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys []
R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-11-29 1161888]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\WINDOWS\system32\DRIVERS\Apfiltr.sys [2004-05-09 101833]
R3 AsapiW2K;ASAPIW2K; C:\WINDOWS\system32\drivers\ASAPIW2k.sys [2003-12-04 11264]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1e5132.sys [2007-02-01 250776]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2007-03-30 5704672]
R3 IFXTPM;IFXTPM; C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 35968]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-03-13 4486144]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NETw4x32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows XP 32 Bit; C:\WINDOWS\system32\DRIVERS\NETw4x32.sys [2007-02-25 2203520]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2006-01-13 76544]
R3 TcUsb;TC USB Kernel Driver; C:\WINDOWS\System32\Drivers\tcusb.sys [2006-05-05 28800]
R3 tdcmdpst;TOSHIBA Writing Engine Filter Driver; C:\WINDOWS\system32\DRIVERS\tdcmdpst.sys [2007-02-22 16128]
R3 TEchoCan;Toshiba Audio Effect; C:\WINDOWS\system32\DRIVERS\TEchoCan.sys [2007-02-21 435072]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-11-30 162560]
R3 tosporte;Bluetooth COM Port; C:\WINDOWS\system32\DRIVERS\tosporte.sys [2006-10-10 41600]
R3 tosrfec;Bluetooth ACPI; C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2006-10-23 9216]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
S3 MADFU003;MADFU003; C:\WINDOWS\SYSTEM32\DRIVERS\MADFU003.sys [2007-06-27 69248]
S3 MAUSBAP;Service for M-Audio Audiophile (WDM); C:\WINDOWS\system32\DRIVERS\mausbap.sys []
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2007-02-22 137216]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2007-02-22 8320]
S3 nmwcdcj;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2007-02-22 12288]
S3 nmwcdcm;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2007-02-22 12288]
S3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys []
S3 tosrfbd;Bluetooth RFBUS; C:\WINDOWS\system32\DRIVERS\tosrfbd.sys [2007-02-22 113920]
S3 tosrfbnp;Bluetooth RFBNEP; C:\WINDOWS\System32\Drivers\tosrfbnp.sys [2006-11-20 36480]
S3 Tosrfhid;Bluetooth RFHID; C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys [2007-03-01 73728]
S3 tosrfnds;Bluetooth Personal Area Network; C:\WINDOWS\system32\DRIVERS\tosrfnds.sys [2005-01-06 18612]
S3 TosRfSnd;Bluetooth Audio; C:\WINDOWS\system32\drivers\tosrfsnd.sys [2007-01-22 53376]
S3 tosrfusb;Bluetooth USB Controller; C:\WINDOWS\system32\DRIVERS\tosrfusb.sys [2007-03-30 41856]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-04 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 USBNP4X4;M-Audio Audiophile USB Midi; C:\WINDOWS\system32\drivers\usbnp4x4.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 VMnetAdapter;VMware Virtual Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\vmnetadapter.sys [2005-12-20 9600]
S3 vmusb;VMware USB Client Driver; C:\WINDOWS\System32\Drivers\vmusb.sys [2005-12-20 21888]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2006-10-05 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 CFSvcs;ConfigFree Service; C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe [2005-01-18 40960]
R2 F-Prot Antivirus Update Monitor;F-Prot Antivirus Update Monitor; C:\Programme\FSI\F-Prot\fpavupdm.exe [2006-01-06 163144]
R2 Thpsrv;TOSHIBA Festplattenschutz; C:\WINDOWS\system32\ThpSrv.exe [2007-04-02 562744]
R2 Tmesrv;Tmesrv3; C:\Programme\TOSHIBA\TME3\Tmesrv31.exe [2006-01-19 118784]
R2 TODDSrv;TOSHIBA Optical Disc Drive Service; C:\WINDOWS\system32\TODDSrv.exe [2006-05-25 114688]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2007-02-25 125048]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-10 38912]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-04-29 654848]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2007-06-15 300544]
S4 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ); c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976]
S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]
S4 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S4 SQLBrowser;SQL Server-Browser; c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2006-04-14 240416]
S4 SQLWriter;SQL Server VSS Writer; c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [2006-04-14 87840]
S4 VMAuthdService;VMware Authorization Service; C:\Programme\VMware\VMware Player\vmware-authd.exe [2005-12-20 217088]
S4 VMnetDHCP;VMware DHCP Service; C:\WINDOWS\system32\vmnetdhcp.exe [2005-12-20 106496]
S4 vmount2;VMware Virtual Mount Manager Extended; C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe [2005-12-20 245760]
S4 VMware NAT Service;VMware NAT Service; C:\WINDOWS\system32\vmnat.exe [2005-12-20 135168]

