Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Alureon.19456U.3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.09.2009, 16:18   #1
PDvaS
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Seit heute zeigt mir mein Avira AntiVir folgende Meldung an:

In der Datei 'C:\Windows\System32\gasfkydfrximfi.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.19456U.3' [trojan] gefunden.

Mein PC läuft einwandfrei, nur wird halt andauernd diese Nachricht angezeigt.

Malwarebytes hab ich durchlaufen lassen, aber hat nichts gefunden.

Hier meine 2 RSIT Logfiles:

Logfile of random's system information tool 1.06 (written by random/random)
Run by PDvaS at 2009-09-15 17:01:31
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 99 GB (67%) free of 148 GB
Total RAM: 3294 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:36, on 15.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Users\PDvaS\Desktop\Virus Zeugs\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PDvaS.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.jappy.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/EN-GB/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - h**p://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Anwendungserfahrung AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\yiexkihavj.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 5990 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job
C:\Windows\tasks\Google Software Updater.job
C:\Windows\tasks\User_Feed_Synchronization-{8B38A101-D0BE-48FB-8E37-07E5DBD9AED5}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll [2009-06-20 657904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-07-08 6273568]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2007-10-26 1029416]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"ZoneAlarm Client"=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe [2008-03-03 959976]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]
"SUPERAntiSpyware"=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-09-05 1994480]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL [2009-09-05 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe"="C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2"
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe"="C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate"
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe"="C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-09-15 17:01:31 ----D---- C:\rsit
2009-09-12 19:07:14 ----D---- C:\Windows\CheckSur
2009-09-12 18:47:05 ----D---- C:\ProgramData\KONAMI
2009-09-12 18:25:40 ----D---- C:\Program Files\KONAMI
2009-09-10 01:11:48 ----A---- C:\Windows\system32\wdigest.dll
2009-09-10 01:11:48 ----A---- C:\Windows\system32\msv1_0.dll
2009-09-10 01:11:48 ----A---- C:\Windows\system32\kerberos.dll
2009-09-10 01:11:47 ----A---- C:\Windows\system32\secur32.dll
2009-09-10 01:11:47 ----A---- C:\Windows\system32\schannel.dll
2009-09-10 01:11:47 ----A---- C:\Windows\system32\lsass.exe
2009-09-10 01:11:47 ----A---- C:\Windows\system32\lsasrv.dll
2009-09-09 19:41:06 ----A---- C:\Windows\system32\TCPSVCS.EXE
2009-09-09 19:41:06 ----A---- C:\Windows\system32\ROUTE.EXE
2009-09-09 19:41:06 ----A---- C:\Windows\system32\NETSTAT.EXE
2009-09-09 19:41:06 ----A---- C:\Windows\system32\netiohlp.dll
2009-09-09 19:41:06 ----A---- C:\Windows\system32\MRINFO.EXE
2009-09-09 19:41:06 ----A---- C:\Windows\system32\HOSTNAME.EXE
2009-09-09 19:41:06 ----A---- C:\Windows\system32\finger.exe
2009-09-09 19:41:06 ----A---- C:\Windows\system32\ARP.EXE
2009-09-09 19:40:51 ----A---- C:\Windows\system32\netevent.dll
2009-09-09 19:38:45 ----A---- C:\Windows\system32\wlansvc.dll
2009-09-09 19:38:44 ----A---- C:\Windows\system32\wlansec.dll
2009-09-09 19:38:44 ----A---- C:\Windows\system32\wlanmsm.dll
2009-09-09 19:38:39 ----A---- C:\Windows\system32\L2SecHC.dll
2009-09-09 19:37:50 ----A---- C:\Windows\system32\WMVCORE.DLL
2009-09-09 19:37:44 ----A---- C:\Windows\system32\mf.dll
2009-09-09 19:36:38 ----A---- C:\Windows\system32\jscript.dll
2009-09-03 10:56:31 ----A---- C:\Windows\system32\Apphlpdm.dll
2009-09-03 10:56:30 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2009-08-26 12:23:00 ----A---- C:\Windows\system32\tzres.dll

