Hallo zusammen,

habe vor einer Zeit lang meine externe Festplatte mit dem Trojaner TR/crypt.ZPACK.Gen infiziert. In letzter Zeit ist mir aber aufgefallen, dass der Trojaner nach jedem Durchsuchen mit Antivir erneut auftaucht und sich mein Quarantäneorder füllt...
Bin dann in diesem Forum darauf gestoßen, dass der Trojaner anscheinend sehr hartnäckig is und sich schwer löschen lässt (schonmal danke).
Ich hab in der Forumssuche diesen Beitrag gefunden:
http://www.trojaner-board.de/75091-t...zpack-gen.html
Das Problem von Nutzer Kadda ist soweit ich das beurteilen kann meinem sehr änhlich, zumindest der Pfand stimmt bis auf den laufwerksbuchstaben überein!

Ich muss dazu sagen dass ich mich nicht wirklich computertechnisch auskenne und deshalb nicht weiß ob sich die Maßnahmen bei Kadda auch bei mir durchführen lassen.

Hier mal der Report von Antivir (wie in dem anderen Beitrag vorgeschlagen: agressive einstellung!):



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 20. August 2009 14:22

Es wird nach 1649209 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ABACUS

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 18:05:09
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 14:39:46
ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10.08.2009 16:08:52
ANTIVIR3.VDF : 7.1.5.139 425984 Bytes 20.08.2009 09:16:06
Engineversion : 8.2.1.3
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 08:38:32
AESCRIPT.DLL : 8.1.2.25 459130 Bytes 12.08.2009 16:09:07
AESCN.DLL : 8.1.2.4 127348 Bytes 24.07.2009 15:17:14
AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 19:54:32
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 15:04:54
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 19:02:30
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 19:05:12
AEHELP.DLL : 8.1.6.0 233846 Bytes 18.08.2009 19:04:22
AEGEN.DLL : 8.1.1.57 356725 Bytes 18.08.2009 19:04:20
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 24.07.2009 15:17:08
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 18:08:23
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 17:27:10
RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 18:08:22

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, V:, W:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 20. August 2009 14:22

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '65379' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'V:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'W:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> inoweb.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'V:\' <Extern1>
V:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Beginne mit der Suche in 'W:\' <Extern2>
W:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

Beginne mit der Desinfektion:
V:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cef4cb6.qua' verschoben!
W:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ccb499f.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 20. August 2009 15:57
Benötigte Zeit: 1:35:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

14502 Verzeichnisse wurden überprüft
576327 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
576324 Dateien ohne Befall
9745 Archive wurden durchsucht
5 Warnungen
3 Hinweise
65379 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



Danke schon mal im voraus

Gruß Santuro

Hallo und

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Hänge bei allen Scans die externen Laufwerke an.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Erstmal danke für die Antwort,
konnte mich bis jetz nicht um die Aufgaben kümmern, darum jetzt erst meine antwort...

Hier der Report von Malwarebytes-Anti-Malware:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2675
Windows 5.1.2600 Service Pack 3

22.08.2009 16:55:13
mbam-log-2009-08-22 (16-55-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|V:\|W:\|)
Durchsuchte Objekte: 395666
Laufzeit: 4 hour(s), 5 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und im anschluss von RSIT...

log.text von RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by **** at 2009-08-22 17:16:12
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 6 GB (8%) free of 76 GB
Total RAM: 1534 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:37, on 22.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ThreatFire\TFService.exe
C:\Programme\ThreatFire\TFTray.exe
C:\WINDOWS\system32\mmrtkrnl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Dokumente und Einstellungen\Galoris\Eigene Dateien\Desktop\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\trend micro\Galoris.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:/Dokumente und Einstellungen/Galoris/Eigene Dateien/Radiotracker/Temp/RT/WebRip/profile/rrproxy_ie_4a1812ee.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: MedionShop - {3FD261A4-796F-4A71-91C1-705EFF6B8B29} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134842576125
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Seagate Scheduler2 Service (SgtSch2Svc) - Seagate - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - http://80.190.202.79/pic/h/herzl/see10.jpg

--
End of file - 8182 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-10-04 90112]
"ThreatFire"=C:\Programme\ThreatFire\TFTray.exe [2009-06-19 259344]
"Realtime Audio Engine"=mmrtkrnl.exe /i []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"Ad-Watch"=C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe [2009-06-05 518488]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-10-29 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"=C:\WINDOWS\system32\mscoree.dll [2008-07-25 282112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"MemCheckBoxInRunDlg"=1
"NoStrCmpLogical"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoChangeAnimation"=
"NoStrCmpLogical"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\CA\eTrust Antivirus\InocIT.exe"="C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\Programme\CA\eTrust Antivirus\Realmon.exe"="C:\Programme\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\Programme\CA\eTrust Antivirus\InoRpc.exe"="C:\Programme\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\Programme\Pinnacle\Studio 10\programs\RM.exe"="C:\Programme\Pinnacle\Studio 10\programs\RM.exe:*:Enabled:Render Manager"
"C:\Programme\Pinnacle\Studio 10\programs\Studio.exe"="C:\Programme\Pinnacle\Studio 10\programs\Studio.exe:*:Enabled:Studio"
"C:\Programme\Pinnacle\Studio 10\programs\PMSRegisterFile.exe"="C:\Programme\Pinnacle\Studio 10\programs\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
"C:\Programme\Pinnacle\Studio 10\programs\umi.exe"="C:\Programme\Pinnacle\Studio 10\programs\umi.exe:*:Enabled:umi"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*isabled:Microsoft DirectPlay8 Server"
"D:\Programme\Anno 1701\Anno1701.exe"="D:\Programme\Anno 1701\Anno1701.exe:*:Enabled:Anno 1701"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MirandaFusion\miranda32.exe"="C:\Programme\MirandaFusion\miranda32.exe:*:Enabled:Miranda Fusion"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\CA\eTrust Antivirus\InocIT.exe"="C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\Programme\CA\eTrust Antivirus\Realmon.exe"="C:\Programme\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\Programme\CA\eTrust Antivirus\InoRpc.exe"="C:\Programme\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
shell\AutoRun\command - I:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{157d1bbc-f9cc-11dc-a85b-0013d3f8fef9}]
shell\AutoRun\command - G:\pstart.exe
shell\open\command - G:\pstart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{280d3fe7-6653-11de-8cdc-001a4f9e9c03}]
shell\AutoRun\command - G:\pstart.exe
shell\open\command - G:\pstart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37d351bd-4900-11dd-8b05-d92f13df002f}]
shell\AutoRun\command - G:\pstart.exe
shell\open\command - G:\pstart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0b1d6fa-e922-11dc-a838-0013d3f8fef9}]
shell\AutoRun\command - G:\pstart.exe
shell\open\command - G:\pstart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe8b31bc-ff91-11db-80c2-0013d3f8fef9}]
shell\AutoRun\command - I:\pushinst.exe