-----------------EOF-----------------
         

Alt 28.07.2009, 23:09   #7
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



und hier die RSIT info.txt_1:
Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2009-07-28 23:26:37

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2CFD7CCF-DF43-4453-832B-E80752349413}\setup.exe" -l0x9 
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat 8.1.0 Professional-->msiexec /I {AC76BA86-1033-F400-7760-000000000003}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}
ALPS Touch Pad Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}\setup.exe" UNINSTALL
Apple Software Update-->MsiExec.exe /I{74EC78BC-B379-4E29-9006-8F161DCAABA6}
ASAPI Update-->C:\WINDOWS\system32\IWUNIN~1.EXE -uninstall C:\WINDOWS\ISUNINST.EXE -fC:\PROGRA~1\VOB\ASAPIU~1\ASAPI.isu
Atheros Driver Installation Program-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C3A32068-8AB1-4327-BB16-BED9C6219DC7}\Setup.exe" -l0x7 
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Bluetooth Stack for Windows by Toshiba-->MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
Business Contact Manager für Outlook 2007-->"c:\Programme\Microsoft Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {4cb9f93c-9edc-4be9-ae61-af128ddbecfa}
Business Contact Manager für Outlook 2007-->MsiExec.exe /X{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}
CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe"
CD/DVD Drive Acoustic Silencer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\Setup.exe" -l0x7 
ChessMaster 8000-->D:\PROGRA~1\CHESSM~1\UNWISE.EXE D:\PROGRA~1\CHESSM~1\INSTALL.LOG
Cognos 8 BI Modeler Curriculum Recordings-->C:\PROGRA~2\Cognos\EDUCAT~1\UNWISE.EXE C:\PROGRA~2\Cognos\EDUCAT~1\INSTALL.LOG
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Deinstallationsprogamm fur TOSHIBA Mobile Extension3-->"C:\Programme\InstallShield Installation Information\{3B8D9FA4-745C-47C9-962D-4ABE6ACE136B}\Setup.exe" -s -uninst
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
ElsterFormular 2004/2005-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{03EB79B7-2152-4C98-AEA0-254F881A3275}\setup.exe" -l0x7  -removeonly
ElsterFormular 2005/2006-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1C27C64B-D5CF-4881-A310-0BD2A0D21927}\setup.exe" -l0x7  -removeonly
ElsterFormular 2006/2007-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}\setup.exe" -l0x7  -removeonly
FLV Player 2.0, build 23-->d:\Programme\FLV Player\uninst.exe
F-Prot for Windows-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9FD12630-1991-46F5-8479-92DE1EAE87DA}\setup.exe" -l0x9 
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"D:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows XP (KB893357)-->"C:\WINDOWS\$NtUninstallKB893357$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB894871)-->"C:\WINDOWS\$NtUninstallKB894871$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB896243)-->"C:\WINDOWS\$NtUninstallKB896243$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB896256)-->"C:\WINDOWS\$NtUninstallKB896256$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB909095)-->"C:\WINDOWS\$NtUninstallKB909095$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB910728)-->"C:\WINDOWS\$NtUninstallKB910728$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB917332)-->"C:\WINDOWS\$NtUninstallKB917332$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Intel(R) Matrix Storage Manager-->C:\WINDOWS\System32\Imsmudlg.exe
