| |
| |||||||
Log-Analyse und Auswertung: svchost.exe infiziertWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.11.2009, 12:45
| #1 |
 |  svchost.exe infiziert Ein Problem mit meiner svchost.exe. Ich habe meinen PC mit GMER gescannt und er hat einen Rootkit gefunden, klicke danach auf Disabled aber er kommt immer wieder zurück nur mit einen anderen Namen. Kann mir jemand helfen den für immer rauszubekommen? Da gibt es auch einen Virus im Ordner C:\windows\system32\ namens "honmurv.dll". Versucht zu löschen aber es kommt nach paar Tagen auch zurück  Ich Poste mal hier den Hijackthis: 1. Hijackthis Log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:11:15, on 09.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe C:\Programme\Lenovo\TrackPoint\tp4serv.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe C:\Programme\ThinkVantage\AMSG\Amsg.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Lenovo\AwayTask\AwaySch.EXE C:\Programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\acs.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Dokumente und Einstellungen\****\Desktop\gmer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60347 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60347 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe O4 - HKLM\..\Run: [AMSG] C:\Programme\ThinkVantage\AMSG\Amsg.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE O4 - HKLM\..\Run: [cssauthe] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe" silent O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O14 - IERESET.INF: START_PAGE_URL=h**p://www.lenovo.com/de/de O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{76D8461C-8D60-4047-9BBA-0A5AD015F0E1}: NameServer = 195.34.133.21 212.186.211.21 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- End of file - 9376 bytes |
|
09.11.2009, 16:35
| #3 |
| | svchost.exe infiziert Mein GMER Log war viel zu lang, Ich poste mal nur die erste hälfte (---- Files - GMER 1.0.15 ---- hab ich ausgelassen)
__________________Code:
ATTFilter GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-11-09 12:41:40
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF84D487E]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF84D4BFE]
---- Kernel code sections - GMER 1.0.15 ----
? xypis.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \FileSystem\Fastfat \Fat A1A19C8A
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] qhrlk <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] qmvgm <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk@DisplayName Helper Center
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk@Description Speichert Sicherheitsinformationen f?r lokale Benutzerkonten.
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\qhrlk\Parameters@ServiceDll C:\WINDOWS\system32\honmurv.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm@DisplayName Windows Driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm@Description Unterst?tzt Datei-, Drucker- und Named-Piped-Freigabe f?r diesen Computer ?ber das Netzwerk. Diese Funktionen sind nicht mehr verf?gbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\qmvgm\Parameters@ServiceDll C:\WINDOWS\system32\honmurv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk@DisplayName Helper Center
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk@Start 4
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk@Description Speichert Sicherheitsinformationen f?r lokale Benutzerkonten.
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\qhrlk\Parameters@ServiceDll C:\WINDOWS\system32\honmurv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm@DisplayName Windows Driver
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm@Start 4
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm@Description Unterst?tzt Datei-, Drucker- und Named-Piped-Freigabe f?r diesen Computer ?ber das Netzwerk. Diese Funktionen sind nicht mehr verf?gbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\qmvgm\Parameters@ServiceDll C:\WINDOWS\system32\honmurv.dll
---- EOF - GMER 1.0.15 ----
|
|
09.11.2009, 16:38
| #4 |
| | svchost.exe infiziert Hier kommt die zweite hälfte von GMER Log: Code:
ATTFilter GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-11-09 12:41:40
Windows 5.1.2600 Service Pack 2
---- Files - GMER 1.0.15 ----
File C:\RRbackups\Documents and Settings 0 bytes
File C:\RRbackups\Documents and Settings\All Users 0 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten 0 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft 0 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto 0 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto\RSA 0 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys 0 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\fc1e3851f429ea606d6ff1e01a5229f1_616dc56a-40ba-4012-9d57-c85dcb645ead 52 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18 0 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18\42e7e898003fbdeb9585806ee1664b51_616dc56a-40ba-4012-9d57-c85dcb645ead 57 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18\b973ec0ff915c48a18fe09064ce3a22d_616dc56a-40ba-4012-9d57-c85dcb645ead 56 bytes
File C:\RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_616dc56a-40ba-4012-9d57-c85dcb645ead 917 bytes
File C:\RRbackups\Documents and Settings\Besitzer 0 bytes
File C:\RRbackups\Documents and Settings\Besitzer\Anwendungsdaten 0 bytes
File C:\RRbackups\Documents and Settings\Besitzer\Anwendungsdaten\Microsoft 0 bytes
File C:\RRbackups\Documents and Settings\Besitzer\Anwendungsdaten\Microsoft\Crypto 0 bytes
File C:\RRbackups\Documents and Settings\Default User 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect\CREDHIST 24 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1927922163-4174163532-2867104960-1003 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1927922163-4174163532-2867104960-1003\9470c6f5-2c0d-4338-aad6-398ca7803aaf 388 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1927922163-4174163532-2867104960-1003\Preferred 24 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2902354116-2224753999-2501214747-1003 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2902354116-2224753999-2501214747-1003\dcfb8abd-7add-415c-a4e8-99c018e1e0d1 388 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2902354116-2224753999-2501214747-1003\Preferred 24 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\SystemCertificates 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\SystemCertificates\My 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\SystemCertificates\My\CRLs 0 bytes