======File associations======

.scr - open - "%1" /S "%3"

======List of files/folders created in the last 1 months======

2009-08-22 17:12:36 ----D---- C:\Programme\trend micro
2009-08-22 17:12:35 ----D---- C:\rsit
2009-08-22 12:45:12 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Malwarebytes
2009-08-22 12:44:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-22 12:44:56 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-21 15:21:40 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$
2009-08-21 08:43:41 ----D---- C:\Programme\CCleaner
2009-08-13 22:09:52 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-13 22:09:40 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-13 22:09:29 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-13 22:09:16 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-13 22:09:05 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-13 22:08:53 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-13 22:08:41 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-13 22:08:26 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-13 22:04:55 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-07-29 15:57:33 ----HDC---- C:\WINDOWS\$NtUninstallKB972260$
2009-07-28 16:52:15 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ

======List of files/folders modified in the last 1 months======

2009-08-22 17:15:53 ----D---- C:\WINDOWS\Temp
2009-08-22 17:14:19 ----D---- C:\WINDOWS\system32
2009-08-22 17:14:18 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-08-22 17:12:36 ----RD---- C:\Programme
2009-08-22 17:07:50 ----D---- C:\WINDOWS\Internet Logs
2009-08-22 17:00:26 ----D---- C:\Programme\Mozilla Firefox
2009-08-22 16:58:38 ----D---- C:\WINDOWS\system32\drivers
2009-08-22 16:58:23 ----A---- C:\WINDOWS\ModemLog_Standard 33600 bps Modem.txt
2009-08-22 16:58:11 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-08-22 16:57:34 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-22 12:09:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-22 12:08:22 ----D---- C:\WINDOWS\Debug
2009-08-22 12:08:22 ----D---- C:\WINDOWS
2009-08-22 12:08:21 ----D---- C:\WINDOWS\Minidump
2009-08-21 15:22:03 ----HD---- C:\WINDOWS\inf
2009-08-21 15:21:58 ----D---- C:\WINDOWS\system32\CatRoot
2009-08-21 15:21:48 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-21 10:35:15 ----D---- C:\WINDOWS\Microsoft.NET
2009-08-21 10:34:34 ----RSD---- C:\WINDOWS\assembly
2009-08-21 08:07:08 ----SHD---- C:\Config.Msi
2009-08-20 23:06:10 ----SHD---- C:\WINDOWS\Installer
2009-08-20 23:03:03 ----D---- C:\WINDOWS\WinSxS
2009-08-20 22:58:19 ----D---- C:\WINDOWS\system32\XPSViewer
2009-08-20 22:58:16 ----D---- C:\WINDOWS\system32\en-us
2009-08-20 22:58:10 ----RSD---- C:\WINDOWS\Fonts
2009-08-19 19:33:51 ----SHD---- C:\System Volume Information
2009-08-19 10:51:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-08-17 11:50:20 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-13 22:08:43 ----D---- C:\Programme\Outlook Express
2009-08-13 18:10:00 ----D---- C:\Programme\ThreatFire
2009-08-07 21:09:31 ----A---- C:\WINDOWS\IWB.INI
2009-08-05 10:59:36 ----A---- C:\WINDOWS\system32\mswebdvd.dll
2009-08-02 11:29:02 ----D---- C:\Programme\Spybot - Search & Destroy
2009-08-01 22:41:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-08-01 22:37:11 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Adobe
2009-07-31 18:05:04 ----D---- C:\Programme\Bengal
2009-07-31 11:46:32 ----A---- C:\WINDOWS\cdplayer.ini
2009-07-30 02:49:14 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-28 16:52:19 ----D---- C:\WINDOWS\system32\FxsTmp
2009-07-26 22:17:05 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\ChessBase
2009-07-26 22:03:42 ----A---- C:\WINDOWS\ChssBase.ini

der Rest von log.txt:

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 ATITool;ATITool Overclocking Utility; C:\WINDOWS\system32\DRIVERS\ATITool.sys [2006-11-10 24064]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys []
R1 truecrypt;truecrypt; C:\WINDOWS\System32\drivers\truecrypt.sys [2002-04-29 188576]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2007-02-02 271360]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 CDRPDACC;Quinnware CDDA Driver (by InfinaDyne); \??\C:\Programme\Quintessential Player\cdrpdacc.sys []
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2007-02-02 18048]
R2 tifsfilter;Seagate DiscWizard FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-01-04 44384]
R3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 826752]
R3 Afc;PPdus ASPI Shell; C:\WINDOWS\system32\drivers\Afc.sys [2005-02-23 11776]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-10-04 3797632]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ASAPIW2K;ASAPIW2K; C:\WINDOWS\system32\drivers\ASAPIW2k.sys [2004-03-10 11264]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-10-29 3341824]
R3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 MarvinBus;Pinnacle Marvin Bus; C:\WINDOWS\system32\DRIVERS\MarvinBus.sys [2004-03-29 90464]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 TfNetMon;TfNetMon; \??\C:\WINDOWS\system32\drivers\TfNetMon.sys []
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\WINDOWS\system32\drivers\WmBEnum.sys [2003-05-14 10144]
R3 WmXlCore;Logitech WingMan Translation Layer Driver; C:\WINDOWS\system32\drivers\WmXlCore.sys [2003-05-14 44288]
S1 ACEDRV05;ACEDRV05; \??\C:\WINDOWS\system32\drivers\ACEDRV05.sys []
S1 SSHDRV86;SSHDRV86; \??\C:\WINDOWS\system32\drivers\SSHDRV86.sys []
S1 Tosrfcom;Bluetooth RFCOMM; C:\WINDOWS\System32\Drivers\tosrfcom.sys []
S3 AgereSoftModem;Creatix V.92 Data Fax Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys []
S3 BthEnum;Bluetooth-Auflistungsdienst; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-14 17024]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-14 101120]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-14 18944]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 cportclm;cportclm; \??\C:\DOKUME~1\Galoris\LOKALE~1\Temp\cportclm.sys []
S3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-14 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 pmxscan;USB Flatbed Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-14 59136]
S3 s3chipid;s3chipid; \??\C:\DOKUME~1\Galoris\LOKALE~1\Temp\s3chipid.sys []
S3 SaiH5F0D;SaiH5F0D; C:\WINDOWS\system32\DRIVERS\SaiH5F0D.sys [2005-11-14 176640]
S3 SaiMini;SaiMini; C:\WINDOWS\system32\DRIVERS\SaiMini.sys [2005-07-22 13312]
S3 SaiNtBus;SaiNtBus; C:\WINDOWS\system32\drivers\SaiBus.sys [2005-07-22 33792]
S3 SaiU5F0D;SaiU5F0D; C:\WINDOWS\system32\DRIVERS\SaiU5F0D.sys [2005-11-14 27264]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 tosporte;Bluetooth COM Port; C:\WINDOWS\system32\DRIVERS\tosporte.sys []
S3 tosrfbd;Bluetooth RFBUS; C:\WINDOWS\system32\DRIVERS\tosrfbd.sys []
S3 tosrfbnp;Bluetooth RFBNEP; C:\WINDOWS\System32\Drivers\tosrfbnp.sys []
S3 Tosrfhid;Bluetooth RFHID; C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys []
S3 tosrfnds;Bluetooth Personal Area Network; C:\WINDOWS\system32\DRIVERS\tosrfnds.sys []
S3 TosRfSnd;Bluetooth Audio; C:\WINDOWS\system32\drivers\tosrfsnd.sys []
S3 tosrfusb;Bluetooth USB Controller; C:\WINDOWS\system32\DRIVERS\tosrfusb.sys []
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 viagfx;viagfx; C:\WINDOWS\system32\DRIVERS\vtmini.sys [2005-08-24 237312]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys []
S3 WmFilter;Logitech WingMan HID Filter Driver; C:\WINDOWS\system32\drivers\WmFilter.sys [2003-05-14 21216]
S3 WmHidLo;Logitech WingMan USB Filter Driver; C:\WINDOWS\system32\drivers\WmHidLo.sys [2003-05-14 13920]
S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\WINDOWS\system32\drivers\WmVirHid.sys [2003-05-14 5728]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S4 Hetbpla;Hetbpla; C:\WINDOWS\system32\drivers\Hetbpla.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 ACDaemon;ArcSoft Connect Daemon; C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2007-10-11 51712]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-10-29 585728]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2005-11-05 258146]
R2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2005-11-05 114784]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\system32\CTsvcCDA.exe [1999-12-12 44032]
R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe [2005-11-05 1073152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-06-05 1005904]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2005-11-05 167936]
R2 SgtSch2Svc;Seagate Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe [2008-08-06 431384]
R2 ThreatFire;ThreatFire; C:\Programme\ThreatFire\TFService.exe [2009-06-19 70928]
R2 UserAccess7;SecuROM User Access Service (V7); C:\WINDOWS\system32\UAService7.exe [2006-09-23 221184]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-10-28 593920]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-03-15 68096]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe []
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SandraDataSrv;Sandra Data Service; C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe [2006-05-16 117288]
S3 SandraTheSrv;Sandra Service; C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe [2006-05-16 1124904]
S3 WMConnectCDS;Windows Media Connect-Dienst; C:\Programme\Windows Media Connect 2\wmccds.exe [2005-10-06 856064]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

und zuletzt die info.txt:

info.txt logfile of random's system information tool 1.06 2009-08-22 17:12:59

======Uninstall list======

-->"C:\Programme\Creative Installation Information\CD_RIPPER_UNICODE_2\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\CREATIVE_SYNC_MANAGER_U\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\CREATIVE_VIDEO_CONVERTER\Setup.exe" /remove /l0x0007
-->"C:\Programme\Creative Installation Information\ZEN_MTP_MEDIA_EXPLORER\Setup.exe" /remove /l0x0007
-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Age of Empires III-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{A8CF5C37-8EC5-4C33-BB4A-87F468B77D45}
Age of Mythology-->"D:\Programme\Microsoft Games\Age of Mythology\UNINSTAL.EXE" /runtemp /addremove
ArcSoft PhotoImpression 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{546C7D0B-1E12-4573-BCD0-F5B0D3C66A74}\Setup.exe" -l0x7
ArcSoft Software Suite-->C:\Programme\InstallShield Installation Information\{497A1721-088F-41EF-8876-B43C9DA5528B}\Setup.exe -runfromtemp -l0x0007 -removeonly
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->MsiExec.exe /I{E29047D7-2692-4319-B2B0-7611B023BD8E}
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
ATI HYDRAVISION-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{083F79E4-6FE9-46FB-A6C6-4F8862742947}\setup.exe"
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
ATI Problem Report Wizard-->MsiExec.exe /X{5DA6F06A-B389-407B-BF8C-1548767914D8}
ATITool Overclocking Utility-->"C:\Programme\ATITool\Uninstall.exe"
Audacity 1.3.0-->"C:\Programme\Audacity 1.3 Beta\unins000.exe"
Auto Gordian Knot 2.55-->C:\Programme\AutoGK\uninst.exe
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
AviSynth 2.5-->"C:\Programme\AviSynth 2.5\Uninstall.exe"
AVIVO Codecs-->MsiExec.exe /X{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}
Canon i250-->C:\WINDOWS\system32\CNMCP50.exe "-PRINTERNAMECanon i250" "-HELPERDLLC:\BJPrinter\CNMWINDOWS\Canon i250 Installer\Inst2\cnmis.dll" "-RCDLLC:\BJPrinter\CNMWINDOWS\Canon i250 Installer\Inst2\cnmi0407.dll"
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Creative Systeminformationen-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7 /remove
Creative ZEN-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1B2DBF55-05D4-4072-87D8-689141E262BD}\SETUP.EXE" -l0x7 /remove
D-GISS 2006-2007-->MsiExec.exe /X{0F578150-4EDF-40FA-8EB4-3273B63C3218}
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX User Guide-->C:\Programme\DivX\DivXUserGuideUninstall /USERGUIDE
DVD-Cover Printmaster 1.3-->MsiExec.exe /I{7030C7B0-3B40-43F5-A3CF-8A7E89B9AE26}
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
FlatOut2-->MsiExec.exe /I{7E641E46-81DB-4D1D-906A-48342523051C}
Free YouTube Download 2.1-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 2.4-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs-->MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows Media Format SDK (KB902344)-->"C:\WINDOWS\$NtUninstallKB902344$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Intel A/V Codecs V2.0-->C:\WINDOWS\IsUninst.exe -fC:\WINDOWS\system32\CDUninst.isu
IQ 140 - Der ultimative Intelligenztrainer-->C:\MENSA_2\UNINSTAL.EXE C:\MENSA_2\INSTALL.LOG
IWB-->C:\WINDOWS\IsUn0407.exe -fC:\IWB\DeIsL1.isu
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
Lame ACM MP3 Codec-->C:\WINDOWS\system32\rundll32.exe setupapi,InstallHinfSection Remove_LameMP3 132 C:\WINDOWS\INF\LameACM.inf
Learn2 Player (Uninstall Only)-->C:\Programme\Learn2.com\StRunner\stuninst.exe
LetsTrade Komponenten-->C:\WINDOWS\fpuninst.exe -uninstall:"c:\programme\letstrade\uninst\uninst.ini"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MDL ISIS Draw 2.5 Standalone-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\MDL ISIS Draw 2.5\uninst.isu"
MediaShow 3.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D5A9B7C0-8751-11D8-9D75-000129760D75}\setup.exe" -uninstall
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Flight Simulator 2004 A Century of Flight-->"C:\Programme\Microsoft Games\Flight Simulator 9\UNINSTAL.EXE" /runtemp /addremove
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUSR /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{91120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Visio Professional 2003-->MsiExec.exe /I{90510407-6000-11D3-8CFE-0150048383C9}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Train Simulator-->"d:\Programme\Microsoft Games\Train Simulator\UNINSTAL.EXE" /runtemp /addremove
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Windows-Journal-Viewer-->MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA7}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Miranda Fusion 2.0.4-->"C:\Programme\MirandaFusion\uninstall.exe"
Miranda IM 0.8.1-->C:\Programme\Miranda IM\Uninstall.exe
MixPad-->C:\Programme\NCH Swift Sound\MixPad\uninst.exe
Mozilla Firefox (3.0.13)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.21)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
Need for Speed™ Most Wanted-->D:\Programme\EA GAMES\Need for Speed Most Wanted\EAUninstall.exe
Nero Suite-->C:\Programme\Gemeinsame Dateien\Ahead\Uninstall\Setup.exe /uninstall
Pacman 2005 1.1-->C:\Programme\Pacman 2005\uninst.exe
Phase 5 HTML-Editor-->MsiExec.exe /I{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}
PHOTOfunSTUDIO -viewer--->C:\Programme\InstallShield Installation Information\{9A9DBEBC-C800-4776-A970-D76D6AA405B1}\setup.exe -runfromtemp -l0x0007 -z"Uninstall" -removeonly
PhotoNow! 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.exe" -uninstall
Pinnacle Hollywood FX-->C:\WINDOWS\unvise32.exe C:\Programme\Pinnacle\Hollywood FX for Studio\5.5\uninstal.log
PixiePack Codec Pack-->MsiExec.exe /I{9C450606-ED24-4958-92BA-B8940C99D441}
PokerTH-->C:\Programme\PokerTH\uninstall.exe
PowerCinema-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\setup.exe" -uninstall
PowerDirector-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" -uninstall
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
PowerProducer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe" -uninstall
Quintessential Player-->"C:\Programme\Quintessential Player\uninst.exe"
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Richard Burns Rally-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{92C7D009-A464-4948-A980-7A3E28CB2F49}\setup.exe" -l0x7
Schachmeister-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D2879F90-5D17-4D81-9258-9557B4F800D6}\Setup.exe" -l0x7
Seagate*DiscWizard-->MsiExec.exe /X{C43E4B9C-14C8-4EB0-998B-85211B6EDD61}
SeaTools for Windows-->MsiExec.exe /I{98613C99-1399-416C-A07C-1EE1C585D872}
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~2\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~2\Install.log
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
SILKYPIX Developer Studio 3.0 SE-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe /M{B2F25F71-D920-4288-A548-54CD253DEF14} /l1031 UNINSTALL
SiSoftware Sandra Lite 2007 (Win64/32/CE)-->"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\unins000.exe"
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Studio 9-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9E491AB7-4589-48CA-9CBB-874CB2788391}\Setup.exe" -l0x7 UNINSTALL
TempoPerfect-->C:\Programme\NCH Swift Sound\TempoPerfect\uninst.exe
The Windows Ephemeris Tool V1.0-->G:\PROGRA~1\PHYSIK\EPHEME~1\UNWISE.EXE G:\PROGRA~1\PHYSIK\EPHEME~1\INSTALL.LOG "WET 1.0 Uninstall"
ThreatFire-->"C:\Programme\ThreatFire\unins000.exe"
TMPGEnc DVD Author 1.5-->MsiExec.exe /I{49062DAB-7009-4EBD-903A-830B283407C4}
TuneXP 1.5-->C:\WINDOWS\iun6002.exe "C:\Programme\TuneXP\irunin.ini"
Uninstall 1.0.0.0-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
USB2.0 CARD READER-->MsiExec.exe /I{247A11CA-F5CE-4DD6-85E2-64850E64E064}
VIA Plattform-Geräte-Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VirtualDub 1.6.1-->"C:\Programme\VirtualDub 1.6.1\setup\uninst.exe"
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
VobSub v2.23 (Remove Only)-->"C:\Programme\Gabest\VobSub\uninstall.exe"
WavePad Sound Editor-->C:\Programme\NCH Swift Sound\WavePad\uninst.exe
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Connect-->"C:\WINDOWS\$NtUninstallWMCSetup$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Messenger 5.1-->MsiExec.exe /I{9D1C26BD-E792-4159-9D16-07EA222D8EF0}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log
X3 Bonuspaket 3.1.07-->"D:\Programme\EGOSOFT\X3 Reunion\unins000.exe"
X3: Reunion v2.0.02-->"C:\WINDOWS\unins000.exe"
xp-AntiSpy 3.96-4-->C:\Programme\xp-AntiSpy\Uninstall.exe
Xvid 1.1.2 final uninstall-->"C:\Programme\Xvid\unins000.exe"
XviD MPEG4 Video Codec (remove only)-->"C:\Programme\XviD\xvid-uninstall.exe"
ZENcast Organizer-->"C:\Programme\Creative Installation Information\ZENCAST_ORGANIZER\Setup.exe" /remove /l0x0007
ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe
Zulu DJ Software-->C:\Programme\NCH Software\Zulu\uninst.exe

der Rest:

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: AntiVir Desktop
FW: ZoneAlarm Firewall

======System event log======

Computer Name: ABACUS
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\CdRom0.