Intel(R) PRO Network Connections Drivers-->Prounstl.exe
InterVideo WinDVD for TOSHIBA-->"C:\Programme\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe" REMOVEALL
IrfanView (remove only)-->d:\Programme\IrfanView\iv_uninstall.exe
Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
Kaspersky Online Scanner-->C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
Lexware Info Service-->MsiExec.exe /X{59624372-3B85-47f4-9B04-4911E551DF1E}
Lexware reisekosten 2008-->C:\Programme\InstallShield Installation Information\{8CE37484-B5C2-497E-8501-D339F1D828CC}\Setup.exe -runfromtemp -l0x0007 -removeonly
Lexware reisekosten 2009-->C:\Programme\InstallShield Installation Information\{225C12AE-BB37-4EE3-8935-583E2F0E6644}\Setup.exe -runfromtemp -l0x0007 -removeonly
Macromedia Flash Player-->MsiExec.exe /X{0456ebd7-5f67-4ab6-852e-63781e3f389c}
Malwarebytes' Anti-Malware-->"D:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2000 SR-1 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2003 Web Components-->MsiExec.exe /I{90A40407-6000-11D3-8CFE-0150048383C9}
Microsoft Office Small Business Connectivity Components-->MsiExec.exe /X{A939D341-5A04-4E0A-BB55-3E65B386432D}
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)-->MsiExec.exe /I{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}
Microsoft SQL Server 2005-->"c:\Programme\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.10)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{B5E8B139-9A06-4D97-BA4E-1256F8D6968D}
Nanosaur 2-->C:\Programme\Ideas From the Deep\Nanosaur 2\uninst.exe
Norton PartitionMagic 8.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{21DBBDD6-93A5-4326-9A04-C9A5C9148502} 
Opera 9.61-->MsiExec.exe /X{F8CCEF4F-6EEF-4B81-B70D-821E72451D93}
Paint Shop Pro 7-->MsiExec.exe /I{D6DE02C7-1F47-11D4-9515-00105AE4B89A}
PC Connectivity Solution-->MsiExec.exe /I{99A40651-0BC2-4095-8F9A-A40FAB224FEF}
QuickTime-->MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066)-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424)-->"C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899589)-->"C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567)-->"C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB916281)-->"C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917159)-->"C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422)-->"C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917537)-->"C:\WINDOWS\$NtUninstallKB917537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918899)-->"C:\WINDOWS\$NtUninstallKB918899$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214)-->"C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398)-->"C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503)-->"C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616)-->"C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922760)-->"C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694)-->"C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191)-->"C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925454)-->"C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486)-->"C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926247)-->"C:\WINDOWS\$NtUninstallKB926247$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929969)-->"C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829)-->"C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB939653)-->"C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881)-->"C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
         

