Ich melde mich nochmal kurz: Da steht:

No Drive Type AUtorun exists. Overwrite? Yes or No?

Also ist das schon da? Auf No gehen oder?

Yes drücken. der Wert 255 bzw 0xff deaktiviert den Autorun sämtlicher externen Geräte. Den Reg-eintrag mußt du nur 1 mal ausführen, die Einstellung bleibt auch nach einem reboot und gilt systemweit.

Dankeschön, hab Deinen Rat befolgt, yes eingegeben, bestätigt, Neustart und jetzt die externe Platte dran. ( Änderungen wirksam ) Kaspersky läuft. Ich laß jetzt nur die externe scannen erstmal. Und was meinte Coverflow da mit den INternet-Browser-Einstellungen? Das war das, was ich alles nicht kapiert hatte.

Also, jetzt brauch ich das mit der Shift-Taste nie mehr zu machen? Dieser Befehl ist jetzt dauerhaft für immer? Sehr gut! Ich mache mir nur noch ein wenig Sorgen, weil ja der Kaspersky keinen Virtumonde findet. Aber Du meinst, Antispyware wäre nicht mehr nötig? Dann laß ich das.

Ich wüßte nur mal ganz gerne, ob ich den Virtumonde überhaupt drauf hatte oder ob es ein Fehlalarm war und wann ich ihn mir WENN, eingefangen habe?

Zitat:

Zitat von Micha Gundi

Und was meinte Coverflow da mit den INternet-Browser-Einstellungen? Das war das, was ich alles nicht kapiert hatte.

Bei einem onlinescan, wie von coverflow verlinkt, wird der scanner nicht lokal auf dem System installiert, allenfalls - und ich glaube üblich - die Signaturdatenbanken. Die Steuerung des scans läuft über ActiveX, einer Eigenart des Internet Explorers. Diese ActiveX-Elemente müssen für den scan installiert werden. Damit das funktioniert, muss der Browser, sprich IE, die Installation von ActiveX-Elementen zulassen, und dies erreicht man mit den Standardeinstellungen beim IE, von denen coverflow sprach. In einer ruhigen Minute kannst du das mal testen. Derzeit ist es nicht relevant, da ich einen onlinescan nicht für notw. erachte.

Zitat:

Also, jetzt brauch ich das mit der Shift-Taste nie mehr zu machen? Dieser Befehl ist jetzt dauerhaft für immer?

Richtig.

Zitat:

Ich mache mir nur noch ein wenig Sorgen, weil ja der Kaspersky keinen Virtumonde findet. Aber Du meinst, Antispyware wäre nicht mehr nötig? Dann laß ich das.

Kaspersky findet sehr wohl virtumonde, entscheidend ist die Frage: War er überhaupt auf dem System?! Spybot SD hat ihn gemeldet - als einziger scanner - und ich trau dem nicht, da spybot in der Vergangenheit öfter mit Fehlalarm - auch im Hinblick auf virtumonde - zu kämpfen hatte.

Deshalb haben mich in erster Linie die Logs von Spybot interessiert, um einen sinnvollen Gegencheck zu machen. Aber dazu später...

Mist, ich wußte das nicht mit den Spybot-Logs. Hätte ich das eher gewußt, hätte ich es noch nicht sofort deinstalliert. Ja, es wäre wirklich super, wenn das nur ein Fehlalarm gewesen wäre. Du meinst, Kaspersky würde den Trojaner auch finden? Gut, dann bin ich doch beruhigt und vertraue ihm auch weiterhin. Also hältst Du nicht viel davon, daß ich mir zusätzlich noch den Antispyware draufmache? Reicht der Kaspersky völlig aus? Von Spybot halte ich auch nicht soviel. Finde diesen Antispyware ja viel besser. Aber Du meintest, wenn man Kaspersky hat, wäre der überflüssig?

Ja ich werde das mit dem IE mal in einer ruhigen Minute demnächst machen. Danke auf jeden Fall für Deine Erklärungen. Muß ich morgen aber auch nochmal in Ruhe durchlesen.

Dieses RSIT mache ich aber morgen auch noch und stelle es hier rein. Nur dann sollte bald alles wieder sauber sein, hoffe ich. Aber ich glaube langsam auch immer mehr an einen Fehlalarm.

Externe Platte war astrein. Keine Infektion gefunden hat Kaspersky gesagt. Was ist denn eigentlich mit den CD´s, die ich vor kurzem gebrannt habe? Sol ich sie auch mal scannen lassen? Aber ich will ja nicht, daß FALLS wieder was da sein sollte, der PC wieder infiziert wird. Gilt diese Autorun-Funktion auch für CD´s?