Record Number: 21256
Source Name: Cdrom
Time Written: 20090728222247.000000+120
Event Type: Warnung
User:

Computer Name: ABACUS
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\CdRom0.

Record Number: 21255
Source Name: Cdrom
Time Written: 20090728222247.000000+120
Event Type: Warnung
User:

Computer Name: ABACUS
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\CdRom0.

Record Number: 21254
Source Name: Cdrom
Time Written: 20090728222246.000000+120
Event Type: Warnung
User:

Computer Name: ABACUS
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\CdRom0.

Record Number: 21253
Source Name: Cdrom
Time Written: 20090728222246.000000+120
Event Type: Warnung
User:

Computer Name: ABACUS
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\CdRom0.

Record Number: 21252
Source Name: Cdrom
Time Written: 20090728222246.000000+120
Event Type: Warnung
User:
=====Application event log=====

Computer Name: ABACUS
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 9176
Source Name: LoadPerf
Time Written: 20090531133651.000000+120
Event Type: Informationen
User:

Computer Name: ABACUS
Event Code: 3011
Message: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für
Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

Record Number: 9175
Source Name: LoadPerf
Time Written: 20090531133647.000000+120
Event Type: Fehler
User:

Computer Name: ABACUS
Event Code: 3012
Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn
der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der
Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite
DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.

Record Number: 9174
Source Name: LoadPerf
Time Written: 20090531133647.000000+120
Event Type: Fehler
User:

Computer Name: ABACUS
Event Code: 3012
Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn
der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der
Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite
DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.

Record Number: 9173
Source Name: LoadPerf
Time Written: 20090531133647.000000+120
Event Type: Fehler
User:

Computer Name: ABACUS
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 9172
Source Name: LoadPerf
Time Written: 20090531120128.000000+120
Event Type: Informationen
User:
=====Security event log=====

Computer Name: ABACUS
Event Code: 849
Message: Eine Anwendung war als Ausnahme aufgelistet, als der Windows-Firewall gestartet wurde.



Richtlinienursprung: Lokale Richtlinie

Verwendetes Profil: Standard

Name: AOL 9.0

Pfad: C:\Programme\AOL 9.0\WAOL.exe

Status: Aktiviert

Bereich: Alle Subnetze

Record Number: 88000
Source Name: Security
Time Written: 20090809110152.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ABACUS
Event Code: 849
Message: Eine Anwendung war als Ausnahme aufgelistet, als der Windows-Firewall gestartet wurde.



Richtlinienursprung: Lokale Richtlinie

Verwendetes Profil: Standard

Name: AOL 9.0

Pfad: C:\Programme\AOL 9.0\AOL.exe

Status: Aktiviert

Bereich: Alle Subnetze

Record Number: 87999
Source Name: Security
Time Written: 20090809110152.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ABACUS
Event Code: 849
Message: Eine Anwendung war als Ausnahme aufgelistet, als der Windows-Firewall gestartet wurde.



Richtlinienursprung: Lokale Richtlinie

Verwendetes Profil: Standard

Name: Nero MediaHome

Pfad: C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe

Status: Aktiviert

Bereich: Alle Subnetze

Record Number: 87998
Source Name: Security
Time Written: 20090809110152.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ABACUS
Event Code: 848
Message: Die folgende Richtlinie war aktiv, als der Windows-Firewall gestartet wurde.



Übernommene Gruppenrichtlinie: Nein

Verwendetes Profil: Standard

Schnittstelle: Alle Schnittstellen

Betriebsmodus: Inaktiv

Dienste:

Datei- und Druckerfreigabe: Aktiviert

Remotedesktop: Deaktiviert

UPnP-Framework: Aktiviert

Remoteverwaltung zulassen: Deaktiviert

Unicastantworten auf Multicast-/Broadcastdatenverkehr zulassen: Deaktiviert

Sicherheitsprotokollierung:

Verworfene Pakete protokollieren: Deaktiviert

Erfolgreiche Verbindungen protokollieren: Deaktiviert

ICMP:

Eingehende Echoanforderung zulassen: Aktiviert

Eingehende Zeitstempelanforderung zulassen: Deaktiviert

Eingehende Maskenanforderung zulassen: Deaktiviert

Eingehende Routeranforderung zulassen: Deaktiviert

Nicht verfügbares ausgehendes Ziel zulassen: Deaktiviert

Ausgehendes Source Quench zulassen: Deaktiviert

Ausgehendes Parameterproblem zulassen: Deaktiviert

Ausgehende Zeitüberschreitung zulassen: Deaktiviert

Umleiten zulassen: Deaktiviert

Zu großes ausgehendes Paket zulassen: Deaktiviert

Record Number: 87997
Source Name: Security
Time Written: 20090809110152.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ABACUS
Event Code: 515
Message: Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert.
Diesem Anmeldevorgang wird vertraut, Anmeldeversuche einzureichen.




Name des Anmeldevorgangs: RASMAN

Record Number: 87996
Source Name: Security
Time Written: 20090809110152.000000+120
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\MDL Shared\ISIS
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0409
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"tvdumpflags"=8

-----------------EOF-----------------

passt das jetz alles so?
wenn ja was soll ich jetzt machen?

g Santuro

Hast du bei Malwarebytes auch, wie es in der Anleitung steht, die Funde löschen lassen? Dort steht No action taken.

ComboFix starten.

ciao, andreas

ja die funde hab ich soweit ich weiß schon gelöscht...

Wo bleibt das Log von ComboFix?

ciao, andreas

ok, Combofix hab ich jetzt auch durchlaufen lassen:

beim ersten mal hat mir das programm das hintergrundbild geändert, und kurz bevor er die logdatei erstellt hatte hab ich noch kurz den blauen Bildschirm mit dem text "Windows hat einen Fehler entdeckt..", dann ist der computer heruntergefahren und es kam zum neustart, wobei dann das Hintergrundbild blieb und das Programm nicht mehr gestartet ist.
muss ich mir sorgen machen?

beim zweiten mal hats geklappt, hier die logdatei:

ComboFix 09-08-21.02 - Galoris 22.08.2009 22:05.2.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1534.1013 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\recycler\S-1-5-21-2026988394-458939686-1626962857-1003
c:\recycler\S-1-5-21-3641870577-4112534244-1990200247-1003
c:\windows\jestertb.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-22 bis 2009-08-22 ))))))))))))))))))))))))))))))
.