Alt 28.07.2009, 23:11   #8
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



und die RSIT info.txt_2:
Code:
ATTFilter
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Steinberg WaveLab 5.01b-->D:\PROGRA~1\WAVELA~1\UNWISE.EXE D:\PROGRA~1\WAVELA~1\INSTALL.LOG
Texas Instruments PCIxx21/x515/xx12 drivers.-->C:\Programme\InstallShield Installation Information\{DB780B85-B4B5-4864-A49C-9B706B169C93}\setup.exe -runfromtemp -l0x0407
TOSHIBA Assist-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{12B3A009-A080-4619-9A2A-C6DB151D8D67}\Setup.exe" -l0x7 
TOSHIBA Benutzerhandbücher-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{56995235-B76E-44A6-BA17-8FF13D3F907A}\setup.exe" -l0x7  -removeonly
TOSHIBA ConfigFree-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}\setup.exe" -l0x7 UNINSTALL
TOSHIBA Controls-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}\Setup.exe" -l0x7 UNINSTALL
TOSHIBA Dienstprogramm für duales Zeigegerät-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4323A3CF-D66F-46BC-AD16-B94D7BF05CF1}\setup.exe" 
TOSHIBA Dienstprogramme-->C:\Programme\InstallShield Installation Information\{56190F69-01D3-46CA-9861-43377C5E9B87}\setup.exe -runfromtemp -l0x0407
TOSHIBA Direct Disc Writer-->MsiExec.exe /X{400830CA-F056-4BBE-80A3-9DF9CA4FB889}
TOSHIBA Disc Creator-->MsiExec.exe /X{5DA0E02F-970B-424B-BF41-513A5018E4C0}
TOSHIBA HDD Protection-->MsiExec.exe /X{94A90C69-71C1-470A-88F5-AA47ECC96B40}
TOSHIBA Hotkey Utility für Anzeigegeräte-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\TFNF5Wxp.inf,DefaultUninstall,5
TOSHIBA Mic Effect-->C:\Programme\InstallShield Installation Information\{0577A2AA-DEA0-4D40-8372-4211102D43E4}\setup.exe -runfromtemp -l0x0007 -removeonly
TOSHIBA Mobile Extension3-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3B8D9FA4-745C-47C9-962D-4ABE6ACE136B}\setup.exe" -l0x7  -removeonly
Toshiba Online Product Information-->C:\Programme\InstallShield Installation Information\{2290A680-4083-410A-ADCC-7092C67FC052}\setup.exe -runfromtemp -l0x0007 -removeonly
TOSHIBA Passwort-Utility-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{C0FC3B56-E345-40CD-A5CB-7EB791CE3E74} 
TOSHIBA PC-Diagnose-Tool-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{2C38F661-26B7-445D-B87D-B53FE2D3BD42} 
TOSHIBA Power Saver-->C:\Programme\InstallShield Installation Information\{9ACBDDE2-DD2D-4103-8ECE-D1A9F7F03D1A}\setup.exe -runfromtemp -l0x0407
TOSHIBA SD Memory Boot Utility-->MsiExec.exe /X{BBF5493A-05FB-4449-90DE-84A61EB78154}
TOSHIBA SD Memory Utilities-->MsiExec.exe /X{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7}
TOSHIBA Sicherheits-Assistent-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1E63ACB5-D45E-4856-8FC9-78F4B0D7BB80}\setup.exe" -l0x7  -removeonly
TOSHIBA Software Modem-->Tosmreg -U
TOSHIBA Touchpad Ein/Aus Utility V2.5.1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{24300A63-DD78-4AA5-A914-4D582C41D33A}\setup.exe" -l0x7  -removeonly
TOSHIBA Utility zum Bildschirmwechsel-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\TDspBtn.inf,DefaultUninstall,5
TOSHIBA Wireless Key Logon-->MsiExec.exe /X{FC4C645F-8EBC-4F1E-A517-D1505B43A374}
TOSHIBA Zoom-Dienstprogramm-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{64212898-097F-4F3F-AECA-6D34A7EF82DF}\setup.exe" -l0x7  -removeonly
TuneUp Utilities 2007-->MsiExec.exe /I{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)-->MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F}
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB912945)-->"C:\WINDOWS\$NtUninstallKB912945$\spuninst\spuninst.exe"
Update für Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB932823-v3)-->"C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Update für Windows XP (KB933360)-->"C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VMware Player-->MsiExec.exe /I{31799B14-B3E7-4522-B393-6206C03EC5D3}
VMXBuilder 0.7-->C:\Programme\RDPSoftware\VMware\VMXBuilder\uninst.exe
WarehouseArchitect-->C:\WINDOWS\uninst.exe -f"C:\Program Files\Powersoft\PowerDesigner 6\DeIsL1.isu"
Winamp-->"d:\Programme\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885855-->C:\WINDOWS\$NtUninstallKB885855$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884-->C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888622-->C:\WINDOWS\$NtUninstallKB888622$\spuninst\spuninst.exe
Windows XP-Hotfix - KB889673-->C:\WINDOWS\$NtUninstallKB889673$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890175-->C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893056-->C:\WINDOWS\$NtUninstallKB893056$\spuninst\spuninst.exe
Windows XP-Hotfix - KB895200-->"C:\WINDOWS\$NtUninstallKB895200$\spuninst\spuninst.exe"
Windows-Treiberpaket - Nokia (WUDFRd) WPD  (06/01/2007 6.84.33.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccswpddri_044C8712DB44F83D9DE6C376991EE9254E0A69E4\pccswpddriver.inf
Windows-Treiberpaket - Nokia Modem  (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293B\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem  (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_F12A08B6F776984A95553486F64C541356F86E38\pccs_bluetooth.inf
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe
WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall
Wireless Hotkey-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7862BAD8-A379-4128-8AA1-EFD5A9603C53}\setup.exe" -l0x7 