======List of files/folders modified in the last 1 months======

2009-09-15 17:01:36 ----D---- C:\Windows\Prefetch
2009-09-15 17:01:35 ----D---- C:\Windows\temp
2009-09-15 16:59:50 ----D---- C:\Windows\Internet Logs
2009-09-15 16:04:22 ----D---- C:\Windows\Debug
2009-09-15 16:04:22 ----D---- C:\Windows
2009-09-15 16:03:21 ----D---- C:\Windows\System32
2009-09-15 16:03:21 ----D---- C:\Windows\inf
2009-09-15 16:03:21 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-09-15 16:00:32 ----D---- C:\Windows\Tasks
2009-09-15 14:31:59 ----D---- C:\ProgramData\Google Updater
2009-09-14 00:49:52 ----SHD---- C:\Windows\Installer
2009-09-13 21:41:24 ----D---- C:\Windows\system32\Tasks
2009-09-13 11:46:49 ----D---- C:\Program Files\Mozilla Firefox
2009-09-12 18:47:05 ----HD---- C:\ProgramData
2009-09-12 18:25:40 ----RD---- C:\Program Files
2009-09-12 18:16:03 ----SHD---- C:\System Volume Information
2009-09-12 18:15:51 ----D---- C:\Windows\system32\drivers
2009-09-12 13:06:02 ----D---- C:\Users\PDvaS\AppData\Roaming\vlc
2009-09-10 13:14:34 ----HD---- C:\Program Files\InstallShield Installation Information
2009-09-10 05:04:20 ----D---- C:\Windows\system32\config
2009-09-10 05:04:10 ----D---- C:\Windows\VMC302
2009-09-10 05:04:10 ----D---- C:\Windows\system32\wbem
2009-09-10 05:04:10 ----D---- C:\Windows\system32\Msdtc
2009-09-10 05:04:07 ----D---- C:\Windows\registration
2009-09-10 01:31:41 ----D---- C:\Windows\rescache
2009-09-10 01:27:22 ----D---- C:\Windows\winsxs
2009-09-10 01:24:52 ----D---- C:\Users\PDvaS\AppData\Roaming\dvdcss
2009-09-10 01:16:32 ----D---- C:\Windows\system32\catroot
2009-09-10 01:14:17 ----D---- C:\Windows\system32\de-DE
2009-09-10 01:14:14 ----D---- C:\Program Files\Windows Mail
2009-09-10 01:12:16 ----D---- C:\Windows\ehome
2009-09-10 01:11:12 ----D---- C:\Windows\system32\catroot2
2009-09-05 12:45:39 ----D---- C:\Program Files\SUPERAntiSpyware
2009-09-03 15:03:27 ----D---- C:\Windows\AppPatch
2009-09-03 12:49:43 ----D---- C:\Windows\Minidump
2009-09-02 12:22:46 ----D---- C:\Windows\Microsoft.NET
2009-09-02 12:21:16 ----RSD---- C:\Windows\assembly
2009-08-31 10:11:10 ----D---- C:\Program Files\Java
2009-08-28 23:38:20 ----A---- C:\Windows\system32\mrt.exe
2009-08-16 12:25:42 ----SD---- C:\Windows\Downloaded Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 ASPI32;ASPI32; C:\Windows\system32\drivers\ASPI32.sys [1999-09-10 25244]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [2009-05-14 9968]
R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys [2009-08-07 74480]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520]
R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys [2008-03-03 279440]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 KMDFMEMIO;SAMSUNG Kernel Driver; C:\Windows\system32\DRIVERS\kmdfmemio.sys [2008-09-01 13312]
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2008-04-27 909824]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-08-08 3895808]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-07-07 2152088]
R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [2009-05-14 7408]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-10-26 193456]
R3 usbfilter;AMD USB Filter Driver; C:\Windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072]
R3 VMC302;Vimicro Camera Service VMC302; C:\Windows\System32\Drivers\VMC302.sys [2008-08-28 241664]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller; C:\Windows\system32\DRIVERS\yk60x86.sys [2008-06-27 303616]
S3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776]
S3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\Windows\system32\DRIVERS\bcm4sbxp.sys [2006-11-02 45056]
S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\Windows\system32\DRIVERS\BthEnum.sys [2008-01-21 19456]
S3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2008-01-21 92160]
S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2008-04-29 220160]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2008-04-29 29184]
S3 btwaudio;Bluetooth-Audiogerät; C:\Windows\system32\drivers\btwaudio.sys [2008-02-14 80424]
S3 btwavdt;Bluetooth AVDT; C:\Windows\system32\drivers\btwavdt.sys [2007-07-16 80936]
S3 btwrchid;btwrchid; C:\Windows\system32\DRIVERS\btwrchid.sys [2007-07-16 16168]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 ialm;ialm; C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-10-19 1380864]
S3 mbr;mbr; \??\C:\Users\PDvaS\AppData\Local\Temp\mbr.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 NETw3v32;Intel(R) PRO/Wireless 3945ABG Adapter Driver for Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw3v32.sys [2008-01-21 2225664]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2008-02-21 50688]
S3 SynasUSB;SynasUSB; C:\Windows\system32\drivers\SynasUSB.sys [2006-11-23 18432]
S3 tapvpn;TAP VPN Adapter; C:\Windows\system32\DRIVERS\tapvpn.sys [2008-01-23 27136]
S3 TASCAM_US122144;TASCAM USB 2.0 Audio Device driver; C:\Windows\System32\Drivers\tascusb2.sys [2007-12-18 360448]
S3 TASCAM_US122L_MIDI;TASCAM US-122L WDM MIDI Device; C:\Windows\system32\drivers\tscusb2m.sys [2007-12-18 18944]
S3 TASCAM_US122L_WDM;TASCAM US-122L WDM; C:\Windows\system32\drivers\tscusb2a.sys [2007-12-18 33792]
S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-21 73088]
S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-01-21 88576]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2008-08-08 700416]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2008-03-17 73728]
R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ); C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2006-12-19 272024]
R2 TuneUp.ProgramStatisticsSvc;@%SystemRoot%\System32\TUProgSt.exe,-1; C:\Windows\System32\TUProgSt.exe [2009-06-01 603904]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-21 21504]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\System32\ZoneLabs\vsmon.exe [2008-03-03 79400]
S2 AeLookupSvcALG;Anwendungserfahrung AeLookupSvcALG; C:\Windows\TEMP\yiexkihavj.exe [2009-09-15 34304]
S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-20 182768]
S2 Samsung Update Plus;Samsung Update Plus; C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe [2008-05-13 77480]
S3 HssTrayService;Hotspot Shield Tray Service; C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE []
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SQLWriter;SQL Server VSS Writer; C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2006-04-14 87840]
S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2009-06-01 362240]
S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-13 45272]
S4 SQLBrowser;SQL Server-Browser; C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2006-04-14 240416]