File C:\RRbackups\Documents and Settings\Default User\Anwendungsdaten\Microsoft\SystemCertificates\My\CTLs 0 bytes
File C:\RRbackups\Documents and Settings\**** 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto\RSA 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-21-2172647754-1684616302-2592667894-1006 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-21-2172647754-1684616302-2592667894-1006\2873ef1b85385bb8dcd69fa43fcf9476_616dc56a-40ba-4012-9d57-c85dcb645ead 1297 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-21-2172647754-1684616302-2592667894-1006\2e2805b80db2b74a83312d48743cb9db_616dc56a-40ba-4012-9d57-c85dcb645ead 46 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-21-2172647754-1684616302-2592667894-1006\6b29ae44e85efac3c72ff4d1865d73f1_616dc56a-40ba-4012-9d57-c85dcb645ead 53 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-21-2172647754-1684616302-2592667894-1006\83aa4cc77f591dfc2374580bbd95f6ba_616dc56a-40ba-4012-9d57-c85dcb645ead 45 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-21-2172647754-1684616302-2592667894-1006\8f71098770f72c7a67cd8f1151619865_616dc56a-40ba-4012-9d57-c85dcb645ead 54 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\CREDHIST 24 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1927922163-4174163532-2867104960-1003 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1927922163-4174163532-2867104960-1003\9470c6f5-2c0d-4338-aad6-398ca7803aaf 388 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1927922163-4174163532-2867104960-1003\Preferred 24 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2172647754-1684616302-2592667894-1006 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2172647754-1684616302-2592667894-1006\0ea395da-1762-4361-bf86-d4e38df253fc 388 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2172647754-1684616302-2592667894-1006\18b3e4e8-41d8-49e8-b531-9d90974719f9 388 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2172647754-1684616302-2592667894-1006\5ea4de69-4424-4ec6-b716-64f95c1bcbf3 388 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2172647754-1684616302-2592667894-1006\da55f756-c413-431f-a97a-18487c53cf6d 388 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2172647754-1684616302-2592667894-1006\eacbbe59-f023-454a-8d27-64e5fc59f7df 388 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2172647754-1684616302-2592667894-1006\Preferred 24 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2902354116-2224753999-2501214747-1003 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2902354116-2224753999-2501214747-1003\dcfb8abd-7add-415c-a4e8-99c018e1e0d1 388 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\Protect\S-1-5-21-2902354116-2224753999-2501214747-1003\Preferred 24 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\SystemCertificates 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\SystemCertificates\My 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\SystemCertificates\My\CRLs 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\Microsoft\SystemCertificates\My\CTLs 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\ThinkVantage 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\ThinkVantage\Client Security 0 bytes
File C:\RRbackups\Documents and Settings\****\Anwendungsdaten\ThinkVantage\Client Security\hibernation.dat 4 bytes
File C:\RRbackups\Documents and Settings\LocalService 0 bytes
File C:\RRbackups\Documents and Settings\LocalService\Anwendungsdaten 0 bytes
File C:\RRbackups\Documents and Settings\LocalService\Anwendungsdaten\Microsoft 0 bytes
File C:\RRbackups\Documents and Settings\LocalService\Anwendungsdaten\Microsoft\SystemCertificates 0 bytes
File C:\RRbackups\Documents and Settings\LocalService\Anwendungsdaten\Microsoft\SystemCertificates\My 0 bytes
File C:\RRbackups\Documents and Settings\LocalService\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates 0 bytes
File C:\RRbackups\Documents and Settings\LocalService\Anwendungsdaten\Microsoft\SystemCertificates\My\CRLs 0 bytes
File C:\RRbackups\Documents and Settings\LocalService\Anwendungsdaten\Microsoft\SystemCertificates\My\CTLs 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService\Anwendungsdaten 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService\Anwendungsdaten\Microsoft 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My\CRLs 0 bytes
File C:\RRbackups\Documents and Settings\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My\CTLs 0 bytes
File C:\RRbackups\hints.dat 8192 bytes
File C:\RRbackups\regcerts.dat 8192 bytes
File C:\RRbackups\SAM 262144 bytes
File C:\RRbackups\system 4456448 bytes
File C:\RRbackups\system.dat 12288 bytes
File C:\RRbackups\tvt.txt 6540 bytes
File C:\RRbackups\usersids.dat 10400 bytes
---- EOF - GMER 1.0.15 ----
|
|
09.11.2009, 17:21
| #5 |
  | svchost.exe infiziert Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter drivers to delete:
qhrlk
qmvgm
Nach Avenger bitte ich Dich noch Malwarebytes Anti_Malware laufen zu lassen per einem Vollständigem Scan. Logs von: 1. Avenger 2. Malwarebytes posten.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  Geändert von Angel21 (09.11.2009 um 17:29 Uhr) |
|
09.11.2009, 20:19
| #6 |
| | svchost.exe infiziert Avenger Log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "qhrlk" deleted successfully.
Driver "qmvgm" deleted successfully.
Driver "gwkjbob" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Malware Log: (Nichts gefunden, schon davor alles weggeputzt)  Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3134
Windows 5.1.2600 Service Pack 2
09.11.2009 20:15:38
mbam-log-2009-11-09 (20-15-38).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 146362
Laufzeit: 19 minute(s), 22 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
09.11.2009, 20:26
| #7 |
| | svchost.exe infiziert Start - ausführen - "regedit" reinschreiben - oben auf "Bearbeiten" dann dort auf Suche gehen und "netsvcs" reinschreiben, diesen schlüssel dann bitte exportieren, sodass ich mir die Details anschauen kann von dem Registry Schlüssel.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
09.11.2009, 22:55
| #8 |
| | svchost.exe infiziertCode:
ATTFilter Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 09.11.2009 - 18:37
Wert 0
Name: HTTPFilter
Typ: REG_MULTI_SZ
Daten: HTTPFilter
Wert 1
Name: LocalService
Typ: REG_MULTI_SZ
Daten: Alerter
WebClient
LmHosts
RemoteRegistry
upnphost
SSDPSRV
Wert 2
Name: NetworkService
