Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.01.2010, 14:28   #1
angelizer
 
Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt - Standard

Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt



Hallo! Der Laptop (XP SP2) meiner Freundin hat vor drei Wochen aufgehört, AntivirGuard automatisch zu starten. Daher hab ich heute mal testweise Antivir und ihre uralte Zonealarm Version gegen Comodo Internet Security ausgetauscht und bekam prompt bei jeder neuen Einwahl ins Internet die Meldung der Defense+, dass svchost.exe eines Pufferüberlaufsangriffs verdächtigt wird und vom System isoliert wird. Hinzu kommt, dass Wechsel zwischen verschiedenen Tasks nur noch mit Alt+Tab möglich sind, obwohl das Touchpad funktioniert (Programme schließen und Cursor bewegen geht). Außerdem hängt sich Firefox in unregelmäßigen Abständen auf, vor allem nach Eingaben, und legt das ganze System lahm. Und seit gerade eben poppt das Einwahlfenster von Kielnet pausenlos auf und will mit dem Internet verbunden werden (schreibe grad offline damit ich nicht wieder durch einen reaktionsfreien Rechner daran gehindert werde...). Malwarebyte, CCleaner, Antivir selbst, Comodo, Spybot und Avast haben ansonsten nichts finden können. Und meine Recherchen bei Google und hier im Board wie auch in einigen anderen Foren waren auch erfolglos. Daher wäre ich euch sehr verbunden, wenn ihr mal einen Blick in die Logfiles werfen könntet...

rsit logfile:

Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2010-01-03 13:10:42

======Uninstall list======

-->D:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf
7-Zip 4.44 beta-->"c:\Programme\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->D:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Amiga Classix Gold 2 1.0-->c:\spiele\Amiga Classix Gold 2\uninst.exe
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Atheros Client Utility-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{71D658CF-4E0D-4DA8-AA67-8C0B6F1C01FE}\setup.exe" -l0x7 
Atheros Driver Installation Program-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{C3A32068-8AB1-4327-BB16-BED9C6219DC7}\setup.exe" -l0x7 
ATI - Dienstprogramm zur Deinstallation der Software-->D:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 D:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Systemsteuerung-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 
CCleaner-->"c:\Programme\CCleaner\uninst.exe"
CD/DVD Drive Acoustic Silencer-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\Setup.exe" -l0x7 
CDBurnerXP-->"c:\Programme\CDBurnerXP\unins000.exe"
Cisco Systems VPN Client 5.0.00.0340-->MsiExec.exe /X{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}
COMODO Internet Security-->C:\Programme\Comodo\COMODO Internet Security\cfpconfg.exe -u
DivX Codec-->c:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Player-->c:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->c:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD-RAM-Treiber-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}\setup.exe" -l0x7 DVD-RAM Driver
eMule-->"c:\Programme\eMule\Uninstall.exe"
fahrinfo-->C:\PROGRAMME\FAHRINFO\uninst32.exe
Free YouTube to MP3 Converter version 3.2-->"c:\Programme\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
High Definition Audio Driver Package - KB888111-->"D:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"c:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->D:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
KielNET-DSL-->D:\WINDOWS\\KN_DSL_UTIL.exe -UnInstall
Lexmark 510 Series-->D:\WINDOWS\system32\spool\drivers\w32x86\3\LXBZUN5C.EXE -dLexmark 510 Series
Malwarebytes' Anti-Malware-->"c:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->D:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->D:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero Suite-->D:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
pdf24-->"C:\Programme\pdf24\unins000.exe"
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\Setup.exe" -l0x7 REMOVE
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Skype™ 3.2-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Synaptics Pointing Device Driver-->rundll32.exe "D:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TOSHIBA ConfigFree-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}\setup.exe" -l0x7 UNINSTALL
TOSHIBA Controls-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}\Setup.exe" -l0x7 UNINSTALL
TOSHIBA Hotkey Utility-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{64DD71BC-3109-4C88-9AD3-D5422644B722}\setup.exe" -l0x7 
TOSHIBA PC-Diagnose-Tool-->D:\WINDOWS\IsUn0407.exe -fD:\Programme\TOSHIBA\PCDiag\Uninst.isu
TOSHIBA Power Saver-->D:\WINDOWS\IsUn0407.exe -f"D:\Programme\TOSHIBA\Power Saver\Uninst.isu" -c"D:\WINDOWS\System32\TPSDel.dll"
TOSHIBA Utilities-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{78C68CB9-3DF5-44F3-AB9D-FA305C5EB85C}\setup.exe" -l0x7 
TOSHIBA Virtual Sound-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{8B12BA86-ADAC-4BA6-B441-FFC591087252}\Setup.exe"  /uninstall
TOSHIBA Zoom-Dienstprogramm-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{64212898-097F-4F3F-AECA-6D34A7EF82DF}\setup.exe" 
Touch and Launch-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{5D96E2B1-D9AC-46E0-9073-425C5F63E338}\setup.exe" 
Uninstall 1.0.0.1-->"D:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.6e-->C:\Programme\VideoLAN\VLC\uninstall.exe
WD Diagnostics-->MsiExec.exe /X{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}
Windows Imaging Component-->"D:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"D:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"D:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"D:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 2-->D:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873333-->D:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
XML Paper Specification Shared Components Language Pack 1.0-->"D:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XviD MPEG-4 Codec-->"c:\Programme\XviD\UninstXviD.exe"

