iexplore.exe/BN4.tmp

OutbreakX · 29.07.2009, 23:10

Hallo.

Bevor ich über mein Problem berichte, poste ich erstmal Details meines PC's.

AMD Athlon 4200+
4,4 Ghz
2GB RAM
nVidia GeForce 8400 GS
Benutze Windows XP S3
Firefox 3.5
Avira AntiVir Personal
SUPERAntiSpyware
Windows Firewall

Jetzt zu meinem Problem, ich hab bemerkt dass mein System auf einmal richtig unflüßig lief, brauchte ca. 5 Minuten bis sich ein WinRar oder Firefox etc. öffnete, deswegen hab ich den Taskmanager geöffnet und die CPU Auslastung lag bei 100%, ich hab mir die Prozesse angeguckt, der wahrscheinliche Ursacher war der Prozess iexplore.exe, wenn ich den Prozess beendet habe liegt die CPU Auslastung ca. bei 0-20% , also im Normalzustand, falls jetzt so Antworten kommen wie: iexplorer.exe ist dein Internet Explorer blabla..
Das weiß ich, aber bei diesem Prozess handelt es sich 100% nicht um den normalen Internet Explorer, da nochnicht mehr der IE offen ist, und bestimmt auch nicht soviel frisst..

Mein anderes Problem ist, jedesmal wenn ich den Pc hochfahre springt Avira direkt an und sagt "Virus oder unerwünschtes Programm, WORM/Palevo.hka [worm] in der datei C:\WINXP\Temp\BN4.tmp (manchmal auch BN1 oder andere Zahlen) ..

Und seit neustem öffnet sich im Taskmanager immer ein/e Programm/Datei namens 1A.tmp, dabei macht es einen Windowssound der kommt wenn man etwas in die Taskleiste zieht..

bitte um schnelle Hilfe ich will mein Windows nicht schon wieder platt machen =(

Achja, hier meine HijackThis logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:22, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\Explorer.EXE
C:\WINXP\msa.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINXP\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINXP\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\Chris\LOKALE~1\Temp\1A.tmp.exe
O4 - HKCU\..\RunServices: [Windows Explorer] explorer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Windows Explorer] explorer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Windows Explorer] explorer.exe (User 'Default user')
O4 - Startup: Alice.lnk = ?
O4 - Startup: UberIcon.lnk = C:\WINXP\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINXP\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Alice.lnk = ?
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8922DCAD-06C2-47C3-A79C-3785201F2F3A}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\WINXP\system32\adlaunch32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOKUME~1\Chris\LOKALE~1\Temp\AVSETUP_4a68cd97\basic\avupgsvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINXP\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 6943 bytes

Habe danach nochmal Malwarebytes' Antivir drüberlaufen lassen, hier das log davon:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2528
Windows 5.1.2600 Service Pack 3

30.07.2009 00:09:23
mbam-log-2009-07-30 (00-09-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 77810
Laufzeit: 4 minute(s), 28 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
C:\WINXP\msa.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Explorer (Backdoor.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINXP\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINXP\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\1A.tmp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\fgyj.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\jglle.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINXP\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\WINXP\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINXP\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINXP\Fonts\Fonts.exe (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINXP\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINXP\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

LG

Larusso · 29.07.2009, 23:14

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code:

ATTFilter

deine Logfile

schritt 1

Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
Starte deinen Rechner neu auf, in den abgesicherten Modus. (mehrmals F8 drücken)
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn.

schritt 2

Lade Random's System Information Tool (RSIT) herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

OutbreakX · 29.07.2009, 23:42

Hallo,

danke erstmal für die schnelle Antwort und sorry für die code fehler.

Hier die LOGS:

report.txt

Code:

ATTFilter

SDFix: Version 1.240 
Run by Chris on 30.07.2009 at 00:28

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

C:\-10020~1 - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-30 00:33:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:17,e6,e1,c0,93,94,a5,3c,6a,32,27,43,3f,c4,e9,2e,bc,e5,0f,20,2d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:17,e6,e1,c0,93,94,a5,3c,6a,32,27,43,3f,c4,e9,2e,bc,e5,0f,20,2d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:17,e6,e1,c0,93,94,a5,3c,6a,32,27,43,3f,c4,e9,2e,bc,e5,0f,20,2d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vsfocewulhbbgr]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=str(2):"\systemroot\system32\drivers\vsfoceftidvjkw.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main]
"aid"="10099"
"sid"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\modules]
"vsfocerk.sys"="\systemroot\system32\drivers\vsfoceftidvjkw.sys"
"vsfocecmd.dll"="\systemroot\system32\vsfocepdqbimpp.dll"
"vsfocelog.dat"="\systemroot\system32\vsfoceamybigip.dat"
"vsfocewsp.dll"="\systemroot\system32\vsfocefmurqpmj.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:17,e6,e1,c0,93,94,a5,3c,6a,32,27,43,3f,c4,e9,2e,bc,e5,0f,20,2d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:17,e6,e1,c0,93,94,a5,3c,6a,32,27,43,3f,c4,e9,2e,bc,e5,0f,20,2d,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000001b5

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6.5\\ICQ.exe"="C:\\Programme\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"="C:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe:*:Enabled:Veoh Web Player "
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"="C:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\\WINXP\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINXP\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Remoteuntersttzung - Windows Messenger und Voice"
"X:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"="X:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe:*:Enabled:Sacred.exe"
"C:\\Programme\\Steam\\Steam.exe"="C:\\Programme\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Programme\\Steam\\SteamApps\\outbreakx92\\counter-strike source\\hl2.exe"="C:\\Programme\\Steam\\SteamApps\\outbreakx92\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Java\\jre6\\bin\\java.exe"="C:\\Programme\\Java\\jre6\\bin\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\World of Warcraft\\Launcher.exe"="C:\\Programme\\World of Warcraft\\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\\Programme\\World of Warcraft\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="C:\\Programme\\World of Warcraft\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\World of Warcraft\\WoW-3.1.1.9835-to-3.1.2.9901-deDE-downloader.exe"="C:\\Programme\\World of Warcraft\\WoW-3.1.1.9835-to-3.1.2.9901-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\WINXP\\system32\\dpvsetup.exe"="C:\\WINXP\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINXP\\system32\\rundll32.exe"="C:\\WINXP\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausfhren"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 26 Jul 2009        86,528 ..SHR --- "C:\WINDOWS\system32\bndmss.exe"
Tue 30 Jun 2009       817,664 ...H. --- "C:\WINXP\system32\wodfamoh.dll"
Tue 30 Jun 2009     1,496,576 ...H. --- "C:\WINXP\system32\wodfamop.dll"
Fri 24 Jul 2009         2,865 ...HR --- "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

muss leider mehrfach posten, alles in einem post wäre zulang.