2009-08-22 15:12 . 2009-08-22 15:16 -------- d-----w- c:\programme\trend micro
2009-08-22 15:12 . 2009-08-22 15:12 -------- d-----w- C:\rsit
2009-08-22 10:45 . 2009-08-22 10:45 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Malwarebytes
2009-08-22 10:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-22 10:44 . 2009-08-22 10:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-22 10:44 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-22 10:44 . 2009-08-22 10:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-21 06:43 . 2009-08-21 06:43 -------- d-----w- c:\programme\CCleaner
2009-08-13 16:02 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-28 14:52 . 2009-07-28 14:52 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 19:57 . 2005-12-18 01:29 934830 ----a-w- c:\windows\system32\perfh007.dat
2009-08-22 19:57 . 2005-12-18 01:29 253784 ----a-w- c:\windows\system32\perfc007.dat
2009-08-22 19:53 . 2007-11-30 13:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-08-22 19:49 . 2008-04-13 08:13 5249056 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-22 14:55 . 2008-04-13 08:13 62804 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-22 10:09 . 2008-04-12 19:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-21 06:34 . 2006-02-06 16:56 115096 ----a-w- c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-20 21:06 . 2009-08-21 06:10 2747904 ----a-w- c:\windows\Internet Logs\xDB34.tmp
2009-08-19 08:51 . 2006-12-23 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-08-16 09:46 . 2009-08-16 09:48 1944064 ----a-w- c:\windows\Internet Logs\xDB33.tmp
2009-08-13 16:10 . 2008-11-06 15:20 -------- d-----w- c:\programme\ThreatFire
2009-08-05 18:05 . 2009-03-21 14:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2005-12-18 01:29 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-02 09:29 . 2008-04-12 19:23 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-31 16:05 . 2007-07-07 12:12 -------- d-----w- c:\programme\Bengal
2009-07-26 20:17 . 2007-08-07 16:39 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\ChessBase
2009-07-21 15:04 . 2009-07-21 15:04 10134 ----a-r- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-07-21 15:04 . 2009-07-21 15:04 -------- d-----w- c:\programme\Microsoft WSE
2009-07-21 14:15 . 2005-12-17 17:59 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Miranda Fusion
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\programme\MirandaFusion
2009-07-18 20:11 . 2008-08-15 12:35 -------- d-----w- c:\programme\ICQ6
2009-07-17 19:01 . 2005-12-18 01:29 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2005-12-18 01:29 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:22 . 2009-03-06 05:59 -------- d-----w- c:\programme\AutoGK
2009-07-11 12:22 . 2007-10-12 15:52 -------- d-----w- c:\programme\Xvid
2009-07-11 12:22 . 2008-03-18 20:43 -------- d-----w- c:\programme\AviSynth 2.5
2009-07-11 09:47 . 2009-07-11 09:47 -------- d-----w- c:\programme\Lavalys
2009-07-06 20:44 . 2009-07-08 15:11 103424 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-07-06 20:44 . 2009-07-08 15:11 937984 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-07-06 20:44 . 2009-07-08 15:11 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-07-06 20:44 . 2009-07-08 15:11 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2009-07-06 20:44 . 2009-07-08 15:11 4722688 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\cooliris19.dll
2009-07-06 20:44 . 2009-07-08 15:11 344064 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-07-02 15:48 . 2009-07-02 15:50 2797056 ----a-w- c:\windows\Internet Logs\xDB31.tmp
2009-07-02 15:48 . 2009-07-02 15:50 1793536 ----a-w- c:\windows\Internet Logs\xDB32.tmp
2009-07-01 20:13 . 2008-04-14 14:34 -------- d-----w- c:\programme\Google
2009-07-01 19:54 . 2008-08-15 13:13 -------- d-----w- c:\programme\Miranda IM
2009-06-30 17:19 . 2009-07-03 16:03 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Plugins\npcoolirisplugin.dll
2009-06-30 17:19 . 2009-07-03 16:03 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\components\coolirisstub.dll
2009-06-30 17:19 . 2009-07-03 16:03 4734976 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\libs\cooliris19.dll
2009-06-29 15:57 . 2009-06-29 15:57 -------- d-----w- c:\programme\Pacman 2005
2009-06-26 16:49 . 2005-12-18 01:29 672256 ------w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 15:07 . 2008-04-13 08:10 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-06-19 20:37 . 2008-11-06 15:20 46864 ----a-w- c:\windows\system32\drivers\TfSysMon.sys
2009-06-19 20:37 . 2008-11-06 15:20 33552 ----a-w- c:\windows\system32\drivers\TfNetMon.sys
2009-06-19 20:37 . 2008-11-06 15:20 51984 ----a-w- c:\windows\system32\drivers\TfFsMon.sys
2009-06-16 14:36 . 2005-12-18 01:29 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2005-12-18 01:29 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2005-12-18 01:29 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2005-12-17 17:39 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2005-12-18 01:29 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2005-12-18 01:29 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-06-02 15:58 . 2008-08-24 16:43 10920868 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2005-12-18 12:59 . 2005-12-18 12:59 8 --sh--r- c:\windows\system32\400C4A95DD.sys
2008-03-23 10:38 . 2008-03-18 20:12 56 --sh--r- c:\windows\system32\67635072A1.sys
2008-03-23 10:38 . 2005-12-18 12:59 9188 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-08-22_19.43.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-12-18 01:29 . 2009-08-22 19:57 860848 c:\windows\system32\perfh009.dat
+ 2005-12-18 01:29 . 2009-08-22 19:57 232414 c:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThreatFire"="c:\programme\ThreatFire\TFTray.exe" [2009-06-19 259344]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-05 518488]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-10-04 90112]
"Realtime Audio Engine"="mmrtkrnl.exe" - c:\windows\system32\mmrtkrnl.exe [2008-12-02 70144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoChangeAnimation"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2008-07-25 282112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"d:\\Programme\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [05.06.2009 15:44 64160]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [06.11.2008 17:20 51984]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [06.11.2008 17:20 46864]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2009 16:38 108289]
R2 SgtSch2Svc;Seagate Scheduler2 Service;c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe [06.08.2008 00:25 431384]
R2 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [17.12.2005 21:07 826752]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [06.11.2008 17:20 33552]
S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1005904]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.05.2007 09:34 264704]
S3 pmxscan;USB Flatbed Scanner Driver;c:\windows\system32\drivers\usbscan.sys [19.02.2006 11:48 15104]
S3 s3chipid;s3chipid;\??\c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys --> c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys [?]
S3 SaiH5F0D;SaiH5F0D;c:\windows\system32\drivers\SaiH5F0D.sys [18.05.2008 11:55 176640]
S3 SaiU5F0D;SaiU5F0D;c:\windows\system32\drivers\SaiU5F0D.sys [18.05.2008 11:55 27264]
S4 Hetbpla;Hetbpla; [x]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2009-06-05 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:43]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 22:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,ea,28,b2,9a,48,
a9,2f,a9,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,7b,4f,ae,a3,
8e,06,cb,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,3d,75,6e,c9,2b,
10,28,55,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,53,86,c0,a7,8f,
dc,72,bc,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,16,87,c3,8c,26,
ec,de,5d,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,ea,22,4e,80,78,
2f,43,4f,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,84,5f,2b,43,66,
7b,c6,9e,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,89,0d,83,3e,2b,
06,c1,8e,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,97,89,72,84,43,
ae,e4,95,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,dd,8b,40,54,a6,
ca,62,c9,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,bf,77,71,37,56,
10,8c,fa,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,4f,a1,26,24,64,
59,c9,c6,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b1,8a,3c,a5,76,42,5c,7c,5b,fe,af,d2,af,4a,7c,0c,14,af,ca,30,78,93,d0,
67,4e,5b,f4,e9,40,7f,2f,52,44,8e,96,63,ff,ff,19,fd,39,25,01,cd,05,1a,fa,11,\
"??"=hex:f4,5a,5c,e9,f4,6d,27,be,18,58,98,0c,89,35,b9,c8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1020)
c:\windows\system32\Ati2evxx.dll
c:\programme\ThreatFire\TFWAH.dll
c:\programme\ThreatFire\TFNI.dll
c:\programme\ThreatFire\TFMon.dll
c:\programme\ThreatFire\TFRK.dll