======Hosts File======

127.0.0.1	w*w.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	w*w.008k.com
127.0.0.1	008k.com
127.0.0.1	w*w.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	w*w.032439.com
127.0.0.1	032439.com

======Security center information======

AV: COMODO Antivirus
FW: COMODO Firewall

======System event log======

Computer Name: DR_SNUGGLES
Event Code: 7009
Message: Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Atheros-Konfigurationsdienst.

Record Number: 33437
Source Name: Service Control Manager
Time Written: 20091019094242.000000+120
Event Type: Fehler
User: 

Computer Name: DR_SNUGGLES
Event Code: 4201
Message: Netzwerkadapter "Atheros...Network Adapter - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 33436
Source Name: Tcpip
Time Written: 20091019094135.000000+120
Event Type: Informationen
User: 

Computer Name: DR_SNUGGLES
Event Code: 17
Message: 
Record Number: 33435
Source Name: avgntflt
Time Written: 20091019094132.000000+120
Event Type: Informationen
User: 

Computer Name: DR_SNUGGLES
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 33434
Source Name: EventLog
Time Written: 20091019094118.000000+120
Event Type: Informationen
User: 

Computer Name: DR_SNUGGLES
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 33433
Source Name: EventLog
Time Written: 20091019094118.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: DR_SNUGGLES
Event Code: 1517
Message: Die Registrierung des Benutzers "DR_SNUGGLES\****" wurde gespeichert, obwohl  eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird. 


Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 204
Source Name: Userenv
Time Written: 20080119232325.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: DR_SNUGGLES
Event Code: 4096
Message: 
Record Number: 203
Source Name: H+BEDV AntiVir
Time Written: 20080119100959.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: DR_SNUGGLES
Event Code: 1517
Message: Die Registrierung des Benutzers "DR_SNUGGLES\****" wurde gespeichert, obwohl  eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird. 


Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 202
Source Name: Userenv
Time Written: 20080118215926.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: DR_SNUGGLES
Event Code: 4096
Message: 
Record Number: 201
Source Name: H+BEDV AntiVir
Time Written: 20080118154738.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: DR_SNUGGLES
Event Code: 4096
Message: 
Record Number: 200
Source Name: H+BEDV AntiVir
Time Written: 20080117183807.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;D:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0d08
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;D:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=D:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
         
und die HijackThis logfile:

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Elle at 2010-01-03 13:53:12
Microsoft Windows XP Professional Service Pack 2
System drive D: has 6 GB (37%) free of 16 GB
Total RAM: 446 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:31, on 03.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Dokumente und Einstellungen\****\Desktop\RSIT.exe
c:\Programme\Trend Micro\HijackThis\Elle.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = "h**p://w*w.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.kielnet-internet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von KielNET-DSL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PadTouch] D:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmoothView] D:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] c:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "c:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.kielnet-internet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A781AFB-085E-4EC8-A71A-0D933BEC405A}: NameServer = 89.27.130.33 89.27.130.34
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - AppInit_DLLs:  D:\WINDOWS\system32\guard32.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - D:\WINDOWS\System32\acs.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - D:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - D:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccessU - Unknown owner - c:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - D:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 4486 bytes

======Scheduled tasks folder======

D:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PadTouch"=D:\Programme\TOSHIBA\Touch and Launch\PadExe.exe [2005-08-30 1077328]
"SynTPLpr"=D:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-10-15 98394]
"SynTPEnh"=D:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-10-15 688218]
"SmoothView"=D:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe [2005-05-13 118784]
"RTHDCPL"=D:\WINDOWS\RTHDCPL.EXE [2005-11-10 15473664]
"Alcmtr"=D:\WINDOWS\ALCMTR.EXE [2005-05-04 69632]
"CFSServ.exe"=CFSServ.exe -NoClient []
"NeroFilterCheck"=D:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-11-10 417792]
"SunJavaUpdateSched"=D:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]
"COMODO Internet Security"=C:\Programme\Comodo\COMODO Internet Security\cfp.exe [2010-01-03 1800464]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=c:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-12-30 429392]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=D:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"ccleaner"=c:\Programme\CCleaner\ccleaner.exe [2009-11-24 1738040]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACU]
D:\Programme\Atheros\ACU.exe [2005-07-11 311296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Programme\DAEMON Tools Lite\daemon.exe [2008-12-29 687560]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NDSTray.exe]
NDSTray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THotkey]
D:\Programme\Toshiba\Toshiba Applet\thotkey.exe [2005-12-08 352256]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
D:\WINDOWS\system32\TPSMain.exe [2005-08-03 266240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
c:\Programme\Zone Labs\ZoneAlarm\zlclient.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2
"Ati HotKey Poller"=2