Typ: REG_MULTI_SZ
Daten: DnsCache
Wert 3
Name: netsvcs
Typ: REG_MULTI_SZ
Daten: 6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
qmvgm
qhrlk
gwkjbob
Wert 4
Name: DcomLaunch
Typ: REG_MULTI_SZ
Daten: DcomLaunch
TermService
Wert 5
Name: rpcss
Typ: REG_MULTI_SZ
Daten: RpcSs
Wert 6
Name: imgsvc
Typ: REG_MULTI_SZ
Daten: StiSvc
Wert 7
Name: termsvcs
Typ: REG_MULTI_SZ
Daten: TermService
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\DComLaunch
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 11.08.2004 - 10:44
Wert 0
Name: CoInitializeSecurityParam
Typ: REG_DWORD
Daten: 0x1
Wert 1
Name: DefaultRpcStackSize
Typ: REG_DWORD
Daten: 0x8
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\HTTPFilter
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 11.08.2004 - 11:39
Wert 0
Name: CoInitializeSecurityParam
Typ: REG_DWORD
Daten: 0x1
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\LocalService
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 11.08.2004 - 11:39
Wert 0
Name: CoInitializeSecurityParam
Typ: REG_DWORD
Daten: 0x1
Wert 1
Name: AuthenticationCapabilities
Typ: REG_DWORD
Daten: 0x2000
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 11.08.2004 - 10:44
Wert 0
Name: CoInitializeSecurityParam
Typ: REG_DWORD
Daten: 0x1
Wert 1
Name: AuthenticationCapabilities
Typ: REG_DWORD
Daten: 0x3020
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\PCHealth
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 11.08.2004 - 10:46
Wert 0
Name: CoInitializeSecurityParam
Typ: REG_DWORD
Daten: 0x2
Wert 1
Name: AuthenticationCapabilities
Typ: REG_DWORD
Daten: 0x40
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\termsvcs
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 11.08.2004 - 10:44
Wert 0
Name: CoInitializeSecurityParam
Typ: REG_DWORD
Daten: 0x1
Wert 1
Name: DefaultRpcStackSize
Typ: REG_DWORD
Daten: 0x8
Geändert von Chronic (09.11.2009 um 23:04 Uhr) |
|
10.11.2009, 14:46
| #9 |
| | svchost.exe infiziert Fertige bitte ein RSIT Logfile an, ich brauche einen genauen Überblick über dein System. Erstaml brauche ich nur die Log.Txt die RSIT anfertigt.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
10.11.2009, 19:19
| #10 |
| | svchost.exe infiziert RSIT Log: Teil 1 Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by **** at 2009-11-10 19:09:43 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 35 GB (68%) free of 52 GB Total RAM: 502 MB (17% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:09:51, on 10.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\Programme\Lenovo\TrackPoint\tp4serv.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe C:\Programme\ThinkVantage\AMSG\Amsg.exe C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Lenovo\AwayTask\AwaySch.EXE C:\Programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe C:\WINDOWS\system32\acs.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\****\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\****.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60347 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60347 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe O4 - HKLM\..\Run: [AMSG] C:\Programme\ThinkVantage\AMSG\Amsg.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE O4 - HKLM\..\Run: [cssauthe] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe" silent O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O14 - IERESET.INF: START_PAGE_URL=h**p://www.lenovo.com/de/de O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{76D8461C-8D60-4047-9BBA-0A5AD015F0E1}: NameServer = 195.34.133.21 212.186.211.21 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- End of file - 9200 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\PMTask.job C:\WINDOWS\tasks\Symantec NetDetect.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}] DriveLetterAccess - C:\WINDOWS\System32\DLA\DLASHX_W.DLL [2005-08-01 110652] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "TrackPointSrv"=C:\Programme\Lenovo\TrackPoint\tp4serv.exe [2008-03-04 92960] "TP4EX"=C:\WINDOWS\system32\tp4ex.exe [2005-10-17 65536] "igfxtray"=C:\WINDOWS\system32\igfxtray.exe [2005-11-28 98304] "igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-11-28 77824] "igfxpers"=C:\WINDOWS\system32\igfxpers.exe [2005-11-28 118784] "EZEJMNAP"=C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe [2006-02-24 237568] "TPHOTKEY"=C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe [2006-03-09 94208] "SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2005-05-20 925696] "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2005-05-06 716800] "suScheduler"=C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe [2005-08-01 40960] "LPManager"=C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe [2006-03-23 106496] "AMSG"=C:\Programme\ThinkVantage\AMSG\Amsg.exe [2005-11-14 487424] "DLA"=C:\WINDOWS\System32\DLA\DLACTRLW.EXE [2005-08-01 122940] "ISUSPM Startup"=c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-07-27 221184] "ISUSScheduler"=c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-07-27 81920] "AwaySch"=C:\Programme\Lenovo\AwayTask\AwaySch.EXE [2006-03-23 69632] "cssauthe"=C:\Programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe [2005-12-21 1988144] "PDService.exe"=C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe [2005-11-15 49152] "ACTray"=C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe [2006-04-17 409600] "ACWLIcon"=C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe [2006-04-17 98304] "SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648] "PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2005-03-17 57393] "IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2005-03-17 40960] "CnxDslTaskBar"=C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe [2003-07-31 458752] " Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe [2005-07-22 933888] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe [2006-03-01 196710] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2006-10-18 169472] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ Malwarebytes Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe [2005-10-28 335872] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\QTTask.exe -atboottime [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe [2005-01-26 49152] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator] C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminatorUpdate] C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe [2005-10-28 