======Security center information======

AV: F-Prot Antivirus for Windows (outdated)
AV: AntiVir Desktop (disabled) (outdated)

======System event log======

Computer Name: <edit-pc-name>
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Terminaldienste" gesendet.

Record Number: 16923
Source Name: Service Control Manager
Time Written: 20090509214208.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: <edit-pc-name>
Event Code: 7036
Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt".

Record Number: 16922
Source Name: Service Control Manager
Time Written: 20090509214208.000000+120
Event Type: Informationen
User: 

Computer Name: <edit-pc-name>
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Gatewaydienst auf Anwendungsebene" gesendet.

Record Number: 16921
Source Name: Service Control Manager
Time Written: 20090509214208.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: <edit-pc-name>
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 16920
Source Name: Service Control Manager
Time Written: 20090509214208.000000+120
Event Type: Informationen
User: 

Computer Name: <edit-pc-name>
Event Code: 7036
Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt".

Record Number: 16919
Source Name: Service Control Manager
Time Written: 20090509214208.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: <edit-pc-name>
Event Code: 1054
Message: Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Record Number: 3363
Source Name: Userenv
Time Written: 20090113195039.000000+060
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: <edit-pc-name>
Event Code: 0
Message: 
Record Number: 3362
Source Name: TOSHIBA Bluetooth Service
Time Written: 20090113195038.000000+060
Event Type: Informationen
User: 

Computer Name: <edit-pc-name>
Event Code: 1054
Message: Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Record Number: 3361
Source Name: Userenv
Time Written: 20090113195037.000000+060
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: <edit-pc-name>
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 3360
Source Name: Avira AntiVir
Time Written: 20090113195030.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: <edit-pc-name>
Event Code: 1517
Message: Die Registrierung des Benutzers "<edit-Domain-user>" wurde gespeichert, obwohl  eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird. 


Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 3359
Source Name: Userenv
Time Written: 20090113194939.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=C:\Programme\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;c:\Programme\Microsoft SQL Server\90\Tools\binn\;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=0f0a
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0\lib\ext\QTJava.zip

-----------------EOF-----------------
         

Alt 29.07.2009, 04:59   #9
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hier der AV-Scan_1:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 29. Juli 2009  00:23

Es wird nach 1573517 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : <edit-pc-name>