-----------------EOF-----------------

Alt 15.09.2009, 16:20   #2
PDvaS
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



info.txt logfile of random's system information tool 1.06 2009-09-15 17:01:38

======Uninstall list======

2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}
Agere Systems HDA Modem-->agrsmdel
ALUpdate-->"C:\Program Files\ESTsoft\ALUpdate\unins000.exe"
AMD USB Audio Driver Filter-->MsiExec.exe /X{A3AB35FA-943E-4799-99DC-46EFD59E998F}
Atheros WLAN Client-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{04983D37-2202-4295-94A2-8B547C66133F}\setup.exe" -l0x9
ATI PCI Express (3GIO) Filter Driver-->C:\Program Files\InstallShield Installation Information\{E713653C-8312-4BC6-AFC9-ADE1F2F04AB9}\setup.exe -runfromtemp -l0x0009 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
AVS Update Manager 1.0-->"C:\Program Files\AVS4YOU\AVSUpdateManger\unins000.exe"
Business Contact Manager für Outlook 2007-->"C:\Program Files\Microsoft Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {4cb9f93c-9edc-4be9-ae61-af128ddbecfa}
Business Contact Manager für Outlook 2007-->MsiExec.exe /X{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}
Catalyst Control Center - Branding-->MsiExec.exe /I{2433BAD7-453F-473D-BE81-455E68940DEB}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
CorelDRAW Graphics Suite 12-->MsiExec.exe /I{505AFDC0-5E72-4928-8368-5DEA385E3647}
CyberLink DVD Suite-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
CyberLink Power2Go-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" -uninstall
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Easy Battery Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\setup.exe" -l0x9 Remove
Easy Display Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17283B95-21A8-4996-97DA-547A48DB266F}\setup.exe" -l0x9 -removeonly
Easy Network Manager 4.0-->C:\Program Files\InstallShield Installation Information\{308BD058-411C-4AF2-8BF6-A6C7CFD0270D}\setup.exe -runfromtemp -l0x0407
Easy SpeedUp Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EF367AA4-070B-493C-9575-85BE59D789C9}\setup.exe" -l0x9 Remove
FIFA 09-->MsiExec.exe /X{2315B23D-3E21-4920-837D-AE6460934ECB}
Free FLV Converter V 6.23.0-->"C:\Program Files\Free FLV Converter\unins000.exe"
GeoGebra-->"C:\Program Files\GeoGebra\UninstallerData\Uninstaller.exe"
Google Updater-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
imagine digital freedom - Samsung-->MsiExec.exe /X{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
LabelPrint-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\setup.exe" -uninstall
LightScribe System Software 1.12.37.1-->MsiExec.exe /X{004C5DA2-2051-4D25-94BA-51CF810C91EB}
MAGIX Music Maker Hip Hop Edition 2 4.0.0.10 (D)-->C:\Program Files\MAGIX\MusicMakerHipHopEdition2\instslct.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Program Files\Marvell\Miniport Driver\Uninst.exe
Medieval CUE Splitter-->MsiExec.exe /I{B96D2269-568B-4CBF-9332-12FAE8B158F7}
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2003 Web Components-->MsiExec.exe /I{90A40407-6000-11D3-8CFE-0150048383C9}
Microsoft Office 2007 Primary Interop Assemblies-->MsiExec.exe /X{50120000-1105-0000-0000-0000000FF1CE}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Small Business Connectivity Components-->MsiExec.exe /X{A939D341-5A04-4E0A-BB55-3E65B386432D}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Picture It! Foto Premium 10-->"C:\Program Files\Common Files\Microsoft Shared\Picture It!\RmvSuite.exe" ADDREMOVE=1 SKU=PREM
Microsoft SOAP Toolkit 2.0 SP2-->MsiExec.exe /I{36BEAD11-8577-49AD-9250-E06A50AE87B0}
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)-->MsiExec.exe /I{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}
Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Oxin's Style! 3D Sexvilla 2.058 MOD 300-->"C:\Program Files\Oxin's Style!\3D SexVilla 2\Save\unins000.exe"
PlayCamera-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{804F1285-8CBF-408D-8CDC-D4D40003B2E4}\setup.exe" -l0x7
PowerDirector-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" -uninstall
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
PowerProducer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\Setup.exe" -uninstall
Pro Evolution Soccer 2009-->MsiExec.exe /X{A8DB611A-D80E-450D-85F6-3ACDD164BE31}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -removeonly
Samsung Magic Doctor-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\Setup.exe" -l0x9 Remove
Samsung Recovery Solution III-->"C:\Program Files\InstallShield Installation Information\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\setup.exe" -runfromtemp -l0x0007 -removeonly
Samsung Update Plus-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{685707A4-911C-468D-BFC4-64A50E5E3A0C} /l1031
Stronghold 2 Deluxe-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{16D2C649-CBA8-44EE-B730-12584667D487}\setup.exe" -l0x7 -removeonly
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Syncrosoft Lizenz Kontrolle-->C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
Techno4ever Player-->C:\Program Files\T4E\Player\T4E_Uninstaller.exe
Tom Clancy's Splinter Cell Chaos Theory-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{888DD888-82BE-4D85-BCB2-2E042CD3E844}\setup.exe" -l0x7 -removeonly
Tsunami-Filter-Pack-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DCFF9230-22DC-40ED-BBCC-0F260B85734C}\setup.exe" -l0x9
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
Ultra AVI Converter 4.4.0529-->"C:\Program Files\Ultra AVI Converter\unins000.exe"
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)-->MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Office 2007 (KB934528)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {2B939677-2FFD-48F6-9075-7BF48CB87C80}
Update for Office System 2007 Setup (KB929722)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {D8E9BEBD-655F-467D-8176-CA9959C140A3}
US-122L / US-144 driver-->C:\Windows\usb-audio.deTascam\Setup.exe /l0
User Guide-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\setup.exe" -l0x9 Remove
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Vimicro UVC Camera-->C:\Program Files\InstallShield Installation Information\{71A51B09-E7D3-11DB-A386-005056C00008}\setup.exe -runfromtemp -l0x0009 -removeonly
Virtual DJ - Atomix Productions-->C:\PROGRA~1\VIRTUA~1\UNWISE.EXE C:\PROGRA~1\VIRTUA~1\INSTALL.LOG
Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WIDCOMM Bluetooth Software 6.0.1.6300-->MsiExec.exe /X{03D1988F-469F-4843-8E6E-E5FE9D17889D}
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live OneCare safety scanner-->"C:\Program Files\Windows Live Safety Center\UnInstall.exe"
Windows Live OneCare safety scanner-->MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Zattoo 3.3.3 Beta-->C:\Program Files\Zattoo\uninst.exe
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