OutbreakX · 29.07.2009, 23:43

info.txt

Code:

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-07-30 00:36:03

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINXP\INF\PCHealth.inf
Adobe AIR-->c:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}
Adobe Flash Player 10 ActiveX-->C:\WINXP\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINXP\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Media Player-->msiexec /qb /x {39F6E2B4-CFE8-C30A-66E8-489651F0F34C}
Adobe Media Player-->MsiExec.exe /I{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe Shockwave Player 11-->C:\WINXP\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINXP\system32\Adobe\SHOCKW~1\Install.log
Ask Toolbar-->MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Assassin's Creed-->C:\Programme\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x0007 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Black Amazon Skin 1.0.1-->"C:\Programme\ICQ6.5\Packages\ICQBRASIL\Skins\Black Amazon Skin\unins000.exe"
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch-->C:\Programme\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch-->C:\Programme\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe -runfromtemp -l0x0409
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Cheat Engine 5.4-->"C:\Programme\Cheat Engine\unins000.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
ClipGrab 2.0 Beta 2-->C:\Programme\ClipGrab\uninst.exe
Condition Zero-->"C:\Programme\Steam\steam.exe" steam://uninstall/80
ConvertXtoDVD 3.7.2.188-->"C:\Programme\VSO\ConvertX\3\unins000.exe"
Counter-Strike: Source-->MsiExec.exe /I{9580813D-94B1-4C28-9426-A441E2BB29A5}
Die Sims™ 3-->"C:\Programme\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe" -runfromtemp -l0x0007 -removeonly
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DScaler 5 Mpeg Decoders-->"C:\Programme\DScaler5\unins000.exe"
EA Download Manager-->C:\Programme\Electronic Arts\EADM\Uninstall.exe
Easy-wGet-->MsiExec.exe /X{65EFA0CB-4039-43C5-A40B-FD2784C7E05E}
Fraps (remove only)-->"C:\Fraps\uninstall.exe"
GhostMouse 2.0-->C:\WINXP\uninst.exe -fC:\GMouse20\DeIsL1.isu  -cC:\GMouse20\_ISREG32.DLL
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINXP\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)-->C:\WINXP\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)-->C:\WINXP\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)-->C:\WINXP\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)-->C:\WINXP\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)-->C:\WINXP\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)-->C:\WINXP\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall  /qb+ REBOOTPROMPT=""
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
IsoBuster 2.5.5-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe"
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
K-Lite Codec Pack 5.0.0 (Full)-->"C:\Programme\K-Lite Codec Pack\unins000.exe"
Left 4 Dead-->"C:\Programme\Steam\steam.exe" steam://uninstall/500
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Programme\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 German Language Pack-->c:\WINXP\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\WINXP\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINXP\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{FD052FB9-FE90-4438-B355-15EDC89D8FB1}
Microsoft Reader Text-to-Speech deutsch-->MsiExec.exe /X{A06F5ACB-AF59-4DC0-B22E-1F6F47FC7004}
Microsoft Reader-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B6F7DBE7-2FE2-458F-A738-B10832746036}\Setup.exe" -L0x7
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft SQL Server 2008 Management Objects-->MsiExec.exe /I{F5E87B12-3C27-452F-8E78-21D42164FD83}
Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)-->MsiExec.exe /X{E09B48B5-E141-427A-AB0C-D3605127224A}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU-->C:\Programme\Microsoft Visual Studio 9.0\Microsoft Visual C++ 2008 Express Edition with SP1 - DEU\setup.exe
Microsoft Visual C++ 2008 Express Edition with SP1 - DEU-->MsiExec.exe /X{D5A7D7AB-3093-3619-9261-74DB250ECF7B}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{09298F26-A95C-31E2-9D95-2C60F586F075}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries-->MsiExec.exe /X{842FAF7C-50EF-4463-9B8F-6222E1384D7D}
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu-->MsiExec.exe /X{0E592C31-09EF-3CA1-A7DE-05D13DFCF791}
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32-->MsiExec.exe /X{044F9133-B8D7-4d11-BF39-803FA20F5C8B}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Mozilla Firefox (3.0.12)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN-->C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
NVIDIA Drivers-->C:\WINXP\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
OpenAL-->"C:\Programme\OpenAL\oalinst.exe" /U
Pack Vista Inspirat 2 1.0-->C:\WINXP\BricoPacks\Vista Inspirat 2\Remove.exe
QuickPar 0.9-->C:\Programme\QuickPar\uninst.exe
QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
ratDVD 0.78.1444-->C:\Programme\ratDVD\uninst.exe
RealMedia (remove only)-->"C:\Programme\RealMedia\uninstall.exe"
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
RollerCoaster Tycoon 3-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x7 
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINXP\system32\MacroMed\Flash\genuinst.exe C:\WINXP\system32\MacroMed\Flash\KB923789.inf
Sony Eyetoy Webcam-->C:\WINXP\CleanDev.exe C:\WINXP\ov519.TXT
Sony Vegas 7.0-->MsiExec.exe /X{DFB951D6-4270-42D8-B4B7-AA4B01911DC3}
Source Dedicated Server-->"C:\Programme\Steam\steam.exe" steam://uninstall/205
Source SDK-->"C:\Programme\Steam\steam.exe" steam://uninstall/211
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Streambox Vcr Suite 2-->C:\Programme\StreamboxVcrSuite2\unins000.exe
SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Team Fortress 2-->"C:\Programme\Steam\steam.exe" steam://uninstall/440
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
TeamViewer 4-->C:\Programme\TeamViewer\Version4\uninstall.exe
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
URL Snooper v2.20.02-->"C:\Programme\URLSnooper2\unins000.exe"
UseNeXT-->"C:\Programme\UseNeXT\unins000.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Veoh Web Player Beta-->"C:\Programme\Veoh Networks\VeohWebPlayer\uninst.exe"
Virtual DJ - Atomix Productions-->C:\PROGRA~1\VIRTUA~1\UNWISE.EXE C:\PROGRA~1\VIRTUA~1\INSTALL.LOG
VirtualCloneDrive-->"C:\Programme\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="C:\Programme\Elaborate Bytes\VirtualCloneDrive"
VLC media player 0.9.9-->C:\Programme\VideoLAN\VLC\uninstall.exe
VSO CopyToDVD 4-->"C:\Programme\VSO\unins000.exe"
wGet-Installer-->MsiExec.exe /I{D901E911-3478-466F-8EA0-0AEE85F22E4B}
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Family Safety-->MsiExec.exe /X{54B1E5A3-1B29-4582-A226-172A1FC7BA6C}
Windows Live Fotogalerie-->MsiExec.exe /X{119B7481-0216-40D2-A5CC-C3E1F461ECC1}
Windows Live Mail-->MsiExec.exe /I{5A166C0B-9557-4364-A057-F946D674E6AC}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4}
Windows Live Toolbar-->MsiExec.exe /X{70B7A167-0B88-445D-A3EA-97C73AA88CAC}
Windows Live Writer-->MsiExec.exe /X{81821BF8-DA20-4F8C-AA87-F70A274828D4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
WinPcap 4.1 beta-->C:\Programme\WinPcap\uninstall.exe
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe

=====HijackThis Backups=====

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=14909&l=dis [2009-07-28]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.explorerstartpage.com/wspage.php?ver=v8notr [2009-07-28]
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sdra64.exe, [2009-07-28]
F2 - REG:system.ini: UserInit=C:\WINXP\SYSTEM32\Userinit.exe,C:\WINXP\system32\sdra64.exe, [2009-07-28]
O4 - HKUS\.DEFAULT\..\RunServices: [Windows Explorer] explorer.exe (User 'Default user') [2009-07-28]
O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe [2009-07-28]
O13 - WWW Prefix: http://www. [2009-07-28]
R3 - URLSearchHook: (no name) -  - (no file) [2009-07-28]
O4 - HKUS\S-1-5-18\..\RunServices: [Windows Explorer] explorer.exe (User 'SYSTEM') [2009-07-28]
O4 - HKCU\..\RunServices: [Windows Explorer] explorer.exe [2009-07-28]
O13 - DefaultPrefix: http://www. [2009-07-28]
R3 - URLSearchHook: (no name) -  - (no file) [2009-07-28]
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent [2009-07-28]
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent [2009-07-28]
O13 - DefaultPrefix: http://www. [2009-07-28]
O13 - WWW Prefix: http://www. [2009-07-28]
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe [2009-07-29]
F2 - REG:system.ini: UserInit=C:\WINXP\SYSTEM32\Userinit.exe,C:\WINXP\system32\sdra64.exe, [2009-07-29]
O3 - Toolbar: IsoBuster Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-07-29]

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: HOME-68AFC25B16
Event Code: 20158
Message: Der Benutzer "02036011360@alice-dsl.de" hat eine Verbindung mit "Alice 2" hergestellt, unter Verwendung des Geräts "PPPoE4-0".