864256] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe [2009-08-04 1068424] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [2004-12-14 29696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk] C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe [2005-06-04 802816] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^****^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk] C:\PROGRA~1\OPENOF~1.0\program\QUICKS~1.EXE [2006-07-14 393216] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AwayNotify] C:\Programme\Lenovo\AwayTask\AwayNotify.dll [2006-03-23 49152] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS\system32\igfxdev.dll [2005-11-28 135168] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tpfnf2] C:\WINDOWS\system32\notifyf2.dll [2005-07-05 28672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tphotkey] C:\WINDOWS\system32\tphklock.dll [2005-11-30 24576] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"=scecli csspwntfye [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe"="C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe:*:Enabled:ThinkVantage System Update" "C:\Programme\SopCast\adv\SopAdver.exe"="C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver" "C:\Programme\SopCast\SopCast.exe"="C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application" "C:\Programme\TVAnts\Tvants.exe"="C:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer" "C:\Programme\SoulseekNS\slsk.exe"="C:\Programme\SoulseekNS\slsk.exe:*:Enabled:SoulSeek" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe"="C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe:*:Enabled:ThinkVantage System Update" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62e92908-ad13-11de-aff6-00a0c5d0ad95}] shell\AutoRun\command - E:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62e92909-ad13-11de-aff6-00a0c5d0ad95}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b365071-cbb0-11de-b0ae-00a0c5d0ad95}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0828355-a512-11de-afde-00a0c5d0ad95}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ea6ffaf0-1957-11de-af7a-0016cf62d30c}] shell\verb1\command - E:\desktop.exe |
|
10.11.2009, 19:20
| #11 |
| | svchost.exe infiziert RSIT Log: Teil 2 Code:
ATTFilter ======List of files/folders created in the last 3 months======
2009-11-10 19:09:43 ----D---- C:\rsit
2009-11-10 19:05:19 ----A---- C:\avenger.txt
2009-11-09 16:19:58 ----A---- C:\WINDOWS\ModemLog_ThinkPad Modem.txt
2009-11-09 11:18:02 ----D---- C:\Avenger
2009-11-09 00:40:18 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\QuickScan
2009-11-08 21:57:48 ----D---- C:\Programme\HDCleaner
2009-11-08 21:51:45 ----SHD---- C:\Config.Msi
2009-11-07 14:16:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-11-07 13:18:08 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\InterVideo
2009-11-04 14:00:38 ----HDC---- C:\WINDOWS\$NtUninstallKB976749$
2009-11-03 21:53:38 ----D---- C:\WINDOWS\system32\TVUAx
2009-11-03 12:10:35 ----A---- C:\WINDOWS\system32\tmp.txt
2009-11-03 12:10:27 ----A---- C:\rapport.txt
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\WS2Fix.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\VCCLSID.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\VACFix.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\swxcacls.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\swsc.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\SrchSTS.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\o4Patch.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\IEDFix.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\IEDFix.C.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\dumphive.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\Agent.OMZ.Fix.exe
2009-11-03 12:09:10 ----A---- C:\WINDOWS\system32\404Fix.exe
2009-11-03 12:09:09 ----A---- C:\WINDOWS\system32\swreg.exe
2009-11-03 12:09:09 ----A---- C:\WINDOWS\system32\Process.exe
2009-11-02 21:40:19 ----D---- C:\Programme\Gemeinsame Dateien\PC Tools
2009-11-02 21:40:13 ----D---- C:\Programme\Spyware Doctor
2009-10-30 11:18:07 ----D---- C:\WINDOWS\BDOSCAN8
2009-10-29 12:28:19 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\WinRAR
2009-10-29 12:27:45 ----D---- C:\Programme\WinRAR
2009-10-27 14:26:08 ----HDC---- C:\WINDOWS\$NtUninstallWdf01007$
2009-10-27 14:25:15 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-10-26 19:13:55 ----A---- C:\WINDOWS\system32\lsdelete.exe
2009-10-26 14:53:28 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-10-26 14:52:43 ----D---- C:\Programme\Lavasoft
2009-10-26 00:00:43 ----D---- C:\Programme\Lavalys
2009-10-25 15:32:34 ----A---- C:\WINDOWS\system32\XAudio2_5.dll
2009-10-25 15:32:34 ----A---- C:\WINDOWS\system32\xactengine3_5.dll
2009-10-25 15:32:33 ----A---- C:\WINDOWS\system32\XAudio2_4.dll
2009-10-25 15:32:33 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-10-25 15:32:33 ----A---- C:\WINDOWS\system32\xactengine3_4.dll
2009-10-25 15:32:33 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll
2009-10-25 15:32:32 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-10-25 15:32:32 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-10-25 15:32:32 ----A---- C:\WINDOWS\system32\xactengine3_3.dll
2009-10-25 15:32:32 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-10-25 15:32:31 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-10-25 15:32:31 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-10-25 15:32:30 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2009-10-25 15:32:30 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2009-10-25 15:32:30 ----A---- C:\WINDOWS\system32\xactengine3_2.dll