Versionsinformationen:
BUILD.DAT      : 9.0.0.386     17962 Bytes  11.03.2009 15:51:00
AVSCAN.EXE     : 9.0.3.3      464641 Bytes  24.02.2009 11:13:22
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 22:54:42
ANTIVIR2.VDF   : 7.1.4.253   1779200 Bytes  19.07.2009 00:35:04
ANTIVIR3.VDF   : 7.1.5.34     291840 Bytes  27.07.2009 22:53:52
Engineversion  : 8.2.0.228
AEVDF.DLL      : 8.1.1.1      106868 Bytes  30.04.2009 22:41:18
AESCRIPT.DLL   : 8.1.2.18     442746 Bytes  19.07.2009 23:30:07
AESCN.DLL      : 8.1.2.4      127348 Bytes  22.07.2009 23:31:12
AERDL.DLL      : 8.1.2.4      430452 Bytes  14.07.2009 22:50:46
AEPACK.DLL     : 8.1.3.18     401783 Bytes  28.05.2009 19:25:35
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  18.06.2009 18:50:02
AEHEUR.DLL     : 8.1.0.143   1864055 Bytes  19.07.2009 23:30:06
AEHELP.DLL     : 8.1.5.3      233846 Bytes  22.07.2009 23:31:11
AEGEN.DLL      : 8.1.1.50     352629 Bytes  22.07.2009 23:31:11
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40
AECORE.DLL     : 8.1.7.6      184694 Bytes  22.07.2009 23:31:10
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.1      292609 Bytes  09.02.2009 06:52:20
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 10:41:16
RCTEXT.DLL     : 9.0.35.0      87809 Bytes  11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 29. Juli 2009  00:23

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\WINDOWS\system32\svchost.exe'
Signiert -> 'C:\WINDOWS\system32\winlogon.exe'
Signiert -> 'C:\WINDOWS\explorer.exe'
Signiert -> 'C:\WINDOWS\system32\smss.exe'
Signiert -> 'C:\WINDOWS\system32\wininet.DLL'
Signiert -> 'C:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'C:\WINDOWS\system32\services.exe'
Signiert -> 'C:\WINDOWS\system32\lsass.exe'
Signiert -> 'C:\WINDOWS\system32\csrss.exe'
Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'C:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'C:\WINDOWS\system32\alg.exe'
Signiert -> 'C:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'C:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'C:\WINDOWS\system32\user32.DLL'
Signiert -> 'C:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'C:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'C:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe'
Signiert -> 'C:\WINDOWS\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '40532' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'F-StopW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosHKCW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMERzCtl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFNF5.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ThpSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TouchED.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '00THotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TODDSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMESRV31.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ThpSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpavupdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '58' Dateien ).
         

Alt 29.07.2009, 05:04   #10
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



und der AV-Scan_2 - wirklich so schlimm, oder evtl. Fehlmeldungen?
Code:
ATTFilter
er Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP386\A0045549.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP387\A0046575.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP391\A0047667.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP395\A0047782.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP400\A0047890.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP404\A0054071.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP406\A0054112.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP408\A0054152.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP410\A0054232.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP411\A0054260.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP413\A0054398.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Bebloh.A.3
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP413\A0056409.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Bebloh.A.4
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP414\A0056596.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP415\A0056692.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP415\A0056697.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP415\A0056701.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Bebloh.A.3
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP417\A0056939.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP418\A0056967.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP420\A0058079.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP423\A0058288.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.31488
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0059833.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0059834.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VS78J63\cdopa[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IRIPSL8J\gdop[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Beginne mit der Suche in 'D:\' <Daten>
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0059921.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132240.B
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0061726.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132248
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0061731.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132248
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0061757.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132256.D
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP431\A0061828.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.13312.16