Record Number: 6726
Source Name: RemoteAccess
Time Written: 20090711103214.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-68AFC25B16
Event Code: 20159
Message: Die Verbindung mit "Alice 2", hergestellt durch den Benutzer "02036011360@alice-dsl.de" unter Verwendung des Geräts "PPPoE4-0", wurde getrennt.

Record Number: 6725
Source Name: RemoteAccess
Time Written: 20090711103210.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-68AFC25B16
Event Code: 20158
Message: Der Benutzer "02036011360@alice-dsl.de" hat eine Verbindung mit "Alice 2" hergestellt, unter Verwendung des Geräts "PPPoE4-0".

Record Number: 6724
Source Name: RemoteAccess
Time Written: 20090711103156.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-68AFC25B16
Event Code: 20159
Message: Die Verbindung mit "Alice 2", hergestellt durch den Benutzer "02036011360@alice-dsl.de" unter Verwendung des Geräts "PPPoE4-0", wurde getrennt.

Record Number: 6723
Source Name: RemoteAccess
Time Written: 20090711103151.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-68AFC25B16
Event Code: 20158
Message: Der Benutzer "02036011360@alice-dsl.de" hat eine Verbindung mit "Alice 2" hergestellt, unter Verwendung des Geräts "PPPoE4-0".

Record Number: 6722
Source Name: RemoteAccess
Time Written: 20090711103137.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: HOME-68AFC25B16
Event Code: 20
Message: 
Record Number: 1040
Source Name: Google Update
Time Written: 20090508034724.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: HOME-68AFC25B16
Event Code: 19011
Message: 
Record Number: 1039
Source Name: MSSQL$SONY_MEDIAMGR
Time Written: 20090508033515.000000+120
Event Type: Warnung
User: 

Computer Name: HOME-68AFC25B16
Event Code: 100
Message: 
Record Number: 1038
Source Name: MySQL
Time Written: 20090508031959.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-68AFC25B16
Event Code: 100
Message: 
Record Number: 1037
Source Name: MySQL
Time Written: 20090508031957.000000+120
Event Type: Informationen
User: 

Computer Name: HOME-68AFC25B16
Event Code: 100
Message: 
Record Number: 1036
Source Name: MySQL
Time Written: 20090508031957.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Microsoft SQL Server\80\Tools\Binn\;C:\Programme\QuickTime\QTSystem\;C:\Programme\Gemeinsame Dateien\DivX Shared\;C:\Programme\Smart Projects\IsoBuster
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=6b02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"sourcesdk"=c:\programme\steam\steamapps\outbreakx92\sourcesdk
"VProject"=c:\programme\steam\steamapps\outbreakx92\counter-strike source\cstrike
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip
"VS90COMNTOOLS"=C:\Programme\Microsoft Visual Studio 9.0\Common7\Tools\

-----------------EOF-----------------

OutbreakX · 29.07.2009, 23:44

log.txt

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by Chris at 2009-07-30 00:35:56
Microsoft Windows XP Professional Service Pack 3
System drive C: has 90 GB (38%) free of 238 GB
Total RAM: 2046 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:36:01, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINXP\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINXP\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\WINXP\System32\svchost.exe
C:\Dokumente und Einstellungen\Chris\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Chris.exe
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINXP\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\RunServices: [Windows Explorer] explorer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Windows Explorer] explorer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Windows Explorer] explorer.exe (User 'Default user')
O4 - Startup: Alice.lnk = ?
O4 - Startup: UberIcon.lnk = C:\WINXP\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINXP\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Alice.lnk = ?
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8922DCAD-06C2-47C3-A79C-3785201F2F3A}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\WINXP\system32\adlaunch32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOKUME~1\Chris\LOKALE~1\Temp\AVSETUP_4a68cd97\basic\avupgsvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINXP\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 6643 bytes

======Scheduled tasks folder======

C:\WINXP\tasks\Scheduled Update for Ask Toolbar.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - Veoh Web Player Video Finder - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll [2009-02-06 429816]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINXP\RTHDCPL.EXE [2007-07-05 16380416]
"SkyTel"=C:\WINXP\SkyTel.EXE [2007-06-15 1826816]
"Alcmtr"=C:\WINXP\ALCMTR.EXE [2005-05-03 69632]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"VirtualCloneDrive"=C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2009-01-30 52392]
"NvCplDaemon"=C:\WINXP\system32\NvCpl.dll [2009-06-10 13758464]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINXP\system32\NvMcTray.dll [2009-06-10 86016]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINXP\system32\ctfmon.exe [2008-04-14 15360]
"RocketDock"=C:\WINXP\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 630784]
"ccleaner"=C:\Programme\CCleaner\CCleaner.exe [2009-02-19 1471728]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Fraps]
C:\FRAPS\FRAPS.EXE [2009-01-03 1203880]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Programme\ICQ6.5\ICQ.exe [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-07-27 1830128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe [2009-02-06 3572984]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Explorer]
C:\WINXP\explorer.exe [2008-04-14 979456]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Alice.lnk - 

C:\Dokumente und Einstellungen\Chris\Startmenü\Programme\Autostart
Alice.lnk - 
UberIcon.lnk - C:\WINXP\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
Y'z Shadow.lnk - C:\WINXP\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\WINXP\system32\adlaunch32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINXP\system32\WPDShServiceObj.dll [2008-12-10 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"="C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:*:Enabled:Veoh Web Player "
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Programme\TeamViewer\Version4\TeamViewer.exe"="C:\Programme\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\WINXP\pchealth\helpctr\binaries\HelpCtr.exe"="C:\WINXP\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Remoteunterstützung - Windows Messenger und Voice"
"X:\Program Files\Ascaron Entertainment\Sacred Underworld\Sacred.exe"="X:\Program Files\Ascaron Entertainment\Sacred Underworld\Sacred.exe:*:Enabled:Sacred.exe"
"C:\Programme\Steam\Steam.exe"="C:\Programme\Steam\Steam.exe:*:Enabled:Steam"
"C:\Programme\Steam\SteamApps\outbreakx92\counter-strike source\hl2.exe"="C:\Programme\Steam\SteamApps\outbreakx92\counter-strike source\hl2.exe:*:Enabled:hl2"
"C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\World of Warcraft\Launcher.exe"="C:\Programme\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\Programme\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\World of Warcraft\WoW-3.1.1.9835-to-3.1.2.9901-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.1.1.9835-to-3.1.2.9901-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\WINXP\system32\dpvsetup.exe"="C:\WINXP\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINXP\system32\rundll32.exe"="C:\WINXP\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