- - - - - - - > 'lsass.exe'(1084)
c:\windows\system32\relog_ap.dll
c:\programme\ThreatFire\TFWAH.dll

- - - - - - - > 'explorer.exe'(2580)
c:\programme\ThreatFire\TFWAH.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\dot3api.dll
.
Zeit der Fertigstellung: 2009-08-22 22:28
ComboFix-quarantined-files.txt 2009-08-22 20:28

Vor Suchlauf: 6.681.452.544 Bytes frei
Nach Suchlauf: 6.639.312.896 Bytes frei

267 --- E O F --- 2009-08-21 13:22

Zitat:

muss ich mir sorgen machen?

Nein. Gute Nachrichten, Conficker ist nicht aktiv.

Zeit für mein Lieblingszitat von Marc:

Zitat:

Einen Mangel an IT-Sacherverstand erkennt man u.a. an einem übermäßigen Gebrauch von Sicherheits- und Optimierungstools.

• Ad-Aware (Schrott)
• Spybot - Search & Destroy (Schrott)
• ThreatFire (Schrott)
• TuneXP 1.5 (Schrott)
• ZoneAlarm (Schrott und ein Trojaner => http://www.trojaner-board.de/73296-z...-trojaner.html)

Alles deinstallieren.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
V:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
W:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

Rootkit::
V:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
W:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

Folder::
V:\RECYCLER
W:\RECYCLER
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

wenn all meine Schutzprogramme nichts taugen, was soll ich dann hernehmen?

hier das log:

ComboFix 09-08-21.02 - Galoris 23.08.2009 10:56.3.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1534.1030 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"v:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx"
"w:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

V:\RECYCLER . . . . Nicht in der Lage zu löschen
W:\RECYCLER . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-23 bis 2009-08-23 ))))))))))))))))))))))))))))))
.