So hier mal das erste von RSIT:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-09-13 17:43:24
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 139 GB (91%) free of 153 GB
Total RAM: 3071 MB (86% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:46, on 13.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Download\RSIT.exe
C:\Programme\trend micro\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://domain.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://domain.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://domain.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.domain.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.domain.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl8] c:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] c:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: McAfee Security Scan.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229676483812
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~2\KASPER~1\kloehk.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 5788 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll [2009-05-25 68112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}]
FilterBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll [2009-08-25 264720]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-05-16 16862720]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-09-17 13574144]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-09-17 86016]
"RemoteControl8"=c:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe [2008-03-20 83240]
"PDVD8LanguageShortcut"=c:\Programme\CyberLink\PowerDVD8\Language\Language.exe [2007-12-14 50472]
"CanonSolutionMenu"=C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe [2007-05-15 644696]
"CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-04-04 1603152]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-09-06 413696]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"avp"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Update 4200C]
C:\sj655\hpupdate.exe [2002-02-14 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2007-07-18 451872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [2008-02-18 2221352]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2008-02-28 570664]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2008-09-06 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2
"LightScribeService"=2
"NMIndexingService"=3

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
McAfee Security Scan.lnk - C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\KASPER~2\KASPER~1\kloehk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2009-05-25 219664]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Trillian\trillian.exe"="C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-09-13 17:43:24 ----D---- C:\rsit
2009-09-13 17:43:24 ----D---- C:\Programme\trend micro
2009-09-13 17:37:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-09-11 00:53:58 ----D---- C:\Programme\McAfee Security Scan
2009-09-11 00:53:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-11 00:52:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2009-09-11 00:44:27 ----SHD---- C:\Config.Msi
2009-09-10 21:46:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-10 21:46:21 ----D---- C:\Programme\SUPERAntiSpyware
2009-09-10 21:46:21 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-10 20:52:51 ----D---- C:\Programme\CCleaner
2009-09-10 20:18:05 ----A---- C:\filelist neu.txt
2009-09-10 00:28:32 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-10 00:28:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-09-09 17:52:10 ----A---- C:\filelist.txt
2009-09-08 16:17:45 ----SHD---- C:\RECYCLER
2009-09-06 14:30:44 ----D---- C:\WINDOWS\temp
2009-09-06 14:30:42 ----A---- C:\ComboFix.txt
2009-09-06 14:14:05 ----A---- C:\Boot.bak
2009-09-06 14:14:02 ----RASHD---- C:\cmdcons
2009-09-06 14:05:38 ----D---- C:\WINDOWS\ERDNT
2009-08-27 00:42:14 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$

======List of files/folders modified in the last 1 months======

2009-09-13 17:43:26 ----D---- C:\WINDOWS\Prefetch
2009-09-13 17:43:24 ----RD---- C:\Programme
2009-09-13 17:30:06 ----D---- C:\Programme\Mozilla Firefox
2009-09-13 17:28:03 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-13 00:50:41 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-12 18:12:51 ----D---- C:\WINDOWS
2009-09-12 17:07:46 ----D---- C:\WINDOWS\Minidump
2009-09-12 17:07:46 ----D---- C:\WINDOWS\Debug
2009-09-11 01:04:35 ----D---- C:\WINDOWS\system32\drivers
2009-09-11 00:44:30 ----SHD---- C:\WINDOWS\Installer
2009-09-11 00:44:30 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-10 21:48:58 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-10 00:28:37 ----HD---- C:\WINDOWS\inf
2009-09-10 00:28:34 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-10 00:28:34 ----D---- C:\WINDOWS\system32
2009-09-10 00:28:29 ----HD---- C:\WINDOWS\$hf_mig$
2009-09-10 00:28:09 ----D---- C:\WINDOWS\system32\CatRoot
2009-09-08 16:53:01 ----SHD---- C:\System Volume Information
2009-09-08 16:53:01 ----D---- C:\WINDOWS\system32\Restore
2009-09-08 16:51:16 ----D---- C:\Programme\Spybot - Search & Destroy
2009-09-08 16:49:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-06 14:28:19 ----A---- C:\WINDOWS\system.ini
2009-09-06 14:25:52 ----D---- C:\WINDOWS\system32\config
2009-09-06 14:20:56 ----D---- C:\WINDOWS\AppPatch
2009-09-06 14:20:53 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-06 14:14:05 ----RASH---- C:\boot.ini
2009-09-06 01:37:22 ----A---- C:\WINDOWS\NeroDigital.ini
2009-08-29 23:21:39 ----D---- C:\WINDOWS\system32\wbem
2009-08-29 23:21:38 ----D---- C:\WINDOWS\Registration
2009-08-29 23:05:18 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-29 23:05:17 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-29 23:05:17 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-29 23:05:16 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-29 23:05:15 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-29 23:05:15 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-29 23:05:14 ----D---- C:\Programme\Outlook Express
2009-08-29 23:05:12 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-29 23:05:10 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-29 23:05:08 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-08-29 18:18:55 ----D---- C:\Programme\Trillian
2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-08-04 296976]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-05-20 4800000]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2009-05-13 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\WINDOWS\system32\DRIVERS\klmouflt.sys [2009-05-16 19472]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-09-17 6132576]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-05-07 106368]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2006-10-24 170392]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 NAL;Nal Service ; \??\C:\WINDOWS\system32\Drivers\iqvw32.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 viasraid;viasraid; C:\WINDOWS\system32\drivers\viasraid.sys [2003-10-31 77312]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7; C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-09-16 169312]
R2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376]
R2 IJPLMSVC;PIXMA Extended Survey Program; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 97432]
R2 NMSAccessU;NMSAccessU; C:\Programme\CDBurnerXP\NMSAccessU.exe [2009-07-13 71096]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-09-17 163908]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\WINDOWS\system32\IoctlSvc.exe [2006-12-19 81920]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-12-12 651720]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S4 LightScribeService;LightScribeService Direct Disc Labeling Service; c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2007-07-25 79136]
S4 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2008-02-18 877864]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2008-02-28 529704]