======List of files/folders created in the last 1 months======

2009-07-30 00:35:56 ----D---- C:\rsit
2009-07-30 00:27:11 ----D---- C:\WINXP\ERUNT
2009-07-30 00:24:38 ----D---- C:\SDFix
2009-07-30 00:03:46 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Malwarebytes
2009-07-30 00:03:38 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-30 00:03:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-29 14:35:29 ----D---- C:\WINXP\system32\msmq
2009-07-29 14:35:28 ----D---- C:\Inetpub
2009-07-28 23:39:53 ----D---- C:\Programme\WinPcap
2009-07-28 23:39:47 ----D---- C:\Programme\URLSnooper2
2009-07-28 23:39:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DonationCoder
2009-07-28 23:19:32 ----D---- C:\Programme\StreamboxVcrSuite2
2009-07-28 23:07:35 ----D---- C:\Programme\WGET
2009-07-28 23:06:52 ----D---- C:\Programme\Tools&More
2009-07-28 17:32:42 ----D---- C:\ProgramData
2009-07-28 17:32:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-07-28 16:18:11 ----RA---- C:\WINXP\system32\vp6vfw.dll
2009-07-28 16:18:10 ----D---- C:\Programme\Microsoft WSE
2009-07-28 16:10:19 ----D---- C:\Programme\Electronic Arts
2009-07-28 13:52:05 ----D---- C:\Programme\Trend Micro
2009-07-28 12:57:09 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Ubisoft
2009-07-28 12:41:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-28 12:31:10 ----D---- C:\Programme\Ubisoft
2009-07-28 12:31:03 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\InstallShield
2009-07-27 12:27:23 ----D---- C:\Programme\SUPERAntiSpyware
2009-07-27 03:02:31 ----D---- C:\Programme\Microsoft CAPICOM 2.1.0.2
2009-07-26 17:35:45 ----A---- C:\WINXP\system32\unrar.dll
2009-07-26 17:35:45 ----A---- C:\WINXP\avisplitter.ini
2009-07-26 17:35:43 ----A---- C:\WINXP\system32\xvidcore.dll
2009-07-26 17:35:42 ----A---- C:\WINXP\system32\xvidvfw.dll
2009-07-26 17:35:41 ----A---- C:\WINXP\system32\ff_vfw.dll.manifest
2009-07-26 17:35:41 ----A---- C:\WINXP\system32\ff_vfw.dll
2009-07-26 17:35:39 ----D---- C:\Programme\K-Lite Codec Pack
2009-07-26 17:26:36 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Media Player Classic
2009-07-26 17:15:55 ----D---- C:\Programme\Ask.com
2009-07-26 17:15:39 ----D---- C:\Programme\Smart Projects
2009-07-26 17:08:03 ----D---- C:\Programme\ratDVD
2009-07-26 17:05:25 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\vlc
2009-07-26 14:48:33 ----D---- C:\Programme\Gemeinsame Dateien\DivX Shared
2009-07-26 14:38:50 ----D---- C:\Programme\VideoLAN
2009-07-26 01:01:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\12308124
2009-07-25 03:32:25 ----D---- C:\Programme\QuickPar
2009-07-25 01:53:58 ----D---- C:\Programme\UseNeXT
2009-07-25 00:02:47 ----D---- C:\Programme\Windows Live Safety Center
2009-07-24 23:39:27 ----D---- C:\Programme\VirtualDJ
2009-07-24 23:36:32 ----A---- C:\WINXP\system32\LIBMMD.DLL
2009-07-24 22:21:52 ----D---- C:\Fraps
2009-07-24 22:13:17 ----A---- C:\WINXP\system32\muweb.dll
2009-07-24 22:13:17 ----A---- C:\WINXP\system32\mucltui.dll.mui
2009-07-24 22:13:17 ----A---- C:\WINXP\system32\mucltui.dll
2009-07-24 21:56:30 ----A---- C:\WINXP\system32\TUProgSt.exe
2009-07-24 21:56:29 ----A---- C:\WINXP\system32\uxtuneup.dll
2009-07-24 21:56:29 ----A---- C:\WINXP\system32\TuneUpDefragService.exe
2009-07-24 21:56:28 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\TuneUp Software
2009-07-24 21:56:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-24 21:56:08 ----D---- C:\Programme\TuneUp Utilities 2009
2009-07-24 21:55:49 ----SHD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-24 14:37:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SimCity Societies
2009-07-24 01:09:12 ----D---- C:\Program Files
2009-07-24 00:36:40 ----A---- C:\WINXP\system32\CapiCom.dll
2009-07-24 00:36:22 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\PriceGong
2009-07-24 00:26:53 ----D---- C:\Programme\EleFun Desktops
2009-07-24 00:26:44 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\EleFun Desktops
2009-07-24 00:25:35 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\GetRightToGo
2009-07-23 23:35:15 ----D---- C:\WINXP\pss
2009-07-23 23:06:21 ----D---- C:\Programme\Avira
2009-07-23 23:06:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-07-23 22:47:27 ----A---- C:\WINXP\BricoPackUninst.cmd
2009-07-23 22:46:18 ----A---- C:\WINXP\BricoPackUninst.txt
2009-07-23 22:46:18 ----A---- C:\WINXP\BricoPackFoldersDelete.cmd
2009-07-23 22:45:53 ----D---- C:\WINXP\BricoPacks
2009-07-23 22:40:26 ----D---- C:\WINXP\Theme
2009-07-23 22:40:26 ----D---- C:\WINXP\Styler Toolbar
2009-07-23 22:40:26 ----D---- C:\WINXP\Iconized Taskbar Hack
2009-07-23 22:40:26 ----D---- C:\WINXP\Extra Common Tasks
2009-07-23 22:21:29 ----A---- C:\WINXP\system32\wvc1dmod.dll
2009-07-23 22:21:29 ----A---- C:\WINXP\system32\vp7vfw.dll
2009-07-23 22:21:29 ----A---- C:\WINXP\system32\sipr3260.dll
2009-07-23 22:21:29 ----A---- C:\WINXP\system32\drv43260.dll
2009-07-23 22:21:29 ----A---- C:\WINXP\system32\drv33260.dll
2009-07-23 22:21:29 ----A---- C:\WINXP\system32\drv23260.dll
2009-07-23 22:21:29 ----A---- C:\WINXP\system32\cook3260.dll
2009-07-23 18:20:22 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Atari
2009-07-23 18:20:17 ----A---- C:\WINXP\system32\CmdLineExt03.dll
2009-07-23 18:20:03 ----D---- C:\Programme\Gemeinsame Dateien\PocketSoft
2009-07-23 18:20:03 ----A---- C:\WINXP\patchw32.dll
2009-07-23 18:17:08 ----D---- C:\Programme\Atari
2009-07-15 15:19:08 ----A---- C:\WINXP\WPE PRO.INI
2009-07-08 06:12:51 ----D---- C:\Programme\Codemasters
2009-07-06 06:51:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vso
2009-07-06 06:50:50 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Vso
2009-07-06 06:50:50 ----A---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\inst.exe
2009-07-06 06:50:33 ----D---- C:\Programme\VSO
2009-07-06 05:27:11 ----D---- C:\Programme\Die 4te Offenbarung - Renaissance
2009-07-05 05:23:58 ----A---- C:\WINXP\system32\libmysql_c.dll
2009-07-05 05:23:57 ----D---- C:\Programme\PremiumSoft
2009-07-05 05:20:23 ----D---- C:\Programme\MySQL
2009-07-05 05:20:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MySQL
2009-07-03 03:32:07 ----D---- C:\NVIDIA

woha, 34.000 zeichen, leider noch einen post, sry.