2009-10-25 15:32:30 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-10-25 15:32:29 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2009-10-25 15:32:29 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2009-10-25 15:32:29 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2009-10-25 15:32:29 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2009-10-25 15:32:28 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2009-10-25 15:32:28 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2009-10-25 15:32:27 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-10-25 15:32:27 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-10-25 15:32:27 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-10-25 15:32:27 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-10-25 15:32:27 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-10-25 15:32:26 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-10-25 15:32:25 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-10-25 15:32:25 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-10-25 15:32:25 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-10-25 15:32:25 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-10-25 15:32:24 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-10-25 15:32:24 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-10-25 15:32:24 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-10-25 15:32:24 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-10-25 15:32:24 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-10-25 15:32:23 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-10-25 15:32:23 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-10-25 15:32:22 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-10-25 15:32:19 ----A---- C:\WINDOWS\system32\xinput1_3.dll
2009-10-25 15:32:14 ----A---- C:\WINDOWS\system32\xactengine2_7.dll
2009-10-25 15:32:08 ----A---- C:\WINDOWS\system32\d3dx10_33.dll
2009-10-25 15:32:08 ----A---- C:\WINDOWS\system32\D3DCompiler_33.dll
2009-10-25 15:31:52 ----A---- C:\WINDOWS\system32\d3dx9_33.dll
2009-10-25 15:31:50 ----A---- C:\WINDOWS\system32\xactengine2_6.dll
2009-10-25 15:31:49 ----A---- C:\WINDOWS\system32\xactengine2_5.dll
2009-10-25 15:31:48 ----A---- C:\WINDOWS\system32\d3dx9_32.dll
2009-10-25 15:31:47 ----A---- C:\WINDOWS\system32\xactengine2_4.dll
2009-10-25 15:31:47 ----A---- C:\WINDOWS\system32\x3daudio1_1.dll
2009-10-25 15:31:47 ----A---- C:\WINDOWS\system32\d3dx9_31.dll
2009-10-25 15:31:46 ----A---- C:\WINDOWS\system32\xinput1_2.dll
2009-10-25 15:31:46 ----A---- C:\WINDOWS\system32\xinput1_1.dll
2009-10-25 15:31:46 ----A---- C:\WINDOWS\system32\xactengine2_3.dll
2009-10-25 15:31:46 ----A---- C:\WINDOWS\system32\xactengine2_2.dll
2009-10-25 15:31:45 ----A---- C:\WINDOWS\system32\xactengine2_1.dll
2009-10-25 15:31:45 ----A---- C:\WINDOWS\system32\d3dx9_30.dll
2009-10-25 15:31:44 ----A---- C:\WINDOWS\system32\xactengine2_0.dll
2009-10-25 15:31:44 ----A---- C:\WINDOWS\system32\x3daudio1_0.dll
2009-10-25 15:31:43 ----A---- C:\WINDOWS\system32\xinput9_1_0.dll
2009-10-25 15:31:43 ----A---- C:\WINDOWS\system32\d3dx9_29.dll
2009-10-25 15:31:43 ----A---- C:\WINDOWS\system32\d3dx9_28.dll
2009-10-25 15:31:43 ----A---- C:\WINDOWS\system32\d3dx9_27.dll
2009-10-25 15:31:42 ----A---- C:\WINDOWS\system32\d3dx9_26.dll
2009-10-25 15:31:41 ----A---- C:\WINDOWS\system32\d3dx9_25.dll
2009-10-25 15:31:39 ----A---- C:\WINDOWS\system32\d3dx9_24.dll
2009-10-25 13:33:59 ----HD---- C:\WINDOWS\msdownld.tmp
2009-10-25 01:08:28 ----D---- C:\WINDOWS\Logs
2009-10-25 01:05:13 ----HD---- C:\WINDOWS\PIF
2009-10-24 23:44:18 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\TrojanHunter
2009-10-24 22:31:54 ----R---- C:\WINDOWS\system32\streamhlp.dll
2009-10-24 22:31:54 ----D---- C:\Programme\TrojanHunter 5.2
2009-10-24 21:28:01 ----D---- C:\WINDOWS\Minidump
2009-10-24 15:23:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-10-19 17:56:54 ----D---- C:\Programme\HooTech
2009-10-15 23:00:29 ----D---- C:\Programme\iTunes
2009-10-15 22:58:21 ----D---- C:\Programme\Apple Software Update
2009-10-15 22:58:02 ----A---- C:\WINDOWS\system32\usbaaplrc.dll
2009-10-15 22:57:45 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2009-10-15 02:11:32 ----HDC---- C:\WINDOWS\$NtUninstallKB974455$
2009-10-15 02:11:24 ----HDC---- C:\WINDOWS\$NtUninstallKB958869$
2009-10-15 02:11:17 ----HDC---- C:\WINDOWS\$NtUninstallKB954155_WM9$
2009-10-15 02:09:30 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$
2009-10-15 02:09:26 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$
2009-10-15 02:09:16 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$
2009-10-15 02:09:00 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$
2009-10-15 02:07:54 ----HDC---- C:\WINDOWS\$NtUninstallKB971486$
2009-10-15 02:07:46 ----HDC---- C:\WINDOWS\$NtUninstallKB973525$
2009-10-15 02:07:39 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$
2009-10-11 23:13:54 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\MxBoost
2009-10-11 22:02:43 ----D---- C:\Programme\Gemeinsame Dateien\Real
2009-10-11 22:02:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Storm
2009-10-11 21:55:07 ----D---- C:\Programme\Maxthon2
2009-10-11 21:53:56 ----A---- C:\WINDOWS\libem.INI
2009-10-11 21:53:16 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\BITS
2009-10-11 21:52:59 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FlashGetBHO
2009-10-11 21:52:57 ----D---- C:\Programme\FlashGet Network
2009-10-11 21:52:57 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FlashGet
2009-10-11 21:51:54 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\FlashgetSetup
2009-10-10 20:27:52 ----A---- C:\WINDOWS\system32\ptpusb.dll
2009-10-10 20:27:47 ----A---- C:\WINDOWS\system32\ptpusd.dll
2009-10-10 20:21:55 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Apple Computer
2009-10-10 20:20:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-10-10 20:20:07 ----D---- C:\Programme\Bonjour
2009-10-10 20:19:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-10-10 20:17:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-10-10 17:27:29 ----D---- C:\Programme\Veetle
2009-10-09 23:04:15 ----D---- C:\Games
2009-10-05 20:07:41 ----D---- C:\FavoriteVideo
2009-10-05 20:07:32 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PPLiveVA
2009-10-05 20:05:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PPLiveVA
2009-10-04 21:45:44 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\StreamTorrent
2009-09-30 19:53:25 ----D---- C:\WINDOWS\system32\PPLive
2009-09-29 17:17:31 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\U3
2009-09-27 19:28:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Soulseek
2009-09-27 19:27:57 ----D---- C:\Programme\SoulseekNS
2009-09-16 13:00:42 ----HDC---- C:\WINDOWS\$NtUninstallKB961503$
2009-09-16 13:00:28 ----D---- C:\Programme\Microsoft CAPICOM 2.1.0.2
2009-09-16 11:17:50 ----A---- C:\WINDOWS\system32\muweb.dll
2009-09-16 11:17:50 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-09-16 11:17:50 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-09-15 11:33:23 ----D---- C:\Programme\Microsoft
2009-09-15 11:33:08 ----D---- C:\Programme\Windows Live SkyDrive
2009-09-15 11:32:47 ----D---- C:\Programme\Windows Live
2009-09-15 11:28:19 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live