FW: ZoneAlarm Firewall
AS: Windows Defender
AS: SUPERAntiSpyware

======System event log======

Computer Name: PDvaS-PC
Event Code: 7030
Message: Der Dienst "Anwendungserfahrung AeLookupSvcALG" ist als interaktiver Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
Record Number: 91354
Source Name: Service Control Manager
Time Written: 20090915140802.000000-000
Event Type: Fehler
User:

Computer Name: PDvaS-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 91355
Source Name: Service Control Manager
Time Written: 20090915140835.000000-000
Event Type: Informationen
User:

Computer Name: PDvaS-PC
Event Code: 7036
Message: Dienst "Unterstützung in der Systemsteuerung unter Lösungen für Probleme" befindet sich jetzt im Status "Ausgeführt".
Record Number: 91356
Source Name: Service Control Manager
Time Written: 20090915141115.000000-000
Event Type: Informationen
User:

Computer Name: PDvaS-PC
Event Code: 7036
Message: Dienst "Unterstützung in der Systemsteuerung unter Lösungen für Probleme" befindet sich jetzt im Status "Beendet".
Record Number: 91357
Source Name: Service Control Manager
Time Written: 20090915141115.000000-000
Event Type: Informationen
User:

Computer Name: PDvaS-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 91358
Source Name: Service Control Manager
Time Written: 20090915141745.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: PDvaS-PC
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\System32\gasfkydfrximfi.dll verdächtigen Code mit der Bezeichnung 'TR/Alureon.19456U.3'!
Record Number: 34681
Source Name: Avira AntiVir
Time Written: 20090915150119.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: PDvaS-PC
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\System32\gasfkydfrximfi.dll verdächtigen Code mit der Bezeichnung 'TR/Alureon.19456U.3'!
Record Number: 34682
Source Name: Avira AntiVir
Time Written: 20090915150124.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: PDvaS-PC
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\System32\gasfkydfrximfi.dll verdächtigen Code mit der Bezeichnung 'TR/Alureon.19456U.3'!
Record Number: 34683
Source Name: Avira AntiVir
Time Written: 20090915150133.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: PDvaS-PC
Event Code: 5
Message: Unsupported service control request (see data below)
Record Number: 34684
Source Name: LightScribeService
Time Written: 20090915150137.000000-000
Event Type: Informationen
User:

Computer Name: PDvaS-PC
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\System32\gasfkydfrximfi.dll verdächtigen Code mit der Bezeichnung 'TR/Alureon.19456U.3'!
Record Number: 34685
Source Name: Avira AntiVir
Time Written: 20090915150217.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: PDvaS-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 23953
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915150136.151398-000
Event Type: Überwachung gescheitert
User:

Computer Name: PDvaS-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 23954
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915150136.198198-000
Event Type: Überwachung gescheitert
User:

Computer Name: PDvaS-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 23955
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915150136.260598-000
Event Type: Überwachung gescheitert
User:

Computer Name: PDvaS-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 23956
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915150136.322998-000
Event Type: Überwachung gescheitert
User:

Computer Name: PDvaS-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 23957
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915150136.385398-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Microsoft SQL Server\90\Tools\binn
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=17
"PROCESSOR_IDENTIFIER"=x86 Family 17 Model 3 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0301
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"tvdumpflags"=8

-----------------EOF-----------------



Würde mich um baldige Antwort bzw. Hilfe freuen.

Mfg PDvaS
__________________


Alt 15.09.2009, 17:46   #3
Grave1
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Schon ne Lösung gefunden? Hab das gleiche Problem seit grad eben. Google gibt nicht viel her.

Gruß Grave
__________________

Alt 16.09.2009, 13:51   #4
Operator69
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Hallo ihr zwei,
ich bin zwar ein absoluter Noob, was Viren und sowas angeht, hab aber das Problem mit Malwarebytes in den Griff bekommen.

Mein Firefox ist permanent abgestürzt und Antivir hat mir auch den 'TR/Alureon.19456U.3' ausgespuckt. Meine Files im System und Tempordner fingen alle mit "kbiwkm ...". Antir hat mir nicht geholfen, Adaware ist abgestürzt, aber was wirklich wahnsinnig gut funktioniert bei mir hat ist Malwarebytes. Das hat die Dateien bei mir sofort gefunden und konnte sie auch löschen, im Gegensatz zu den Vorgängern!

Vielleicht liegts an dem Betriebssystem, ich hab noch XP oder an der Version von Malware (1.41). Hoffe das hier hilft zumindest Leuten mit genau dem Problem, das ich hatte.

Operator

Geändert von Operator69 (16.09.2009 um 14:21 Uhr)

Alt 16.09.2009, 14:48   #5
zeugnimad
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Ich bin auch ein absoluter Noob; wenn ich aber das, was ich bisher hier mitgelesen habe, einigermaßen verstanden habe, dürften das:

Code:
ATTFilter
'C:\Windows\System32\gasfkydfrximfi.dll'
C:\Windows\tasks\User_Feed_Synchronization-{8B38A101-D0BE-48FB-8E37-07E5DBD9AED5}.job
S3 mbr;mbr; \??\C:\Users\PDvaS\AppData\Local\Temp\mbr.sys []
         
Anzeichen für ein Rootkit sein. Und das dürfte mit MBAM allein nicht komplett behoben sein.