OutbreakX · 29.07.2009, 23:45

Code:

ATTFilter

======List of files/folders modified in the last 1 months======

2009-07-30 00:35:57 ----D---- C:\WINXP\Temp
2009-07-30 00:35:25 ----D---- C:\WINXP
2009-07-30 00:31:00 ----D---- C:\WINXP\system32\CatRoot2
2009-07-30 00:21:07 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\uTorrent
2009-07-30 00:13:14 ----D---- C:\Programme\Mozilla Firefox
2009-07-30 00:11:07 ----D---- C:\WINXP\system32\drivers
2009-07-30 00:11:07 ----D---- C:\Programme
2009-07-30 00:10:48 ----N---- C:\WINXP\SchedLgU.Txt
2009-07-30 00:09:23 ----SD---- C:\WINXP\Tasks
2009-07-30 00:09:23 ----RSD---- C:\WINXP\Fonts
2009-07-30 00:09:23 ----D---- C:\WINXP\system32
2009-07-29 20:18:31 ----D---- C:\Programme\Cheat Engine
2009-07-29 18:28:05 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\UseNeXT
2009-07-29 15:04:05 ----SHD---- C:\WINXP\Installer
2009-07-29 15:04:05 ----D---- C:\Programme\Google
2009-07-29 15:04:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2009-07-29 14:45:34 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-29 14:45:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-29 14:35:28 ----D---- C:\WINXP\system32\inetsrv
2009-07-29 14:32:58 ----D---- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2009-07-29 06:17:17 ----HD---- C:\WINXP\inf
2009-07-29 03:46:47 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-29 03:46:19 ----D---- C:\Programme\Steam
2009-07-29 03:45:34 ----D---- C:\Programme\World of Warcraft
2009-07-29 03:00:23 ----D---- C:\WINXP\WinSxS
2009-07-29 00:00:04 ----HD---- C:\WINXP\$hf_mig$
2009-07-28 23:07:23 ----D---- C:\WINXP\Downloaded Installations
2009-07-28 16:18:11 ----RSD---- C:\WINXP\assembly
2009-07-28 14:54:58 ----D---- C:\WINXP\Prefetch
2009-07-28 14:20:49 ----A---- C:\WINXP\WORDPAD.INI
2009-07-28 12:41:17 ----D---- C:\WINXP\system32\DirectX
2009-07-27 12:36:28 ----D---- C:\WINXP\Minidump
2009-07-27 12:23:22 ----SHD---- C:\RECYCLER
2009-07-27 12:13:01 ----D---- C:\WINXP\system32\Restore
2009-07-27 11:56:05 ----A---- C:\WINXP\system32\PerfStringBackup.INI
2009-07-27 11:45:20 ----D---- C:\WINXP\Debug
2009-07-27 11:35:03 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-27 11:34:38 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-27 03:09:01 ----D---- C:\Programme\WinRAR
2009-07-27 03:09:01 ----D---- C:\Programme\Microsoft Silverlight
2009-07-27 03:02:28 ----RSHDC---- C:\WINXP\system32\dllcache
2009-07-27 03:02:21 ----A---- C:\WINXP\system32\MRT.INI
2009-07-26 23:59:33 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\teamspeak2
2009-07-26 17:35:41 ----D---- C:\Programme\DScaler5
2009-07-26 17:34:08 ----D---- C:\Programme\SHOUTcast Source
2009-07-26 14:49:15 ----D---- C:\Programme\DivX
2009-07-26 14:45:41 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-25 15:26:54 ----D---- C:\WINXP\system32\Tools
2009-07-25 15:26:53 ----D---- C:\Programme\Teamspeak2_RC2
2009-07-25 14:17:55 ----D---- C:\Programme\Lavasoft
2009-07-25 14:17:49 ----DC---- C:\WINXP\system32\DRVSTORE
2009-07-25 14:02:43 ----D---- C:\WINXP\system32\LogFiles
2009-07-25 13:58:32 ----D---- C:\Programme\Abrosoft
2009-07-25 13:22:02 ----D---- C:\WINXP\system32\config
2009-07-24 23:36:34 ----A---- C:\WINXP\win.ini
2009-07-24 22:16:34 ----D---- C:\WINXP\SoftwareDistribution
2009-07-24 22:16:10 ----D---- C:\HammerAutosave
2009-07-24 22:14:05 ----HDC---- C:\WINXP\$NtUninstallXPSEPSCLP$
2009-07-24 21:27:24 ----D---- C:\Programme\GameSpy Arcade
2009-07-24 21:26:36 ----SD---- C:\WINXP\Downloaded Program Files
2009-07-24 20:57:09 ----D---- C:\Programme\CD Audio Reader Filter
2009-07-24 11:28:11 ----A---- C:\WINXP\GMouse.ini
2009-07-24 01:43:21 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-07-24 01:37:22 ----D---- C:\Programme\Adobe
2009-07-24 01:36:02 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Adobe
2009-07-24 01:36:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-07-24 01:16:15 ----D---- C:\Programme\CCleaner
2009-07-23 23:43:33 ----A---- C:\WINXP\system.ini
2009-07-23 23:36:32 ----SH---- C:\boot.ini
2009-07-23 23:02:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2009-07-23 22:48:20 ----D---- C:\WINXP\system32\usmt
2009-07-23 22:48:20 ----D---- C:\Programme\Outlook Express
2009-07-23 22:48:20 ----D---- C:\Programme\Movie Maker
2009-07-23 22:47:27 ----A---- C:\WINXP\system32\uxtheme.dll
2009-07-23 22:46:55 ----D---- C:\WINXP\Cursors
2009-07-23 22:46:49 ----D---- C:\WINXP\Media
2009-07-07 17:10:56 ----A---- C:\WINXP\system32\MRT.exe
2009-07-06 15:21:45 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\ICQ
2009-07-05 06:55:45 ----D---- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\FileZilla
2009-07-03 03:34:34 ----D---- C:\WINXP\Help
2009-07-03 03:33:17 ----D---- C:\Programme\AGEIA Technologies