2009-09-14 16:25:33 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-09-13 13:00:45 ----D---- C:\WINDOWS\ie7updates
2009-09-12 22:34:03 ----D---- C:\WINDOWS\WBEM
2009-09-12 22:34:01 ----D---- C:\WINDOWS\system32\de-de
2009-09-12 22:33:09 ----HDC---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$
2009-09-12 22:32:46 ----HDC---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$
2009-09-12 22:32:07 ----HDC---- C:\WINDOWS\$NtUninstallKB915865$
2009-09-12 22:32:00 ----N---- C:\WINDOWS\system32\xmllite.dll
2009-09-12 22:30:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2009-09-12 17:19:19 ----D---- C:\Programme\SopCast
2009-09-12 17:08:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-09-10 14:21:03 ----A---- C:\WINDOWS\system32\MRT.exe
2009-09-10 14:03:47 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-10 13:49:56 ----D---- C:\Programme\Trend Micro
2009-09-09 18:16:27 ----D---- C:\Programme\TVAnts
2009-09-09 13:01:15 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-09-09 13:01:04 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-09 13:00:47 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$
2009-09-08 18:02:33 ----D---- C:\WINDOWS\Sun
2009-09-08 11:48:38 ----D---- C:\Programme\Crawler
2009-09-08 11:37:27 ----A---- C:\WINDOWS\system32\MSSTDFMT.DLL
2009-09-06 18:54:23 ----D---- C:\Programme\WinHTTrack
2009-09-06 14:22:42 ----D---- C:\WINDOWS\system32\CatRoot_bak
2009-09-06 13:06:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-09-06 13:06:46 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-09-06 13:06:40 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-09-06 13:06:36 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-09-06 13:06:32 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-09-06 13:06:25 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-09-06 13:06:21 ----HDC---- C:\WINDOWS\$NtUninstallKB923723$
2009-09-06 13:06:16 ----HDC---- C:\WINDOWS\$NtUninstallKB961371-v2$
2009-09-06 13:06:04 ----HDC---- C:\WINDOWS\$NtUninstallKB972260$
2009-09-06 13:05:58 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-09-06 13:05:51 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-09-06 13:05:46 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-09-06 13:05:42 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-09-06 13:05:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-09-06 13:05:25 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-09-06 13:05:13 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-09-06 13:05:09 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-09-06 13:05:04 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-09-06 13:04:59 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-09-06 13:04:55 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-09-06 13:04:53 ----A---- C:\WINDOWS\system32\wmpns.dll
2009-09-06 13:04:48 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9L$
2009-09-06 13:04:25 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-09-06 13:03:21 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-09-06 13:03:15 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2009-09-06 13:03:01 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-09-06 13:02:57 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-09-06 13:02:52 ----HDC---- C:\WINDOWS\$NtUninstallKB923689$
2009-09-06 13:02:25 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-09-06 13:02:21 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-09-06 13:02:16 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-09-06 13:02:05 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-09-06 13:01:56 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-09-06 13:01:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-09-06 13:01:45 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-09-06 13:01:38 ----D---- C:\WINDOWS\ServicePackFiles
2009-09-06 13:01:36 ----HDC---- C:\WINDOWS\$NtUninstallKB958470$
2009-09-06 13:01:32 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-09-06 13:01:27 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-09-06 13:01:19 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-09-06 13:01:15 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-09-06 13:01:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-09-06 13:01:05 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-09-06 13:01:01 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-09-06 13:00:58 ----D---- C:\Programme\MSXML 4.0
2009-09-06 13:00:45 ----HDC---- C:\WINDOWS\$NtUninstallKB944338-v2$
2009-09-06 13:00:39 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-09-06 13:00:34 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-09-06 13:00:25 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2009-09-06 12:35:34 ----N---- C:\WINDOWS\system32\tzchange.exe
2009-09-06 12:33:57 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-06 12:13:24 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
2009-09-06 12:12:59 ----D---- C:\WINDOWS\system32\PreInstall
2009-09-06 12:12:57 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-09-06 10:33:14 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2009-09-06 01:43:37 ----D---- C:\Programme\DCleaner
2009-09-06 00:18:00 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Macromedia
2009-09-05 23:49:41 ----D---- C:\Programme\Inode
2009-09-05 23:09:14 ----N---- C:\CnxUnist.exe
2009-09-05 23:09:14 ----N---- C:\CnxMfdCo.dll
2009-09-05 23:09:14 ----N---- C:\CnxHwIo.dll
2009-09-05 23:09:14 ----N---- C:\CnxDslWz.dll
2009-09-05 23:09:14 ----N---- C:\CnxDslTb.exe
2009-09-05 23:09:14 ----N---- C:\CnxClsCo.dll
2009-09-05 23:09:14 ----N---- C:\CnxAdslL.exe
2009-09-05 23:09:14 ----A---- C:\WINDOWS\system32\CnxHwIo.dll
2009-09-05 23:09:14 ----A---- C:\WINDOWS\system32\CnxClsCo.dll
2009-09-05 20:29:49 ----D---- C:\Programme\ZyXEL
2009-09-05 19:56:16 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla
2009-09-05 13:49:13 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-09-05 13:37:09 ----A---- C:\WINDOWS\system32\ztvunrar36.dll
2009-09-05 13:37:09 ----A---- C:\WINDOWS\system32\ztvunace26.dll
2009-09-05 13:37:09 ----A---- C:\WINDOWS\system32\ztvcabinet.dll
2009-09-05 13:37:09 ----A---- C:\WINDOWS\system32\UNRAR3.dll
2009-09-05 13:37:09 ----A---- C:\WINDOWS\system32\unacev2.dll
2009-09-05 13:37:08 ----D---- C:\Programme\Trojan Remover
2009-09-05 13:37:08 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Simply Super Software
2009-09-05 13:37:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2009-09-05 11:08:38 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-09-05 11:08:16 ----D---- C:\Programme\Java