-----------------EOF-----------------
         

Ich habe das zweite auch. Nur bin ich nicht sicher, da steht System log. Wobei wieder soviele private Infos über den PC stehen. Name des Computers und so. Was soll ich da alles besser verschlüsseln vorher oder soll ich es einfach so reinstellen?

Ach und noch eine Frage: Wegen dem CCleaner meldet sich jetzt immer der MCAfee und will das System scannen. Soll ich das erlauben? Aber ich brauche den doch nicht mehr oder? Kaspersky reicht doch. Was meint Ihr?

McAfee solltest du deinstallieren, das ist überflüssig.

Mich irritiert:

Zitat:

Zitat von Micha Gundi

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

der 323er ist gaga beim anderen sollte 255 stehen, sofern du den "reg add"-Befehl ausgeführt hast

poste bitte die Ausgabe von:

Code: Alles auswählenAufklappen

ATTFilter

reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer /v NoDriveTypeAutoRun
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer /v NoDriveTypeAutoRun
         

Die persönlichen Infos im Syslog bitte mit ********* unkenntlich machen.

Das verstehe ich aber auch nicht. Ich habe doch den Befehl so durchgeführt, wie Du gesagt hast. Und da stand auch: Änderungen werden aktiv.

Komisch. Soll das heißen, es hatte nicht funktioniert? Also soll ich den neuen Befehl jetzt nochmal eingeben bei cmd? Den Du jetzt nochmal aufgeführt hast? Oder was meinst Du mit posten? Woran kann ich denn sehen, ob es geklappt hat?

Ja, das ist ein guter Witz! Die persönlichen Infos. Woher soll ich armer Laie denn wissen, was zu persönlich dazuzählt und was nicht bei dem ganzen Wirrwarr von Zahlen und Namen?`Am besten wohl alles von Sys log. Oder sag am besten nur, was Du von dem Syslog überhaupt brauchst.

Zitat:

Zitat von Micha Gundi

Komisch. Soll das heißen, es hatte nicht funktioniert? Also soll ich den neuen Befehl jetzt nochmal eingeben bei cmd?

Ich wiederhole mich

Zitat:

Zitat von ordell1234

poste bitte die Ausgabe von:

Code: Alles auswählenAufklappen

ATTFilter

reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer /v NoDriveTypeAutoRun
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer /v NoDriveTypeAutoRun
         

Zitat:

Ja, das ist ein guter Witz! Die persönlichen Infos. Woher soll ich armer Laie denn wissen, was zu persönlich dazuzählt und was nicht bei dem ganzen Wirrwarr von Zahlen und Namen?

Indem der arme Laie mal in faqs schaut: http://www.trojaner-board.de/69887-f...en-web-pc.html

Zitat:

Achte nun darauf das in deinen Beiträgen alle persönlichen Informationen
(Realnamen sowie email-Adressen)
und aktive Links editiert werden

edit: Ok, laß die reg query -Befehle sein. Rsit ließt die Werte richtig aus.