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINXP\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINXP\System32\Drivers\ElbyCDIO.sys [2009-02-17 24232]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINXP\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINXP\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 fssfltr;FssFltr; C:\WINXP\system32\DRIVERS\fssfltr_tdi.sys [2009-02-06 55152]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINXP\system32\DRIVERS\nwlnkipx.sys [2008-04-14 88320]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINXP\system32\DRIVERS\nwlnknb.sys [2008-04-14 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINXP\system32\DRIVERS\nwlnkspx.sys [2008-04-14 55936]
R3 catchme;catchme; \??\C:\DOKUME~1\Chris\LOKALE~1\Temp\catchme.sys []
R3 es1371;Creative AudioPCI (ES1371,ES1373) (WDM); C:\WINXP\system32\drivers\es1371mp.sys [2001-08-17 40704]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINXP\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINXP\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINXP\system32\drivers\RtkHDAud.sys [2007-07-10 4449280]
R3 mouhid;Maus-HID-Treiber; C:\WINXP\system32\DRIVERS\mouhid.sys [2008-12-10 12288]
R3 nv;nv; C:\WINXP\system32\DRIVERS\nv4_mini.sys [2009-06-10 8087712]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINXP\system32\DRIVERS\NVENETFD.sys [2006-11-27 58368]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINXP\system32\DRIVERS\nvnetbus.sys [2006-11-27 19968]
R3 NWRDR;NetWare Rdr; C:\WINXP\system32\DRIVERS\nwrdr.sys [2008-04-14 163584]
R3 pcouffin;VSO Software pcouffin; C:\WINXP\System32\Drivers\pcouffin.sys [2009-07-06 47360]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINXP\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINXP\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINXP\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 VClone;VClone; C:\WINXP\system32\DRIVERS\VClone.sys [2009-03-02 29184]
S3 CCDECODE;Untertiteldecoder; C:\WINXP\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINXP\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINXP\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINXP\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 nm;Netzwerkmonitortreiber; C:\WINXP\system32\DRIVERS\NMnt.sys [2008-04-14 40320]
S3 NPF;NetGroup Packet Filter Driver; C:\WINXP\system32\drivers\npf.sys [2007-06-21 42512]
S3 ovt519;%USB\vid_054c&pid_0155.DeviceDesc%; C:\WINXP\System32\Drivers\ov519vid.sys [2003-10-15 174530]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 scramby;Scramby Microphone; C:\WINXP\system32\drivers\scramby.sys [2007-02-13 25896]
S3 scramby_out;Scramby Output; C:\WINXP\system32\drivers\scramby_out.sys [2007-08-08 23840]
S3 SLIP;BDA Slip De-Framer; C:\WINXP\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA-IPSink; C:\WINXP\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINXP\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINXP\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINXP\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINXP\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINXP\system32\DRIVERS\WudfPf.sys [2008-12-10 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINXP\system32\DRIVERS\wudfrd.sys [2008-12-10 82944]
S4 IntelIde;IntelIde; C:\WINXP\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINXP\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-05-11 185089]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINXP\system32\nvsvc32.exe [2009-06-10 168004]
R2 NWCWorkstation;Client Service für NetWare; C:\WINXP\system32\svchost.exe [2008-04-14 14336]
R2 SeaPort;SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINXP\System32\TUProgSt.exe [2009-07-24 604488]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINXP\System32\svchost.exe [2008-04-14 14336]
S2 AntiVirUpgradeService;Avira Upgrade Service; C:\DOKUME~1\Chris\LOKALE~1\Temp\AVSETUP_4a68cd97\basic\avupgsvc.exe /TEMPSTART:C:\DOKUME~1\Chris\LOKALE~1\Temp\AVSETUP_4a68cd97\basic\setup.exe /NOTEMPCLEANUP /CROSSUPGRADE []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINXP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINXP\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 fsssvc;Windows Live Family Safety; C:\Programme\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S3 idsvc;Windows CardSpace; C:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR; C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe [2002-12-17 7520337]
S3 MSSQLServerADHelper;MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112]
S3 npggsvc;nProtect GameGuard Service; C:\WINXP\system32\GameMon.des [2009-06-22 3087772]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2007-06-21 92792]
S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR; C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE [2002-12-17 311872]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINXP\System32\TuneUpDefragService.exe [2009-07-24 361288]
S3 usprserv;User Privilege Service; C:\WINXP\System32\svchost.exe [2008-04-14 14336]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINXP\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

so, das wars.

Larusso · 29.07.2009, 23:58

Hy

Sieht absolut nicht gut aus

Wer bzw wo wurde Dir "fixen" gesagt?

Diese gefixten Einträge sind nicht schön.
Was ist Backdoor <--- lesen !!!

Solltest Du Dich trotzdem für eine Bereinigung entscheiden (ich würds nicht empfehlen) arbeite folgendes ab

schritt 1

deinstalliere

Code:

ATTFilter

ASK toolbar

schritt 2

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

schritt 3

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

schritt 4

Lade dir F-Secure Blacklight herunter

Installiere es in C:\Programme\Blacklight
Trenne dich von Netz(W-Lan nicht vergessen)
Deaktiviere alle laufenden Virenscanner etc
Schließe alle offenen Programme und starte es durch klick auf die fsbl.exe
Klicke auf i accept the agreement-->Next-->Scan
nach dem Scan klicke auf Close
Die Logfile fsbl.xxx.log wird unter dem Blacklight Verzeichnis gespeichert
Bitte posten

AntiVir Programme einschalten nicht vergessen bevor du ins Netz gehst

OutbreakX · 30.07.2009, 11:49

Hey, habe dann mal mit GMER gescannt.. hier das Log:

sind leider viel zeichen, also in 2 Threads:

Code:

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-30 02:41:41
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            B868769E                                                                                                         ZwCreateKey
SSDT            B8687694                                                                                                         ZwCreateThread
SSDT            B86876A3                                                                                                         ZwDeleteKey
SSDT            B86876AD                                                                                                         ZwDeleteValueKey
SSDT            spuz.sys                                                                                                         ZwEnumerateKey [0xB7EC5CA4]
SSDT            spuz.sys                                                                                                         ZwEnumerateValueKey [0xB7EC6032]
SSDT            B86876B2                                                                                                         ZwLoadKey
SSDT            spuz.sys                                                                                                         ZwOpenKey [0xB7EA70C0]
SSDT            B8687680                                                                                                         ZwOpenProcess
SSDT            B8687685                                                                                                         ZwOpenThread
SSDT            spuz.sys                                                                                                         ZwQueryKey [0xB7EC610A]
SSDT            spuz.sys                                                                                                         ZwQueryValueKey [0xB7EC5F8A]
SSDT            B86876BC                                                                                                         ZwReplaceKey
SSDT            B86876B7                                                                                                         ZwRestoreKey
SSDT            B86876A8                                                                                                         ZwSetValueKey
SSDT            B868768F                                                                                                         ZwTerminateProcess

INT 0x62        ?                                                                                                                8A9CDBF8
INT 0x63        ?                                                                                                                8A7A0F00
INT 0x83        ?                                                                                                                8A95CBF8
INT 0xA4        ?                                                                                                                8A7A0F00

Code            8A8FE500                                                                                                         pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?               spuz.sys                                                                                                         Das System kann die angegebene Datei nicht finden. !
.reloc          C:\WINXP\system32\drivers\NDIS.sys                                                                               section is executable [0x8A844200, 0x32AAA, 0xE0000060]
.text           USBPORT.SYS!DllUnload                                                                                            B766C8AC 5 Bytes  JMP 8A7A04E0 
?               C:\DOKUME~1\Chris\LOKALE~1\Temp\catchme.sys                                                                      Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