Das sieht IMO auch komisch aus:

Code:
ATTFilter
O23 - Service: Anwendungserfahrung AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\yiexkihavj.exe
         

Aber wie gesagt, ich bin Laie und würde raten, erst mal kein Online-Banking oder ähnliches zu machen und zu warten, bis sich hier ein Experte meldet.


Alt 19.09.2009, 14:56   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



@PDvaS:

Code:
ATTFilter
S3 mbr;mbr; \??\C:\Users\PDvaS\AppData\Local\Temp\mbr.sys []
         
Hast Du mal das MBR-Tool von GMER ausgeführt? Das würde diesen Eintrag erklären.


Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\Windows\TEMP\yiexkihavj.exe
C:\Windows\System32\gasfkydfrximfi.dll
         

Diese Liste hast Du schon beachtet? RSIT hast Du schon gemacht, was wohl noch fehlt ist ein Durchlauf mit dem CCleaner und MalwareBytes. Dann sehen wir weiter.
__________________
--> TR/Alureon.19456U.3

Alt 20.09.2009, 13:41   #7
PDvaS
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Hallo Arne,

ich hab jetzt mal das MBR-Tool von GMER durchlaufen lassen und dabei kam folgendes heraus:

Code:
ATTFilter
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit quick scan 2009-09-20 12:27:23
Windows 6.0.6002 Service Pack 2
Running: es2tivs7.exe; Driver: C:\Users\PDvaS\AppData\Local\Temp\kglcapow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
bin mir aber nicht sicher ob ich dabei alles richtig gemacht habe, da das Program mit dem scan ziemlich schnell fertig war.



Ich hab jetzt die ganze Liste noch einmal abgearbeitet.

Malwarebytes hab ich vor ein paar Tagen schon einmal durchlaufen lassen und dabei wurden auch infizierte Dateien gefunden:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2812
Windows 6.0.6001 Service Pack 1

17.09.2009 13:02:26
mbam-log-2009-09-17 (13-02-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 243635
Laufzeit: 53 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gasfkyecqjulri (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\gasfkyvbdwhtko.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\gasfkyvpxuprvb.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\gasfkytcspxutx.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\gasfkyexpipmpy.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\gasfkyobbornex.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
         

hab gerade Malwarebytes nocheinmal durch laufen lassen und diesmal wurde nichts gefunden.

Alt 20.09.2009, 13:46   #8
PDvaS
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Hier noch meine logfiles.

Mfg PDvaS
Angehängte Dateien
Dateityp: txt info.txt (20,0 KB, 375x aufgerufen)
Dateityp: txt log.txt (59,8 KB, 232x aufgerufen)

Alt 20.09.2009, 15:50   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Zitat:
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
Von sowas wie ZoneAlarm kann ich nur abraten.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Zitat:
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Dein System ist nicht ganz aktuell, da fehlt min. der IE8, auch wenn Du ihn nicht nutzt solltest Du aktualisieren, denn Windows nutzt immer die Kernkomponenten des IE. Mehr dazu aber später.

Führ bitte mal Combofix genau so aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!


Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2009, 16:55   #10
PDvaS
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Also würdest du mir raten, ZoneAlaram zu deinstallieren und auf die Windows-Firewall umzusteigen?

Hab mein System jetzt mit dem IE8 erweitert.


Combofix hab ich durchlaufen lassen, wobei sich Combofix (von mir in smss.exe umgenannt) während des scannens wieder in Combofix umgenannt hat. Weiß jetzt nicht, ob das ein große Problem ist.

Hier der Logfile dazu:

Code:
ATTFilter
ComboFix 09-09-18.02 - PDvaS 20.09.2009 17:32.3.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3294.2443 [GMT 2:00]
ausgeführt von:: c:\users\PDvaS\Desktop\ComboFix.exe
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-08-20 bis 2009-09-20  ))))))))))))))))))))))))))))))
.