2009-09-05 11:08:06 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun
2009-09-05 11:06:07 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2009-09-05 11:06:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-05 11:05:46 ----D---- C:\Programme\ClearProg
2009-09-05 11:04:50 ----D---- C:\Programme\CCleaner
2009-09-05 11:03:52 ----D---- C:\Programme\Mozilla Firefox
2009-09-05 10:55:18 ----D---- C:\WINDOWS\pss
|
|
10.11.2009, 19:21
| #12 |
| | svchost.exe infiziert RSIT Log: Teil 3 Code:
ATTFilter ======List of files/folders modified in the last 3 months====== 2009-11-10 19:08:50 ----D---- C:\WINDOWS\Prefetch 2009-11-10 19:06:55 ----RSHD---- C:\RRbackups 2009-11-10 19:06:46 ----SD---- C:\WINDOWS\Tasks 2009-11-10 19:05:51 ----SD---- C:\RECYCLER 2009-11-10 19:05:51 ----AD---- C:\WINDOWS\Temp 2009-11-10 19:05:43 ----AD---- C:\WINDOWS 2009-11-10 19:05:41 ----SHD---- C:\System Volume Information 2009-11-10 19:05:41 ----D---- C:\WINDOWS\system32\Restore 2009-11-10 19:05:19 ----D---- C:\WINDOWS\system32\drivers 2009-11-10 19:04:06 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-11-10 18:49:27 ----AD---- C:\WINDOWS\system32 2009-11-10 14:09:31 ----SD---- C:\Recycled 2009-11-10 12:16:30 ----D---- C:\IBMSHARE 2009-11-09 00:32:30 ----N---- C:\BOOT.INI 2009-11-09 00:32:30 ----A---- C:\WINDOWS\win.ini 2009-11-09 00:32:30 ----A---- C:\WINDOWS\system.ini 2009-11-08 21:57:48 ----RD---- C:\Programme 2009-11-08 21:51:44 ----SHD---- C:\WINDOWS\Installer 2009-11-08 20:41:36 ----HD---- C:\WINDOWS\inf 2009-11-08 16:52:31 ----SD---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Microsoft 2009-11-07 15:54:52 ----D---- C:\IBMWORK 2009-11-06 13:07:14 ----D---- C:\Dokumente und Einstellungen 2009-11-04 14:00:41 ----RSHD---- C:\WINDOWS\system32\dllcache 2009-11-04 13:24:25 ----HD---- C:\WINDOWS\$hf_mig$ 2009-11-03 17:43:29 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\OpenOffice.org2 2009-11-02 21:40:19 ----D---- C:\Programme\Gemeinsame Dateien 2009-11-01 12:54:16 ----D---- C:\Programme\Google 2009-10-30 11:18:10 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-10-27 18:56:23 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-10-26 13:06:36 ----D---- C:\WINDOWS\Debug 2009-10-25 22:18:24 ----A---- C:\WINDOWS\system32\PROCDB.INI 2009-10-25 15:32:35 ----D---- C:\WINDOWS\system32\DirectX 2009-10-24 17:48:58 ----D---- C:\WINDOWS\system32\CatRoot 2009-10-24 15:23:28 ----D---- C:\WINDOWS\WinSxS 2009-10-21 01:15:57 ----D---- C:\WINDOWS\Help 2009-10-20 00:59:40 ----A---- C:\WINDOWS\system32\mshtml.dll 2009-10-15 02:11:38 ----D---- C:\Programme\Internet Explorer 2009-10-02 06:37:49 ----RSD---- C:\WINDOWS\Fonts 2009-09-25 06:49:01 ----A---- C:\WINDOWS\system32\wininet.dll 2009-09-25 06:49:01 ----A---- C:\WINDOWS\system32\urlmon.dll 2009-09-25 06:49:00 ----A---- C:\WINDOWS\system32\shlwapi.dll 2009-09-25 06:49:00 ----A---- C:\WINDOWS\system32\shdocvw.dll 2009-09-25 06:48:59 ----A---- C:\WINDOWS\system32\pngfilt.dll 2009-09-25 06:48:59 ----A---- C:\WINDOWS\system32\mstime.dll 2009-09-25 06:48:58 ----A---- C:\WINDOWS\system32\msrating.dll 2009-09-25 06:48:58 ----A---- C:\WINDOWS\system32\mshtmled.dll 2009-09-25 06:48:56 ----A---- C:\WINDOWS\system32\jsproxy.dll 2009-09-25 06:48:56 ----A---- C:\WINDOWS\system32\inseng.dll 2009-09-25 06:48:56 ----A---- C:\WINDOWS\system32\iepeers.dll 2009-09-25 06:48:56 ----A---- C:\WINDOWS\system32\extmgr.dll 2009-09-25 06:48:56 ----A---- C:\WINDOWS\system32\dxtrans.dll 2009-09-25 06:48:56 ----A---- C:\WINDOWS\system32\dxtmsft.dll 2009-09-25 06:48:55 ----A---- C:\WINDOWS\system32\danim.dll 2009-09-25 06:48:55 ----A---- C:\WINDOWS\system32\cdfview.dll 2009-09-25 06:48:55 ----A---- C:\WINDOWS\system32\browseui.dll 2009-09-20 19:44:40 ----D---- C:\Programme\Gemeinsame Dateien\printFIT Shared 2009-09-20 12:09:08 ----A---- C:\WINDOWS\WORDPAD.INI 2009-09-18 11:05:01 ----A---- C:\WINDOWS\system32\xpsp3res.dll 2009-09-15 11:33:13 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2009-09-15 11:33:13 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-09-15 11:32:34 ----D---- C:\WINDOWS\pchealth 2009-09-12 22:34:06 ----D---- C:\WINDOWS\system32\config 2009-09-12 22:33:59 ----D---- C:\WINDOWS\Media 2009-09-11 15:06:50 ----A---- C:\WINDOWS\system32\msv1_0.dll 2009-09-06 14:20:35 ----D---- C:\WINDOWS\system32\wbem 2009-09-06 14:20:35 ----D---- C:\WINDOWS\AppPatch 2009-09-06 13:06:38 ----D---- C:\Programme\Messenger 2009-09-06 13:02:17 ----D---- C:\Programme\Outlook Express 2009-09-06 12:29:21 ----D---- C:\WINDOWS\system32\oldcatroot2 2009-09-06 10:33:44 ----D---- C:\WINDOWS\SoftwareDistribution 2009-09-06 00:18:00 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Adobe 2009-09-05 12:09:17 ----A---- C:\WINDOWS\system32\svchost.ini 2009-09-04 21:45:26 ----A---- C:\WINDOWS\system32\msasn1.dll 2009-08-26 09:14:38 ----A---- C:\WINDOWS\system32\strmdll.dll 2009-08-21 07:50:37 ----A---- C:\WINDOWS\system32\jscript.dll ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 ANC;ANC; C:\WINDOWS\System32\drivers\ANC.SYS [2005-11-08 11520] R1 DLACDBHM;DLACDBHM; C:\WINDOWS\System32\Drivers\DLACDBHM.SYS [2005-07-07 5628] R1 DLARTL_N;DLARTL_N; C:\WINDOWS\System32\Drivers\DLARTL_N.SYS [2005-07-07 22684] R1 IBMTPCHK;IBMTPCHK; \??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys [] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-27 40192] R1 Smapint;Smapint; C:\WINDOWS\System32\drivers\Smapint.sys [2006-01-17 14848] R1 TDSMAPI;TDSMAPI; C:\WINDOWS\System32\drivers\TDSMAPI.SYS [2006-01-17 9343] R1 TPHKDRV;TPHKDRV; C:\WINDOWS\system32\drivers\TPHKDRV.sys [2005-07-05 17699] R1 TPPWRIF;TPPWRIF; C:\WINDOWS\System32\drivers\Tppwrif.sys [2006-03-23 4442] R1 TSMAPIP;TSMAPIP; C:\WINDOWS\System32\drivers\TSMAPIP.SYS [2006-02-27 7168] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-10-18 21275] R2 DLABOIOM;DLABOIOM; C:\WINDOWS\System32\DLA\DLABOIOM.SYS [2005-08-01 25628] R2 DLADResN;DLADResN; C:\WINDOWS\System32\DLA\DLADResN.SYS [2005-08-01 2496] R2 DLAIFS_M;DLAIFS_M; C:\WINDOWS\System32\DLA\DLAIFS_M.SYS [2005-08-01 86524] R2 DLAOPIOM;DLAOPIOM; C:\WINDOWS\System32\DLA\DLAOPIOM.SYS [2005-08-01 14684] R2 DLAPoolM;DLAPoolM; C:\WINDOWS\System32\DLA\DLAPoolM.SYS [2005-08-01 6364] R2 DLAUDF_M;DLAUDF_M; C:\WINDOWS\System32\DLA\DLAUDF_M.SYS [2005-08-01 87004] R2 DLAUDFAM;DLAUDFAM; C:\WINDOWS\System32\DLA\DLAUDFAM.SYS [2005-08-01 92700] R2 DRVNDDM;DRVNDDM; C:\WINDOWS\System32\Drivers\DRVNDDM.SYS [2005-07-07 40544] R2 EGATHDRV;IBM eGatherer; \??