?               C:\WINXP\System32\svchost.exe[3468]                                                                              image checksum mismatch; number of sections mismatch; time/date stamp mismatch; 
?               C:\WINXP\System32\svchost.exe[3480]                                                                              image checksum mismatch; number of sections mismatch; time/date stamp mismatch; 
?               C:\WINXP\System32\svchost.exe[3508]                                                                              image checksum mismatch; number of sections mismatch; time/date stamp mismatch; 
?               C:\WINXP\System32\svchost.exe[5964]                                                                              image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                               [B7EA8042] spuz.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                       [B7EA813E] spuz.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                              [B7EA80C0] spuz.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                      [B7EA8800] spuz.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                              [B7EA86D6] spuz.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                               [B7EB7E9C] spuz.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                                [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                       [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                         [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                         [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                         [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                       [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                       [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                         [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1260] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              CB8401C7
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     6CE90043
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              560001D0
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    06C7F18B
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    [0043CB84] C:\WINXP\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  01D05EE8
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           2444F600
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              07740108
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               D3DDE856
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              8B590001
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   04C25EC6
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   EC8B5500
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 FF1475FF
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   75FF1075
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           5D10C483
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrlenW]                      EC8B55C3
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LocalFree]                     FF1475FF
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             75FF1075
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThread]              0875FF0C
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcAddress]                01D8D9E8
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                08458B00
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LCMapStringW]                  021F25E8
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!FreeLibrary]                   89F18B00
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcpyW]                      2DE8F075
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     830001CF
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     FF00FC65
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExitProcess]                   4E8D0875
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCommandLineW]               9006C70C
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     E80043CB
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcessHeap]                00001D70
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetErrorMode]                  D7E8C68B
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   C200021F
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   8B560004
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    6A006AF1
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  0C4E8D01
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       CB9006C7
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetTickCount]                  BAE80043
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            8B000022
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           C0E95ECE
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       830001CF

OutbreakX · 30.07.2009, 11:54

Code:

ATTFilter

IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!TerminateProcess]              72102479
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      10418B04
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LocalAlloc]                    10418DC3
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpW]                      F18B56C3
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          FFFFCDE8
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            07740108
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlFreeHeap]                      D329E856
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtOpenKey]                        8B590001
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscat]                           04C25EC6
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscpy]                           9C01C700
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  E90043CB
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          FFFFFFAE
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             C7F18B56
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitializeSid]                 43CB9C06
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             FFA0E800
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               44F6FFFF
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtClose]                          74010824
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          FCE85607
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     590001D2
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           C25EC68B
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetAce]                        046A0004
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 436AADB8
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcslen]                           1E7CE800
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      F18B0002
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCopySid]                       8BF07589
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         0001CEF7
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         00FC6583
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       570CC783
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           C70C4E8D
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerListen]                 43CB9006
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          1CC2E800
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             C68B0000
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             021F29E8
IAT             C:\WINXP\System32\svchost.exe[3468] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      0004C200
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              CB8401C7
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     6CE90043
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              560001D0
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    06C7F18B
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    [0043CB84] C:\WINXP\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  01D05EE8
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           2444F600
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              07740108
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               D3DDE856
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              8B590001
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   04C25EC6
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   EC8B5500
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 FF1475FF
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   75FF1075
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           5D10C483
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrlenW]                      EC8B55C3
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LocalFree]                     FF1475FF
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             75FF1075
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThread]              0875FF0C
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcAddress]                01D8D9E8
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                08458B00
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LCMapStringW]                  021F25E8
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!FreeLibrary]                   89F18B00
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcpyW]                      2DE8F075
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     830001CF
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     FF00FC65
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExitProcess]                   4E8D0875
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCommandLineW]               9006C70C
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     E80043CB
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcessHeap]                00001D70
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetErrorMode]                  D7E8C68B
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   C200021F
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   8B560004
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    6A006AF1
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  0C4E8D01
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       CB9006C7
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetTickCount]                  BAE80043
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            8B000022
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           C0E95ECE
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       830001CF
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!TerminateProcess]              72102479
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      10418B04
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LocalAlloc]                    10418DC3
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpW]                      F18B56C3
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          FFFFCDE8
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            07740108
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlFreeHeap]                      D329E856
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtOpenKey]                        8B590001
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscat]                           04C25EC6
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscpy]                           9C01C700
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  E90043CB
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          FFFFFFAE
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             C7F18B56
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitializeSid]                 43CB9C06
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             FFA0E800
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               44F6FFFF
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtClose]                          74010824
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          FCE85607
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     590001D2
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           C25EC68B
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetAce]                        046A0004
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 436AADB8
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcslen]                           1E7CE800
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      F18B0002
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCopySid]                       8BF07589
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         0001CEF7
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         00FC6583
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       570CC783
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           C70C4E8D
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerListen]                 43CB9006
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          1CC2E800
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             C68B0000
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             021F29E8
IAT             C:\WINXP\System32\svchost.exe[3480] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      0004C200
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              CB8401C7
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     6CE90043
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              560001D0
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    06C7F18B
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    [0043CB84] C:\WINXP\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  01D05EE8
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           2444F600
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              07740108
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               D3DDE856
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              8B590001
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   04C25EC6
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   EC8B5500
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 FF1475FF
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   75FF1075
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           5D10C483
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrlenW]                      EC8B55C3
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LocalFree]                     FF1475FF
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             75FF1075
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThread]              0875FF0C
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcAddress]                01D8D9E8
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                08458B00
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LCMapStringW]                  021F25E8
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!FreeLibrary]                   89F18B00
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcpyW]                      2DE8F075
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     830001CF
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     FF00FC65
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExitProcess]                   4E8D0875
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCommandLineW]               9006C70C
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     E80043CB
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcessHeap]                00001D70
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetErrorMode]                  D7E8C68B
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   C200021F
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   8B560004
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    6A006AF1
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  0C4E8D01
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       CB9006C7
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetTickCount]                  BAE80043
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            8B000022
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           C0E95ECE
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       830001CF
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!TerminateProcess]              72102479
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      10418B04
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32

OutbreakX · 30.07.2009, 11:56

und hier der rest

Code:

ATTFilter

\svchost.exe [KERNEL32.dll!LocalAlloc]                    10418DC3
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpW]                      F18B56C3
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          FFFFCDE8
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            07740108
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlFreeHeap]                      D329E856
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtOpenKey]                        8B590001
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscat]                           04C25EC6
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscpy]                           9C01C700
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  E90043CB
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          FFFFFFAE
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             C7F18B56
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitializeSid]                 43CB9C06
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             FFA0E800
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               44F6FFFF
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtClose]                          74010824
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          FCE85607
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     590001D2
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           C25EC68B
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetAce]                        046A0004
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 436AADB8
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcslen]                           1E7CE800
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      F18B0002
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCopySid]                       8BF07589
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         0001CEF7
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         00FC6583
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       570CC783
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           C70C4E8D
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerListen]                 43CB9006
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          1CC2E800
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             C68B0000
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             021F29E8
IAT             C:\WINXP\System32\svchost.exe[3508] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      0004C200
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              [77DA6AAF] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     [77DA6FFF] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              [77DAD767] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    [77DA6C27] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    [77DA7852] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  [77DAE9F4] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           [77DAEAE7] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              [77DA7ABB] C:\WINXP\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               00000000
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              [77EF5FE0] C:\WINXP\system32\GDI32.dll (GDI Client DLL/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   [77EF700A] C:\WINXP\system32\GDI32.dll (GDI Client DLL/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   [77EF6F79] C:\WINXP\system32\GDI32.dll (GDI Client DLL/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 [77EF5B70] C:\WINXP\system32\GDI32.dll (GDI Client DLL/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   00000000
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           [7C838E18] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrlenW]                      [7C80D302] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LocalFree]                     [7C80B8C9] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             [7C81116B] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThread]              [7C812847] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcAddress]                [7C8099B5] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                [7C812F16] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LCMapStringW]                  [7C812FD9] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!FreeLibrary]                   [7C809C65] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcpyW]                      [7C8097E0] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     [7C80E4DD] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     [7C813133] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!ExitProcess]                   [7C84495D] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCommandLineW]               [7C863FCA] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     [7C80DE95] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetProcessHeap]                [7C801E1A] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetErrorMode]                  [7C80B741] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   [7C80BA71] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   [7C944192] C:\WINXP\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    [7C80BE56] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  [7C80BEA1] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       [7C8101B1] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetTickCount]                  [7C80E9DF] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            [7C802446] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           [7C809BE7] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       [7C80EABB] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!TerminateProcess]              [7C80934A] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      [7C80BB04] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!LocalAlloc]                    [7C809AA9] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!lstrcmpW]                      [7C801812] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          [7C810B17] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            [7C91FE21] C:\WINXP\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlFreeHeap]                      [7C810E27] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtOpenKey]                        [7C810FD2] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscat]                           [7C830791] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcscpy]                           [7C834D71] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  [7C802530] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          [7C814B92] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             [7C80A174] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlInitializeSid]                 [7C809C98] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             [7C830D7C] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               [7C80E88C] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!NtClose]                          [7C80176F] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          [7C813851] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     [7C831EDD] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           [7C80EE77] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlGetAce]                        [7C834EE1] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 [7C813879] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!wcslen]                           [7C812AA9] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
[/code]