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP386\A0045549.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP387\A0046575.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP391\A0047667.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP395\A0047782.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP400\A0047890.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP404\A0054071.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP406\A0054112.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP408\A0054152.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP410\A0054232.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP411\A0054260.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP413\A0054398.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Bebloh.A.3
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP413\A0056409.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Bebloh.A.4
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP414\A0056596.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP415\A0056692.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP415\A0056697.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP415\A0056701.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Bebloh.A.3
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP417\A0056939.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP418\A0056967.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP420\A0058079.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP423\A0058288.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.31488
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0059833.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0059834.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.qua
    [WARNUNG]   Die Datei wurde ignoriert.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VS78J63\cdopa[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IRIPSL8J\gdop[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [WARNUNG]   Die Datei wurde ignoriert.
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0059921.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132240.B
    [WARNUNG]   Die Datei wurde ignoriert.
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0061726.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132248
    [WARNUNG]   Die Datei wurde ignoriert.
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0061731.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132248
    [WARNUNG]   Die Datei wurde ignoriert.
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP429\A0061757.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.132256.D
    [WARNUNG]   Die Datei wurde ignoriert.
D:\System Volume Information\_restore{94A52688-B7D5-4B8F-8BC2-9F09BA761312}\RP431\A0061828.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.13312.16
    [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Mittwoch, 29. Juli 2009  05:40
Benötigte Zeit:  1:14:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   8441 Verzeichnisse wurden überprüft
 448757 Dateien wurden geprüft
     29 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 448726 Dateien ohne Befall
   9817 Archive wurden durchsucht
     31 Warnungen
      2 Hinweise
  40532 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Alt 29.07.2009, 06:43   #11
Chris4You
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hi,

warten wir noch auf das Log von GMER, allerdings kannst Du jetzt bereits folgendes machen:

Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Bin noch beim Durchsuchen der Treiber, Du hast unglaublich viel "Ballast" auf dem Rechner (Arcobat Reader 1.0?) und solltest auch unbedingt mal das System auf den neusten Stand bringen!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 29.07.2009, 07:48   #12
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hi Chris,

Ja, das GMER-Log muss ich leider auf heute Abend verschieben, das hab ich nicht mehr geschafft, da ich tagsüber unterwegs bin. Gerstern Nacht bin ich irgendwann einfach eingepennt.

Die Systemwiederherstellung nehme ich mir dann ebenfalls vor.

Das ich so viel Ballast drauf hab, hatte ich nicht vermutet.
Ich führe regelmäßig eine "Säuberung" mit TuneUp durch und dachte, dadurch wäre einiges runter.
Auch nicht genutzte Sachen versuche ich herunterzuwerfen. Der Acrobat 1.0 ist mir wohl völlig durch die Lappen gegangen.

Hast Du irgeneinen Hinweis, was das für ein Ding ist, dass da bei mir herumgeistert? Ist der noch aktiv? Wie könnte die Bank den überhaupt festgestellt haben?


Danke für die Mühe, Sorry für die Umstände
bis später,
Marcus

Alt 29.07.2009, 09:09   #13
Chris4You
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hi,

bitte noch folgende Sachen fixen (das sind "Reste"):
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
O17 - HKLM\Software\..\Telephony: DomainName =
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain =
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain =
         
Nach GMER noch Prevx und ein neues HJ-Log...
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 29.07.2009, 19:55   #14
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Hallo Chris,

hier das ausstehende GMER-Log:
Code:
ATTFilter
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-29 20:40:31
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            9A93E35E                          ZwCreateKey
SSDT            9A93E354                          ZwCreateThread
SSDT            9A93E363                          ZwDeleteKey
SSDT            9A93E36D                          ZwDeleteValueKey
SSDT            9A93E372                          ZwLoadKey
SSDT            9A93E340                          ZwOpenProcess
SSDT            9A93E345                          ZwOpenThread
SSDT            9A93E37C                          ZwReplaceKey
SSDT            9A93E377                          ZwRestoreKey
SSDT            9A93E368                          ZwSetValueKey
SSDT            9A93E34F                          ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs            FSTOPW.SYS (F-StopW Version 3.16F/Frisk Software International - www.f-prot.com)

Device          \Driver\usbhub \Device\00000096   hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\00000098   hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-0  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-1  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-2  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-3  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-4  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-5  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-6  hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000009a   hcmon.sys (VMware USB monitor/VMware, Inc.)

---- EOF - GMER 1.0.15 ----
         
jetzt nehm ich mir die Restores vor.

Hast Du schon irgeneinen Hinweis, was und / oder woher das Ding ist und / oder stammen sollte?
Mich würde halt sehr interessieren, um zu verstehen, woher der stammen soll.