Führe stattdessen aus

Code: Alles auswählenAufklappen

ATTFilter

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer /v HonorAutoRunSetting /t reg_dword /d 1 /f
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t reg_dword /d 255 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f >nul 2>&1
         

Ich verstehe nicht ganz, wenn das nicht geklappt hat, muß ich dann doch besser wieder die Shift-Taste gedrückt halten um sicher zu gehen? Gut, dann gebe ich deine neuen drei Befehle ein und laß RSIT nochmal auslesen und stelle es dann rein. Hoffentlich klappt das dann jetzt.

Du, bei den FAQs habe ich ja gelesen. Ich weiß, den Benutzernamen, aktive Links und so, alles verschlüsseln. Aber bei dem System Log da stehen soviele Sachen.

Computer-Name
Event-Code
Record Number
Source Name

Da weiß ich leider nicht, was ich davon angeben soll und was nicht. Was ist zu privat und was nicht? Also ich denke Computer-Name auf jeden Fall.

Sicher, dass bei deiner Paranoia ein öffentliches Forum das Mittel der Wahl ist?!

Wenn dein Computer deinen Realnamen enthält, deine Tel.Nr, deine e-mail-Adresse oder er "Michi's Schlüpferstürmer" heißt, dann editiere. Die anderen Einträge lass, wie sie sind.

Das hat ja nichts damit zu tun. Ich gebe Euch ja die Infos. Nur weiß ich ja leider nicht, was man angeben kann und was nicht. Ich bin leider mal Opfer von einem PC-Crack geworden, der meinen PC fernsteuern konnte. Und da ist doch klar, daß man dann besonders auf der Hut ist.

Aber mal was Anderes: Habe ein neues RSIT gemacht. Und er hat wieder nur 323 angegeben. Was kann das nur sein?

Das andere hat er nicht mehr erstellt. Aber das stelle ich nachher auf jeden Fall noch rein. Muß jetzt aber erstmal weg.

rsit schreibt ein falsches log, warum auch immer... Den Fehler kann ich nachvollziehen, kapiers aber nicht. Vielleicht besteht ein Zusammenhang mit combofix.

Poste bitte die Ausgabe von

Code: Alles auswählenAufklappen

ATTFilter

reg export HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer %tmp%\autorun.reg && notepad %tmp%\autorun.reg
         

(wie immer start-Ausführen -cmd -> obigen Text einfügen)

und zusätzlich das rsit-log, an dem Autorun eintrag stören wir uns nicht weiter

Also den Befehl habe ich wieder ordnungsgemäß ausgeführt. Nur leider schreibt RSIT wieder die Sache mit der 323. So, als hätte sich nichts geändert.

Befehl, Ok und dann Neustart. Und im schwarzen Fenster stand auch wieder, daß der Befehl ordnungsgemäß ausgeführt wurde.

Log folgt noch. Aber ich wollte Dir nur schonmal sagen, daß er immer noch 323 als Zahl hat.

edit: Hier das Log, da siehst DU, daß es wieder dasselbe ist!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-09-14 18:27:49
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 139 GB (91%) free of 153 GB
Total RAM: 3071 MB (86% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:51, on 14.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
D:\Download\RSIT.exe
C:\Programme\trend micro\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://domain.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.domain.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.domain.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.domain.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.domain.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl8] c:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] c:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: McAfee Security Scan.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229676483812
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~2\KASPER~1\kloehk.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 5840 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll [2009-05-25 68112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}]
FilterBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll [2009-08-25 264720]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-05-16 16862720]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-09-17 13574144]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-09-17 86016]
"RemoteControl8"=c:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe [2008-03-20 83240]
"PDVD8LanguageShortcut"=c:\Programme\CyberLink\PowerDVD8\Language\Language.exe [2007-12-14 50472]
"CanonSolutionMenu"=C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe [2007-05-15 644696]
"CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-04-04 1603152]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-09-06 413696]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"avp"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Update 4200C]
C:\sj655\hpupdate.exe [2002-02-14 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2007-07-18 451872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [2008-02-18 2221352]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2008-02-28 570664]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2008-09-06 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2
"LightScribeService"=2
"NMIndexingService"=3