OutbreakX · 30.07.2009, 11:57

Nagut, einer noch :

Code:

ATTFilter

IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      [7C80AA6C] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [ntdll.dll!RtlCopySid]                       [7C80AA36] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         [7C9110E0] C:\WINXP\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         [7C911000] C:\WINXP\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       [7C80A0B7] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           [7C80982E] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerListen]                 [7C809842] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          [7C8308B5] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             [7C809F91] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             [7C8106D7] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINXP\System32\svchost.exe[5964] @ C:\WINXP\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      [7C80A0DB] C:\WINXP\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                           8A95B1F8
Device          \FileSystem\Fastfat \FatCdrom                                                                                    8A228398
Device          \Driver\NDIS \Device\Ndis                                                                                        [8A84B984] NDIS.sys[.reloc]
Device          \Driver\usbohci \Device\USBPDO-0                                                                                 8A7971F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                        8A95D1F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                          8A95D1F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                             8A95D1F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                            8A95D1F8
Device          \Driver\usbehci \Device\USBPDO-1                                                                                 8A7E81F8

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                        fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                           8A9CE1F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                     8A7E71F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                     8A7E71F8
Device          \Driver\nvata \Device\00000073                                                                                   8A95C1F8
Device          \Driver\Cdrom \Device\CdRom2                                                                                     8A7E71F8
Device          \Driver\Cdrom \Device\CdRom3                                                                                     8A7E71F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                          8A33C500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                 8A33C500
Device          \Driver\usbohci \Device\USBFDO-0                                                                                 8A7971F8
Device          \Driver\usbehci \Device\USBFDO-1                                                                                 8A7E81F8
Device          \Driver\nvata \Device\NvAta0                                                                                     8A95C1F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                8A340500
Device          \Driver\nvata \Device\NvAta1                                                                                     8A95C1F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                      8A340500
Device          \Driver\Ftdisk \Device\FtControl                                                                                 8A9CE1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{3E3E7FF6-7010-42DD-A321-A8830F939447}                                         8A33C500
Device          \Driver\VClone \Device\Scsi\VClone1                                                                              8A67F1F8
Device          \Driver\VClone \Device\Scsi\VClone1Port4Path0Target2Lun0                                                         8A67F1F8
Device          \Driver\VClone \Device\Scsi\VClone1Port4Path0Target1Lun0                                                         8A67F1F8
Device          \Driver\VClone \Device\Scsi\VClone1Port4Path0Target0Lun0                                                         8A67F1F8
Device          \FileSystem\Fastfat \Fat                                                                                         8A228398

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                           8A5C8500

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x17 0xE6 0xE1 0xC0 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x17 0xE6 0xE1 0xC0 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x17 0xE6 0xE1 0xC0 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr@start                                                          1
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr@type                                                           1
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr@group                                                          file system
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr@imagepath                                                      \systemroot\system32\drivers\vsfoceftidvjkw.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main                                                           
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main@aid                                                       10099
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main@sid                                                       0
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main\delete                                                    
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main\delete@C:\WINXP\TEMP\vsfoceercioxnqvc.tmp                 
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main\injector                                                  
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main\injector@*                                                vsfocewsp.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\main\tasks                                                     
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\modules                                                        
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\modules@vsfocerk.sys                                           \systemroot\system32\drivers\vsfoceftidvjkw.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\modules@vsfocecmd.dll                                          \systemroot\system32\vsfocepdqbimpp.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\modules@vsfocelog.dat                                          \systemroot\system32\vsfoceamybigip.dat
Reg             HKLM\SYSTEM\ControlSet003\Services\vsfocewulhbbgr\modules@vsfocewsp.dll                                          \systemroot\system32\vsfocefmurqpmj.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                               771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                               285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                               1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                 
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                              0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                           0x17 0xE6 0xE1 0xC0 ...
Reg             HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg             HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg             HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x17 0xE6 0xE1 0xC0 ...

---- Files - GMER 1.0.15 ----

File            C:\WINXP\system32\dllcache\ndis.sys                                                                              (size mismatch) 212224/182656 bytes executable
File            C:\WINXP\system32\drivers\ndis.sys                                                                               (size mismatch) 212224/182656 bytes executable

OutbreakX · 30.07.2009, 12:01

So das wars von GMER, seit neustem hab ich auch den msnmsgr.exe im Taskmanager, obwohl msn garnicht an ist .. benutze ich auch nie, aber ich scanne mal mit HijackThis die Logfile poste ich dann unten, mein 2tes Problem hab ich mit Rootrepeal, wenn ich scanne hängt es sich auf..hilfe

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:08, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINXP\system32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\WINXP\System32\TUProgSt.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\WINXP\Explorer.EXE
C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsavgui.exe
C:\WINXP\System32\svchost.exe
C:\Programme\UseNeXT\UseNeXT.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\RunServices: [Windows Explorer] explorer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Windows Explorer] explorer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Windows Explorer] explorer.exe (User 'Default user')
O4 - Startup: Alice.lnk = ?
O4 - Global Startup: Alice.lnk = ?
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8922DCAD-06C2-47C3-A79C-3785201F2F3A}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\WINXP\system32\adlaunch32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOKUME~1\Chris\LOKALE~1\Temp\AVSETUP_4a68cd97\basic\avupgsvc.exe (file missing)
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINXP\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 7871 bytes

Larusso · 30.07.2009, 12:08

es fehlen noch Schritt 3 und 4

OutbreakX · 30.07.2009, 18:06

NAchdem ich nichtmal mehr in den abgesicherten Modus kam, ins Internet allerdings auch nicht, hab ichs aufgegeben, aber ich danke dir für deine Hilfe,
neu windows drauf

LG

Larusso · 30.07.2009, 19:56

also wurde Formatiert.

Bei den Funden sicher auch die bessere Lösung

30.07.2009, 12:08	#13
Larusso /// Selecta Jahrusso	iexplore.exe/BN4.tmp es fehlen noch Schritt 3 und 4 __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

30.07.2009, 19:56	#15
Larusso /// Selecta Jahrusso	iexplore.exe/BN4.tmp also wurde Formatiert. Bei den Funden sicher auch die bessere Lösung __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

iexplore.exe/BN4.tmp

Plagegeister aller Art und deren Bekämpfung: iexplore.exe/BN4.tmp