2009-09-20 15:39 . 2009-09-20 15:39	--------	d-----w-	c:\users\PDvaS\AppData\Local\temp
2009-09-20 15:39 . 2009-09-20 15:39	--------	d-----w-	c:\users\Default\AppData\Local\temp
2009-09-20 15:09 . 2009-07-21 21:52	915456	----a-w-	c:\windows\system32\wininet.dll
2009-09-20 15:09 . 2009-07-21 21:47	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-09-20 15:08 . 2009-07-21 21:47	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-09-20 15:08 . 2009-07-21 20:13	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-09-19 17:22 . 2009-09-19 17:23	--------	d-----w-	c:\windows\system32\ca-ES
2009-09-19 17:22 . 2009-09-19 17:23	--------	d-----w-	c:\windows\system32\eu-ES
2009-09-19 17:22 . 2009-09-19 17:23	--------	d-----w-	c:\windows\system32\vi-VN
2009-09-19 17:07 . 2009-09-19 17:07	--------	d-----w-	c:\windows\system32\EventProviders
2009-09-19 17:04 . 2009-04-11 06:28	705536	----a-w-	c:\windows\system32\SmiEngine.dll
2009-09-19 17:04 . 2009-04-11 06:28	218624	----a-w-	c:\windows\system32\wdscore.dll
2009-09-19 17:04 . 2009-04-11 06:27	130560	----a-w-	c:\windows\system32\PkgMgr.exe
2009-09-19 17:04 . 2009-04-11 06:28	247808	----a-w-	c:\windows\system32\drvstore.dll
2009-09-16 23:51 . 2009-09-16 23:51	--------	d-----w-	C:\found.000
2009-09-15 15:01 . 2009-09-15 15:01	--------	d-----w-	C:\rsit
2009-09-12 17:07 . 2009-09-12 17:07	--------	d-----w-	c:\windows\CheckSur
2009-09-12 16:47 . 2009-09-12 16:47	--------	d-----w-	c:\programdata\KONAMI
2009-09-12 16:25 . 2009-09-12 16:25	--------	d-----w-	c:\program files\KONAMI
2009-09-09 23:11 . 2009-06-15 14:52	1259008	----a-w-	c:\windows\system32\lsasrv.dll
2009-09-09 23:11 . 2009-06-15 14:54	175104	----a-w-	c:\windows\system32\wdigest.dll
2009-09-09 23:11 . 2009-06-15 14:53	218624	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-09 23:11 . 2009-06-15 14:52	499712	----a-w-	c:\windows\system32\kerberos.dll
2009-09-09 23:11 . 2009-06-15 23:15	439864	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-09-09 23:11 . 2009-06-15 14:53	72704	----a-w-	c:\windows\system32\secur32.dll
2009-09-09 23:11 . 2009-06-15 14:53	270848	----a-w-	c:\windows\system32\schannel.dll
2009-09-09 23:11 . 2009-06-15 12:48	9728	----a-w-	c:\windows\system32\lsass.exe
2009-09-09 17:41 . 2009-08-14 13:49	9728	----a-w-	c:\windows\system32\TCPSVCS.EXE
2009-09-09 17:41 . 2009-08-14 13:49	17920	----a-w-	c:\windows\system32\ROUTE.EXE
2009-09-09 17:41 . 2009-08-14 13:49	11264	----a-w-	c:\windows\system32\MRINFO.EXE
2009-09-09 17:41 . 2009-08-14 13:49	27136	----a-w-	c:\windows\system32\NETSTAT.EXE
2009-09-09 17:41 . 2009-08-14 13:49	8704	----a-w-	c:\windows\system32\HOSTNAME.EXE
2009-09-09 17:41 . 2009-08-14 13:49	19968	----a-w-	c:\windows\system32\ARP.EXE
2009-09-09 17:41 . 2009-08-14 13:49	10240	----a-w-	c:\windows\system32\finger.exe
2009-09-09 17:41 . 2009-08-14 13:48	105984	----a-w-	c:\windows\system32\netiohlp.dll
2009-09-09 17:41 . 2009-08-14 16:27	904776	----a-w-	c:\windows\system32\drivers\tcpip.sys
2009-09-09 17:40 . 2009-08-14 15:53	17920	----a-w-	c:\windows\system32\netevent.dll
2009-09-09 17:40 . 2009-08-14 13:48	30720	----a-w-	c:\windows\system32\drivers\tcpipreg.sys
2009-09-09 17:38 . 2009-07-11 19:01	513536	----a-w-	c:\windows\system32\wlansvc.dll
2009-09-09 17:38 . 2009-07-11 19:01	302592	----a-w-	c:\windows\system32\wlansec.dll
2009-09-09 17:38 . 2009-07-11 19:01	293376	----a-w-	c:\windows\system32\wlanmsm.dll
2009-09-09 17:38 . 2009-04-11 06:28	68096	----a-w-	c:\windows\system32\wlanhlp.dll
2009-09-09 17:38 . 2009-07-11 19:01	65024	----a-w-	c:\windows\system32\wlanapi.dll
2009-09-09 17:38 . 2009-07-11 17:03	127488	----a-w-	c:\windows\system32\L2SecHC.dll
2009-09-09 17:37 . 2009-04-11 06:28	98816	----a-w-	c:\windows\system32\mfps.dll
2009-09-09 17:37 . 2009-04-11 06:27	53248	----a-w-	c:\windows\system32\rrinstaller.exe
2009-09-09 17:37 . 2009-04-11 06:27	24576	----a-w-	c:\windows\system32\mfpmp.exe
2009-09-09 17:37 . 2009-04-11 04:54	2048	----a-w-	c:\windows\system32\mferror.dll
2009-09-09 17:37 . 2009-06-10 11:41	2868224	----a-w-	c:\windows\system32\mf.dll
2009-09-03 08:56 . 2009-08-29 00:14	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2009-09-03 08:56 . 2009-08-29 00:27	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-26 10:23 . 2009-06-22 10:09	2048	----a-w-	c:\windows\system32\tzres.dll
2009-08-26 09:00 . 2009-04-11 06:28	1696768	----a-w-	c:\windows\system32\gameux.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-20 15:20 . 2008-09-01 07:57	675412	----a-w-	c:\windows\system32\perfh007.dat
2009-09-20 15:20 . 2008-09-01 07:57	146368	----a-w-	c:\windows\system32\perfc007.dat
2009-09-20 15:13 . 2009-05-24 17:51	352615	---ha-w-	c:\windows\system32\drivers\vsconfig.xml
2009-09-20 15:11 . 2008-09-02 03:43	12	----a-w-	c:\windows\bthservsdp.dat
2009-09-20 09:25 . 2009-06-20 10:57	--------	d-----w-	c:\programdata\Google Updater
2009-09-19 17:33 . 2009-05-19 14:46	--------	d-----w-	c:\program files\SUPERAntiSpyware
2009-09-19 17:23 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Calendar
2009-09-19 17:23 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Sidebar
2009-09-19 17:23 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-09-19 17:23 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Journal
2009-09-19 17:23 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Collaboration
2009-09-19 17:23 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Photo Gallery
2009-09-19 17:23 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Defender
2009-09-19 11:03 . 2009-08-10 12:00	--------	d-----w-	c:\users\PDvaS\AppData\Roaming\vlc
2009-09-16 16:12 . 2009-05-17 11:51	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-10 12:54 . 2009-05-18 19:48	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2009-05-17 11:51	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-10 11:14 . 2008-09-01 11:46	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-09-09 23:24 . 2009-03-23 19:16	--------	d-----w-	c:\users\PDvaS\AppData\Roaming\dvdcss
2009-09-05 10:45 . 2009-05-19 14:49	117760	----a-w-	c:\users\PDvaS\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-31 08:11 . 2009-03-01 17:57	--------	d-----w-	c:\program files\Java
2009-08-05 20:01 . 2009-03-19 11:44	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-02 20:01 . 2009-05-19 14:45	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2009-07-17 13:54 . 2009-08-12 16:37	71680	----a-w-	c:\windows\system32\atl.dll
2009-07-15 12:40 . 2009-08-12 16:36	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-07-15 12:39 . 2009-08-12 16:36	313344	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-15 12:39 . 2009-08-12 16:36	4096	----a-w-	c:\windows\system32\dxmasf.dll
2009-07-15 12:39 . 2009-08-12 16:36	7680	----a-w-	c:\windows\system32\spwmp.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-09-19 1998576]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-07-08 6273568]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-05 10:45	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"FirewallOverride"=dword:00000001
"VistaSp2"=hex(b):74,d4,b7,e5,4e,39,ca,01