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
McAfee Security Scan.lnk - C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\KASPER~2\KASPER~1\kloehk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2009-05-25 219664]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Trillian\trillian.exe"="C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-09-13 17:43:24 ----D---- C:\rsit
2009-09-13 17:43:24 ----D---- C:\Programme\trend micro
2009-09-13 17:37:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-09-11 00:53:58 ----D---- C:\Programme\McAfee Security Scan
2009-09-11 00:53:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-11 00:52:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2009-09-11 00:44:27 ----SHD---- C:\Config.Msi
2009-09-10 21:46:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-10 21:46:21 ----D---- C:\Programme\SUPERAntiSpyware
2009-09-10 21:46:21 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-10 20:52:51 ----D---- C:\Programme\CCleaner
2009-09-10 20:18:05 ----A---- C:\filelist neu.txt
2009-09-10 00:28:32 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-10 00:28:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-09-09 17:52:10 ----A---- C:\filelist.txt
2009-09-08 16:17:45 ----SHD---- C:\RECYCLER
2009-09-06 14:30:44 ----D---- C:\WINDOWS\temp
2009-09-06 14:30:42 ----A---- C:\ComboFix.txt
2009-09-06 14:14:05 ----A---- C:\Boot.bak
2009-09-06 14:14:02 ----RASHD---- C:\cmdcons
2009-09-06 14:05:38 ----D---- C:\WINDOWS\ERDNT
2009-08-27 00:42:14 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$

======List of files/folders modified in the last 1 months======

2009-09-14 17:47:47 ----D---- C:\Programme\Mozilla Firefox
2009-09-14 17:47:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-14 17:45:41 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-13 23:02:14 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-13 22:27:28 ----D---- C:\WINDOWS\Prefetch
2009-09-13 20:24:04 ----D---- C:\WINDOWS
2009-09-13 19:49:05 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-13 17:43:24 ----RD---- C:\Programme
2009-09-12 17:07:46 ----D---- C:\WINDOWS\Minidump
2009-09-12 17:07:46 ----D---- C:\WINDOWS\Debug
2009-09-11 01:04:35 ----D---- C:\WINDOWS\system32\drivers
2009-09-11 00:44:30 ----SHD---- C:\WINDOWS\Installer
2009-09-11 00:44:30 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-10 00:28:37 ----HD---- C:\WINDOWS\inf
2009-09-10 00:28:34 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-10 00:28:34 ----D---- C:\WINDOWS\system32
2009-09-10 00:28:29 ----HD---- C:\WINDOWS\$hf_mig$
2009-09-10 00:28:09 ----D---- C:\WINDOWS\system32\CatRoot
2009-09-08 16:53:01 ----SHD---- C:\System Volume Information
2009-09-08 16:53:01 ----D---- C:\WINDOWS\system32\Restore
2009-09-08 16:51:16 ----D---- C:\Programme\Spybot - Search & Destroy
2009-09-08 16:49:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-06 14:28:19 ----A---- C:\WINDOWS\system.ini
2009-09-06 14:25:52 ----D---- C:\WINDOWS\system32\config
2009-09-06 14:20:56 ----D---- C:\WINDOWS\AppPatch
2009-09-06 14:20:53 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-06 14:14:05 ----RASH---- C:\boot.ini
2009-08-29 23:21:39 ----D---- C:\WINDOWS\system32\wbem
2009-08-29 23:21:38 ----D---- C:\WINDOWS\Registration
2009-08-29 23:05:18 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-29 23:05:17 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-29 23:05:17 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-29 23:05:16 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-29 23:05:15 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-29 23:05:15 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-29 23:05:14 ----D---- C:\Programme\Outlook Express
2009-08-29 23:05:12 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-29 23:05:10 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-29 23:05:08 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-08-29 18:18:55 ----D---- C:\Programme\Trillian
2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-08-04 296976]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-05-20 4800000]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2009-05-13 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\WINDOWS\system32\DRIVERS\klmouflt.sys [2009-05-16 19472]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-09-17 6132576]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-05-07 106368]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2006-10-24 170392]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 NAL;Nal Service ; \??\C:\WINDOWS\system32\Drivers\iqvw32.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 viasraid;viasraid; C:\WINDOWS\system32\drivers\viasraid.sys [2003-10-31 77312]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7; C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-09-16 169312]
R2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376]
R2 IJPLMSVC;PIXMA Extended Survey Program; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 97432]
R2 NMSAccessU;NMSAccessU; C:\Programme\CDBurnerXP\NMSAccessU.exe [2009-07-13 71096]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-09-17 163908]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\WINDOWS\system32\IoctlSvc.exe [2006-12-19 81920]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-12-12 651720]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S4 LightScribeService;LightScribeService Direct Disc Labeling Service; c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2007-07-25 79136]
S4 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2008-02-18 877864]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2008-02-28 529704]