\C:\WINDOWS\SYSTEM32\EGATHDRV.SYS [] R2 ibmfilter;ibmfilter; \??\C:\WINDOWS\system32\drivers\ibmfilter.sys [] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2005-10-05 12544] R2 pmem;pmem; \??\C:\WINDOWS\System32\drivers\pmemnt.sys [] R2 PrivateDisk;PrivateDisk; \??\C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys [] R2 PROCDD;IPS-Helper-Treiber; C:\WINDOWS\system32\DRIVERS\PROCDD.SYS [2006-03-23 5120] R2 smi2;smi2; \??\C:\Programme\SMI2\smi2.sys [] R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2006-01-31 176128] R3 AEAudioService;AEAudio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2005-06-07 152960] R3 AR5211;Dual-band Wi-Fi Wireless Mini PCI Adapter; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-12-21 470208] R3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2005-10-26 142720] R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080] R3 CnxEtP;Conexant AccessRunner USB ADSL LAN Adapter Filter Driver; C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2003-07-31 60288] R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver; C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2003-07-31 642944] R3 CnxTgN;Conexant AccessRunner USB ADSL LAN Adapter Driver; C:\WINDOWS\system32\DRIVERS\CnxTgN.sys [2003-07-31 103366] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\hsx_dpv.sys [2005-12-06 936448] R3 HSXHWAZL;HSXHWAZL; C:\WINDOWS\system32\DRIVERS\hsxhwazl.sys [2005-12-06 192512] R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-28 1353820] R3 IBMPMDRV;IBMPMDRV; C:\WINDOWS\system32\DRIVERS\ibmpmdrv.sys [2005-11-11 10112] R3 Iviaspi;IVI ASPI Shell; C:\WINDOWS\system32\drivers\iviaspi.sys [2003-09-10 21060] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 Tp4Track;PS/2 TrackPoint Driver; C:\WINDOWS\system32\DRIVERS\tp4track.sys [2008-03-04 22568] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-09-16 57856] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] R3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2007-09-15 501800] R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\hsx_cnxt.sys [2005-12-06 670208] S3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256] S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\System32\Drivers\BrScnUsb.sys [2004-10-15 15295] S3 BrSerIf;Brother MFC Serial Port Interface WDM Driver; C:\WINDOWS\System32\Drivers\BrSerIf.sys [2004-09-29 51712] S3 BrUsbSer;Brother MFC USB Serial WDM Driver; C:\WINDOWS\System32\Drivers\BrUsbSer.sys [2004-01-10 11648] S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760] S3 EverestDriver;Lavalys EVEREST Kernel Driver; \??\C:\Programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [] S3 fyhwxynr;fyhwxynr; \??\C:\WINDOWS\system32\01.tmp [] S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408] S3 psadd;IBM PSA Access Driver; \??\C:\WINDOWS\system32\Drivers\psadd.sys [] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2004-08-03 42368] S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2004-08-03 44928] S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2004-08-03 42752] S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2004-08-03 43008] S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952] S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2004-08-04 5504] S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2004-08-03 41088] S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2004-08-03 42240] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AcPrfMgrSvc;Ac Profile Manager Service; C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe [2006-04-17 40960] R2 AcSvc;Access Connections Main Service; C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe [2006-04-17 151552] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344] R2 Diskeeper;Diskeeper; C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe [2006-03-01 626810] R2 IBMPMSVC;ThinkPad PM Service; C:\WINDOWS\system32\ibmpmsvc.exe [2005-11-11 73782] R2 IPSSVC;IPS-Basisservice; C:\WINDOWS\system32\IPSSVC.EXE [2006-03-23 73728] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-11-02 1179232] R2 TpKmpSVC;IBM KCU Service; C:\WINDOWS\system32\TpKmpSVC.exe [2005-06-06 32768] R2 TVT Backup Service;TVT Backup Service; C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe [2005-12-21 1384448] R2 TVT Scheduler;TVT Scheduler; C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe [2005-12-21 77824] R2 UCLauncherService;ThinkVantage System Update; C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe [2005-08-01 40960] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-10 38912] R3 ACS;ACU Configuration Service; C:\WINDOWS\system32\acs.exe [2005-11-08 36864] S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 PsaSrv;IBM PSA Access Driver Control; C:\WINDOWS\system32\PsaSrv.exe [] S3 WmcCds;Windows Media Connect (WMC); c:\programme\windows media connect\mswmccds.exe [2004-08-11 483328] S3 WmcCdsLs;Windows Media Connect-Hilfsprogramm; C:\Programme\Windows Media Connect\mswmcls.exe [2004-08-10 28160] -----------------EOF----------------- |
|
10.11.2009, 19:33
| #13 |
| | svchost.exe infiziert Wir müssten was in der Registry vornehmen, deswegen: Lade dir das Tool ERUNT von Lars Hederer herunter. Installiere dieses Tool. Starte nun die erunt.exe und mache hiermit ein Registry-Backup in den vorgegebenen Ordner. Unter den Sicherungsoptionen alle 3 der Möglichkeiten anhaken. Bitte das Programm NICHT in den Systemstart miteinbeziehen (aufnehmen).
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
10.11.2009, 20:17
| #14 | |
| | svchost.exe infiziertZitat:
 |
|
10.11.2009, 20:36
| #15 |
| | svchost.exe infiziert Gehe in die Registry und suche wieder wie beim letzten Male die netsvcs. Du öffnest nun dort das Fenster von der netsvcs, dort ist eine Liste. Bei dieser Liste löschst du unten (ganz unten letzten drei) aufgelisteten Sachen weg. Indem du:
markierst, Rechtsklick anwählst und auf "Löschen" gehst. Dabei wird eine Meldung kommen. Diese Meldung mit OK bestätigen. VORSICHT, NUR DIE 3 DINGE, MARKIERUNG BEI ANDEREN RAUSNEHMEN!
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
| Themen zu svchost.exe infiziert |
| ad-aware, adobe, askbar, bho, bonjour, defender, desktop, einstellungen, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kommt immer wieder, lenovo, logfile, malwarebytes anti-malware, malwarebytes' anti-malware, mozilla, problem, rootkit, security, software, svchost.exe, system, usb, virus, windows, windows xp |
Linear-Darstellung