Bist Du dir bei den zu fixenen Einträgen wirklich sicher?
Der PC ist nämlich in der auseditierten Domain zu Haus und gegenwärtig bin ich nur abgekapselt unterwegs - wenn ich mich dort anstöpsel, bin ich dort im Netzwerk.

Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\Software\..\Telephony: DomainName = <edit-domain>
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = <edit-domain>
         
Dann bis später und Danke,
den Rest arbeite ich jetzt auch noch ab,

Gruß,
Marcus

Alt 29.07.2009, 20:05   #15
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account



Ja hi, ich nochmal:

Der Link funzt net: http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html

Was soll ich jetzt in welcher Reihenfolge machen.
Bin jetzt etwas verwirrt.

Viele Grüße,
Marcus

Antwort

Themen zu Welcher Trojaner an Bord? Bank sperrt online Account
adobe, agere systems, antivir, antivir guard, antivirus, avira, bho, desktop, einstellungen, explorer, festplatte, gesperrt, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, malwarebytes' anti-malware, monitor, object, pdf-datei, prozesse, registrierungsschlüssel, rogue.trace, scan, schutz, security.hijack, software, solution, system, trojaner, trojaner/virus, url zone, userinit.exe, virus/trojaner, windows, windows xp



Ähnliche Themen: Welcher Trojaner an Bord? Bank sperrt online Account


  1. Online-Banking-Account gesperrt - Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.09.2015 (25)
  2. T-Online Account versendet SPAM - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2015 (13)
  3. Bank sperrt Online-Banking wegen Verdacht auf Trojaner Befall
    Log-Analyse und Auswertung - 04.08.2014 (20)
  4. Bank hat Online-Banking gesperrt wegen Verdacht von Trojaner
    Log-Analyse und Auswertung - 13.06.2014 (22)
  5. Multi-Tan-Trojaner blockiert Online-Banking-Seite der Deutschen Bank
    Log-Analyse und Auswertung - 04.05.2013 (3)
  6. GUV 2.07 Trojaner, welcher nur blockiert, wenn man online geht.
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (19)
  7. JS:Exploit.JS.Agent.AK - Online Banking Deutsche Bank Trojaner (?)
    Log-Analyse und Auswertung - 09.08.2012 (1)
  8. Trojaner......alle email acounts rufen mich zu neuem Passwort auf. Bank sperrte mein online banking
    Plagegeister aller Art und deren Bekämpfung - 01.03.2012 (1)
  9. möglicherweise Torpig_2-Infektion, Bank-Account gesperrt
    Log-Analyse und Auswertung - 16.08.2011 (1)
  10. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 26.07.2011 (25)
  11. Ebenfalls Trojaner an Bord - Online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 13.07.2011 (11)
  12. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (33)
  13. Online-Banking gehackt ? Benachrichtigung von der Bank
    Plagegeister aller Art und deren Bekämpfung - 29.01.2011 (6)
  14. Bank sperrt Online Banking angeblich Trojaner
    Log-Analyse und Auswertung - 10.10.2010 (3)
  15. TAN Trojaner beim Online Banking der Deutschen Bank :(
    Plagegeister aller Art und deren Bekämpfung - 15.09.2010 (12)
  16. bank sperrt konto. urlzone?
    Plagegeister aller Art und deren Bekämpfung - 03.07.2010 (29)
  17. Sparkasse sperrt online Zugang wegen Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (20)

Zum Thema Welcher Trojaner an Bord? Bank sperrt online Account - Hallo zusammen, Meinen Einstand hatte ich bei Lob und Kritik gegeben...nun denn noch einmal: Super Arbeit, die ich bis jetzt hier sehen konnte und ich ziehe den Hut vor Eurer - Welcher Trojaner an Bord? Bank sperrt online Account...
Archiv
Du betrachtest: Welcher Trojaner an Bord? Bank sperrt online Account auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.