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1633AF2B-9328-4160-8B66-6430B6F351D3}"= c:\program files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{0A0F4E71-824D-498C-BE09-43EF25998BAB}"= c:\program files\CyberLink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{A8774147-24CC-4B83-A493-BD4DFF50E236}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{B5CC62B2-CFB4-4B2D-AD82-487585255DA0}"= UDP:c:\program files\Firefly Studios\Stronghold 2\Stronghold2.exe:Stronghold 2
"{45412D54-E274-45D8-99FB-307FB94ACCB4}"= TCP:c:\program files\Firefly Studios\Stronghold 2\Stronghold2.exe:Stronghold 2

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\FlashGet Network\\FlashGet universal\\FlashGet.exe"= c:\program files\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2
"c:\\Program Files\\FlashGet Network\\FlashGet universal\\LiveUpdate.exe"= c:\program files\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate
"c:\\Program Files\\FlashGet Network\\FlashGet universal\\LiveUpdateEx.exe"= c:\program files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [19.03.2009 13:44 108289]
R2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\System32\drivers\KMDFMEMIO.sys [01.09.2008 14:07 13312]
R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [14.04.2006 03:07 28933976]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [01.06.2009 21:41 603904]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
R3 usbfilter;AMD USB Filter Driver;c:\windows\System32\drivers\usbfilter.sys [01.09.2008 13:46 22072]
R3 VMC302;Vimicro Camera Service VMC302;c:\windows\System32\drivers\vmc302.sys [01.09.2008 13:57 241664]
S3 HssTrayService;Hotspot Shield Tray Service;c:\program files\Hotspot Shield\bin\HssTrayService.EXE --> c:\program files\Hotspot Shield\bin\HssTrayService.EXE [?]
S3 SynasUSB;SynasUSB;c:\windows\System32\drivers\synasUSB.sys [14.03.2009 15:47 18432]
S3 TASCAM_US122144;TASCAM USB 2.0 Audio Device driver;c:\windows\System32\drivers\tascusb2.sys [14.03.2009 15:35 360448]
S3 TASCAM_US122L_MIDI;TASCAM US-122L WDM MIDI Device;c:\windows\System32\drivers\tscusb2m.sys [14.03.2009 15:35 18944]
S3 TASCAM_US122L_WDM;TASCAM US-122L WDM;c:\windows\System32\drivers\tscusb2a.sys [14.03.2009 15:35 33792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-09-20 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-13 10:03]

2009-09-20 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-20 10:57]

2009-09-20 c:\windows\Tasks\User_Feed_Synchronization-{8B38A101-D0BE-48FB-8E37-07E5DBD9AED5}.job
- c:\windows\system32\msfeedssync.exe [2009-09-20 20:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.jappy.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\users\PDvaS\AppData\Roaming\Mozilla\Firefox\Profiles\wpnn7fzd.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512\npCIDetect13.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-20 17:39
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{139e993a-1ec2-464b-82f1-a70231e80aef}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:10001377
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{1c6a0c01-b9d7-4a27-9907-b49d5d27f01c}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:1a00ff1c
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ac96074a-9c8b-4aa4-a03a-132c75b97faf}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:15002163
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c001422
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bc35df12-720b-4f42-ad99-2469e817e82c}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c002119
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bcda53e0-9ef7-4049-b707-710007c639a6}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0b002119
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{cfa7aab4-de0b-4101-a6a5-7d3881362b9b}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:14020054
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d067436b-a77f-4ce0-b669-6ff1503e17d3}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0f001377
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d3fe19c8-e862-418d-b6cc-c8baebcbc937}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:10001377
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0e001422
"Dhcpv6State"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(2988)
c:\windows\system32\btmmhook.dll
.
Zeit der Fertigstellung: 2009-09-20 17:41
ComboFix-quarantined-files.txt  2009-09-20 15:41

Vor Suchlauf: 11 Verzeichnis(se), 90.058.543.104 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 89.953.456.128 Bytes frei

264	--- E O F ---	2009-09-20 15:10
         

Mfg PDvaS

Alt 21.09.2009, 13:20   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Zitat:
Also würdest du mir raten, ZoneAlaram zu deinstallieren und auf die Windows-Firewall umzusteigen?
Ja!!
Das Log schau ich mir nachher mal an. Ich melde mich nochmal dazu.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.09.2009, 13:26   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Bitte mal den Avenger anwenden, danach bitte ein frisches Logfile mit RSIT erstellen und wieder posten.