2009-08-22 15:12 . 2009-08-22 15:16 -------- d-----w- c:\programme\trend micro
2009-08-22 15:12 . 2009-08-22 15:12 -------- d-----w- C:\rsit
2009-08-22 10:45 . 2009-08-22 10:45 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Malwarebytes
2009-08-22 10:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-22 10:44 . 2009-08-22 10:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-22 10:44 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-22 10:44 . 2009-08-22 10:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-21 06:43 . 2009-08-21 06:43 -------- d-----w- c:\programme\CCleaner
2009-08-13 16:02 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-28 14:52 . 2009-07-28 14:52 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-23 09:16 . 2005-12-18 01:29 936600 ----a-w- c:\windows\system32\perfh007.dat
2009-08-23 09:16 . 2005-12-18 01:29 254414 ----a-w- c:\windows\system32\perfc007.dat
2009-08-23 09:14 . 2008-04-13 08:13 5306400 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-23 09:12 . 2007-11-30 13:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-08-23 09:10 . 2008-04-13 08:13 65204 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-22 10:09 . 2008-04-12 19:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-21 06:34 . 2006-02-06 16:56 115096 ----a-w- c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-20 21:06 . 2009-08-21 06:10 2747904 ----a-w- c:\windows\Internet Logs\xDB34.tmp
2009-08-19 08:51 . 2006-12-23 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-08-16 09:46 . 2009-08-16 09:48 1944064 ----a-w- c:\windows\Internet Logs\xDB33.tmp
2009-08-13 16:10 . 2008-11-06 15:20 -------- d-----w- c:\programme\ThreatFire
2009-08-05 18:05 . 2009-03-21 14:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2005-12-18 01:29 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-02 09:29 . 2008-04-12 19:23 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-31 16:05 . 2007-07-07 12:12 -------- d-----w- c:\programme\Bengal
2009-07-26 20:17 . 2007-08-07 16:39 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\ChessBase
2009-07-21 15:04 . 2009-07-21 15:04 10134 ----a-r- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-07-21 15:04 . 2009-07-21 15:04 -------- d-----w- c:\programme\Microsoft WSE
2009-07-21 14:15 . 2005-12-17 17:59 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Miranda Fusion
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\programme\MirandaFusion
2009-07-18 20:11 . 2008-08-15 12:35 -------- d-----w- c:\programme\ICQ6
2009-07-17 19:01 . 2005-12-18 01:29 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2005-12-18 01:29 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:22 . 2009-03-06 05:59 -------- d-----w- c:\programme\AutoGK
2009-07-11 12:22 . 2007-10-12 15:52 -------- d-----w- c:\programme\Xvid
2009-07-11 12:22 . 2008-03-18 20:43 -------- d-----w- c:\programme\AviSynth 2.5
2009-07-11 09:47 . 2009-07-11 09:47 -------- d-----w- c:\programme\Lavalys
2009-07-06 20:44 . 2009-07-08 15:11 103424 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-07-06 20:44 . 2009-07-08 15:11 937984 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-07-06 20:44 . 2009-07-08 15:11 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-07-06 20:44 . 2009-07-08 15:11 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2009-07-06 20:44 . 2009-07-08 15:11 4722688 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\cooliris19.dll
2009-07-06 20:44 . 2009-07-08 15:11 344064 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-07-02 15:48 . 2009-07-02 15:50 2797056 ----a-w- c:\windows\Internet Logs\xDB31.tmp
2009-07-02 15:48 . 2009-07-02 15:50 1793536 ----a-w- c:\windows\Internet Logs\xDB32.tmp
2009-07-01 20:13 . 2008-04-14 14:34 -------- d-----w- c:\programme\Google
2009-07-01 19:54 . 2008-08-15 13:13 -------- d-----w- c:\programme\Miranda IM
2009-06-30 17:19 . 2009-07-03 16:03 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Plugins\npcoolirisplugin.dll
2009-06-30 17:19 . 2009-07-03 16:03 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\components\coolirisstub.dll
2009-06-30 17:19 . 2009-07-03 16:03 4734976 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\libs\cooliris19.dll
2009-06-29 15:57 . 2009-06-29 15:57 -------- d-----w- c:\programme\Pacman 2005
2009-06-26 16:49 . 2005-12-18 01:29 672256 ------w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 15:07 . 2008-04-13 08:10 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-06-19 20:37 . 2008-11-06 15:20 46864 ----a-w- c:\windows\system32\drivers\TfSysMon.sys
2009-06-19 20:37 . 2008-11-06 15:20 33552 ----a-w- c:\windows\system32\drivers\TfNetMon.sys
2009-06-19 20:37 . 2008-11-06 15:20 51984 ----a-w- c:\windows\system32\drivers\TfFsMon.sys
2009-06-16 14:36 . 2005-12-18 01:29 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2005-12-18 01:29 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2005-12-18 01:29 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2005-12-17 17:39 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2005-12-18 01:29 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2005-12-18 01:29 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-06-02 15:58 . 2008-08-24 16:43 10920868 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2005-12-18 12:59 . 2005-12-18 12:59 8 --sh--r- c:\windows\system32\400C4A95DD.sys
2008-03-23 10:38 . 2008-03-18 20:12 56 --sh--r- c:\windows\system32\67635072A1.sys
2008-03-23 10:38 . 2005-12-18 12:59 9188 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-08-22_19.43.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-12-18 01:29 . 2009-08-23 08:31 862104 c:\windows\system32\perfh009.dat
+ 2005-12-18 01:29 . 2009-08-23 08:31 232902 c:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThreatFire"="c:\programme\ThreatFire\TFTray.exe" [2009-06-19 259344]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-05 518488]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-10-04 90112]
"Realtime Audio Engine"="mmrtkrnl.exe" - c:\windows\system32\mmrtkrnl.exe [2008-12-02 70144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoChangeAnimation"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2008-07-25 282112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"d:\\Programme\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [05.06.2009 15:44 64160]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [06.11.2008 17:20 51984]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [06.11.2008 17:20 46864]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2009 16:38 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1005904]
R2 SgtSch2Svc;Seagate Scheduler2 Service;c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe [06.08.2008 00:25 431384]
R2 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [17.12.2005 21:07 826752]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [06.11.2008 17:20 33552]
S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.05.2007 09:34 264704]
S3 pmxscan;USB Flatbed Scanner Driver;c:\windows\system32\drivers\usbscan.sys [19.02.2006 11:48 15104]
S3 s3chipid;s3chipid;\??\c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys --> c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys [?]
S3 SaiH5F0D;SaiH5F0D;c:\windows\system32\drivers\SaiH5F0D.sys [18.05.2008 11:55 176640]
S3 SaiU5F0D;SaiU5F0D;c:\windows\system32\drivers\SaiU5F0D.sys [18.05.2008 11:55 27264]
S4 Hetbpla;Hetbpla; [x]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2009-06-05 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:43]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 11:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,ea,28,b2,9a,48,
a9,2f,a9,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,7b,4f,ae,a3,
8e,06,cb,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,3d,75,6e,c9,2b,
10,28,55,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,53,86,c0,a7,8f,
dc,72,bc,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,16,87,c3,8c,26,
ec,de,5d,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,ea,22,4e,80,78,
2f,43,4f,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,84,5f,2b,43,66,
7b,c6,9e,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,89,0d,83,3e,2b,
06,c1,8e,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,97,89,72,84,43,
ae,e4,95,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,dd,8b,40,54,a6,
ca,62,c9,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,bf,77,71,37,56,
10,8c,fa,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,4f,a1,26,24,64,
59,c9,c6,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b1,8a,3c,a5,76,42,5c,7c,5b,fe,af,d2,af,4a,7c,0c,14,af,ca,30,78,93,d0,
67,4e,5b,f4,e9,40,7f,2f,52,44,8e,96,63,ff,ff,19,fd,39,25,01,cd,05,1a,fa,11,\
"??"=hex:f4,5a,5c,e9,f4,6d,27,be,18,58,98,0c,89,35,b9,c8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(876)
c:\windows\system32\Ati2evxx.dll
c:\programme\ThreatFire\TFWAH.dll
c:\programme\ThreatFire\TFNI.dll
c:\programme\ThreatFire\TFMon.dll
c:\programme\ThreatFire\TFRK.dll

- - - - - - - > 'lsass.exe'(936)
c:\windows\system32\relog_ap.dll
c:\programme\ThreatFire\TFWAH.dll

- - - - - - - > 'explorer.exe'(3288)
c:\programme\ThreatFire\TFWAH.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\programme\ThreatFire\TFNI.dll
c:\programme\ThreatFire\TFMon.dll
c:\programme\ThreatFire\TFRK.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\dot3api.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\ThreatFire\TFService.exe
c:\windows\system32\UAService7.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-23 11:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-23 09:24
ComboFix2.txt 2009-08-22 20:28

Vor Suchlauf: 6.626.562.048 Bytes frei
Nach Suchlauf: 6.569.119.744 Bytes frei

290 --- E O F --- 2009-08-21 13:22

Führe einen Scan mit diesen Einstellungen durch => http://www.trojaner-board.de/54192-a...tellungen.html

ciao, andreas