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry keys to delete:
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{139e993a-1ec2-464b-82f1-a70231e80aef}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{1c6a0c01-b9d7-4a27-9907-b49d5d27f01c}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ac96074a-9c8b-4aa4-a03a-132c75b97faf}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bc35df12-720b-4f42-ad99-2469e817e82c}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bcda53e0-9ef7-4049-b707-710007c639a6}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{cfa7aab4-de0b-4101-a6a5-7d3881362b9b}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d067436b-a77f-4ce0-b669-6ff1503e17d3}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d3fe19c8-e862-418d-b6cc-c8baebcbc937}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}
HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.09.2009, 17:18   #13
PDvaS
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Auftrag erledigt.


Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{139e993a-1ec2-464b-82f1-a70231e80aef}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{1c6a0c01-b9d7-4a27-9907-b49d5d27f01c}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ac96074a-9c8b-4aa4-a03a-132c75b97faf}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bc35df12-720b-4f42-ad99-2469e817e82c}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bcda53e0-9ef7-4049-b707-710007c639a6}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{cfa7aab4-de0b-4101-a6a5-7d3881362b9b}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d067436b-a77f-4ce0-b669-6ff1503e17d3}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d3fe19c8-e862-418d-b6cc-c8baebcbc937}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}" deleted successfully.
Registry key "HKLM\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Mfg PDvaS

Alt 21.09.2009, 17:22   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Okay.
mach nun noch ein frisches RSIT-Logfile und poste es wieder.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.09.2009, 17:39   #15
PDvaS
 
TR/Alureon.19456U.3 - Standard

TR/Alureon.19456U.3



Ahh stimmt, hatte ich vergessen.

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by PDvaS at 2009-09-21 18:35:27
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 85 GB (58%) free of 148 GB
Total RAM: 3294 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:41, on 21.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\conime.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\PDvaS\Desktop\Virus Zeugs\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PDvaS.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.jappy.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/EN-GB/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - h**p://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 5797 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job
C:\Windows\tasks\Google Software Updater.job
C:\Windows\tasks\User_Feed_Synchronization-{8B38A101-D0BE-48FB-8E37-07E5DBD9AED5}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll [2009-06-20 657904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-07-08 6273568]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2007-10-26 1029416]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]
"SUPERAntiSpyware"=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-09-19 1998576]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL [2009-09-05 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe"="C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2"
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe"="C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate"
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe"="C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
         

Antwort

Themen zu TR/Alureon.19456U.3
32 bit, agere systems, antivir, antivir guard, avgntflt.sys, avira, bho, browser, c:\windows\temp, desktop, device driver, diagnostics, error, google, hdaudio.sys, hijack, hijackthis, home, home premium, hotspot, hotspot shield, installation, liveupdate.exe, local\temp, mozilla, mssql, nodrives, pc läuft, programdata, programm, proxy, realtek, registry, secur, server, software, start menu, svchost.exe, system, tuneup.defrag, tuprogst.exe, usb 2.0, usbvideo.sys, virus, vista, vista 32, vista 32 bit, windows, windows\temp, wireless lan, zone alarm



Ähnliche Themen: TR/Alureon.19456U.3


  1. TR/Alureon.FL.2
    Plagegeister aller Art und deren Bekämpfung - 18.12.2011 (1)
  2. TR/Alureon.AD.33 entfernen
    Plagegeister aller Art und deren Bekämpfung - 19.08.2011 (6)
  3. BOO/Alureon.a in den Bootsektoren
    Plagegeister aller Art und deren Bekämpfung - 27.11.2010 (1)
  4. alureon.a W7 Versäucht
    Log-Analyse und Auswertung - 04.11.2010 (1)
  5. Bootsektorvirus BOO/Alureon.A
    Log-Analyse und Auswertung - 21.10.2010 (0)
  6. boo/alureon.a Virus
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (0)
  7. PC von Alureon H befallen!
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (13)
  8. Alureon.H mit CF gelöscht
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (15)
  9. Infektion mit Alureon.B - was tun..?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (15)
  10. ALUREON-Fund
    Log-Analyse und Auswertung - 11.02.2010 (1)
  11. Alureon Trojaner
    Log-Analyse und Auswertung - 28.12.2009 (3)
  12. Trojaner Alureon
    Log-Analyse und Auswertung - 28.12.2009 (5)
  13. TR/Alureon.19968U.10
    Plagegeister aller Art und deren Bekämpfung - 26.09.2009 (1)
  14. "Hilfe" bei Virus TR/Alureon.19456U.3
    Plagegeister aller Art und deren Bekämpfung - 24.09.2009 (22)
  15. TR/Alureon.19456U.3
    Plagegeister aller Art und deren Bekämpfung - 24.09.2009 (2)
  16. TR/Alureon.19456U.3 (Firefoxabsturz und PC-Lag); noch drauf?
    Log-Analyse und Auswertung - 16.09.2009 (5)
  17. W32.Alureon!inf und Alureon.gen!J
    Antiviren-, Firewall- und andere Schutzprogramme - 17.03.2009 (14)

Zum Thema TR/Alureon.19456U.3 - Seit heute zeigt mir mein Avira AntiVir folgende Meldung an: In der Datei 'C:\Windows\System32\gasfkydfrximfi.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.19456U.3' [trojan] gefunden. Mein PC läuft einwandfrei, nur wird halt - TR/Alureon.19456U.3...
Archiv
Du betrachtest: TR/Alureon.19456U.3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.