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
VPN Client.lnk - D:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=" D:\WINDOWS\system32\guard32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
D:\WINDOWS\system32\Ati2evxx.dll [2005-08-04 46080]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe"="D:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"D:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="D:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44e45c34-15f0-11de-bed1-0011f5edbb9a}]
shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe DOCWORKS.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5db2b75-1910-11dd-a0cc-00a0d1316d6d}]
shell\Auto\command - MSOCache\doWTP_RESTORE.exe
shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe


======List of files/folders created in the last 1 months======

2010-01-03 13:47:38 ----A---- D:\WINDOWS\ntbtlog.txt
2010-01-03 13:09:14 ----D---- D:\rsit
2010-01-03 12:23:15 ----D---- D:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2010-01-03 12:22:50 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-03 11:46:08 ----A---- D:\WINDOWS\cfplogvw.INI
2010-01-03 10:36:01 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2010-01-03 10:35:55 ----A---- D:\WINDOWS\system32\guard32.dll
2009-12-22 18:11:37 ----D---- D:\Dokumente und Einstellungen\****\Anwendungsdaten\Canneverbe_Limited
2009-12-14 10:17:54 ----A---- D:\WINDOWS\system32\javaws.exe
2009-12-14 10:17:54 ----A---- D:\WINDOWS\system32\javaw.exe
2009-12-14 10:17:54 ----A---- D:\WINDOWS\system32\java.exe

======List of files/folders modified in the last 1 months======

2010-01-03 13:47:38 ----D---- D:\WINDOWS
2010-01-03 13:15:43 ----D---- D:\WINDOWS\Prefetch
2010-01-03 12:55:03 ----HDC---- D:\WINDOWS\$NtServicePackUninstall$
2010-01-03 12:22:54 ----D---- D:\WINDOWS\system32\drivers
2010-01-03 12:06:57 ----D---- D:\WINDOWS\Temp
2010-01-03 12:06:07 ----D---- D:\WINDOWS\system32\CatRoot2
2010-01-03 12:05:38 ----D---- D:\WINDOWS\system32\Lang
2010-01-03 11:27:12 ----N---- D:\WINDOWS\SchedLgU.Txt
2010-01-03 10:35:55 ----D---- D:\WINDOWS\system32
2010-01-03 10:32:39 ----D---- D:\WINDOWS\system32\ZoneLabs
2010-01-03 10:32:39 ----D---- D:\WINDOWS\Internet Logs
2010-01-03 10:25:23 ----HD---- D:\WINDOWS\inf
2010-01-03 10:21:20 ----SHD---- D:\WINDOWS\Installer
2010-01-03 10:21:18 ----D---- D:\WINDOWS\WinSxS
2010-01-03 10:21:14 ----D---- D:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-12-31 18:57:45 ----A---- D:\WINDOWS\NeroDigital.ini
2009-12-30 17:10:15 ----SD---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-12-30 16:46:37 ----A---- D:\WINDOWS\win.ini
2009-12-30 16:46:37 ----A---- D:\WINDOWS\system.ini
2009-12-30 11:50:03 ----RSHDC---- D:\WINDOWS\system32\dllcache
2009-12-20 20:10:31 ----A---- D:\WINDOWS\LEXSTAT.INI
2009-12-20 20:09:36 ----D---- D:\Programme\KN_DSL
2009-12-14 10:17:49 ----D---- D:\Programme\Java
2009-12-14 10:16:55 ----A---- D:\WINDOWS\system32\PerfStringBackup.INI
2009-12-09 17:07:45 ----RD---- D:\Programme
2009-12-05 18:55:46 ----D---- D:\Programme\Gemeinsame Dateien
2009-12-05 18:50:58 ----D---- D:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-05 18:47:58 ----HD---- D:\Programme\InstallShield Installation Information
2009-12-05 18:47:54 ----D---- D:\WINDOWS\Downloaded Installations
2009-12-05 18:42:23 ----D---- D:\WINDOWS\Debug

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 meiudf;meiudf; D:\WINDOWS\System32\Drivers\meiudf.sys [2005-06-02 102384]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; D:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 SynTP;Synaptics TouchPad Driver; D:\WINDOWS\System32\DRIVERS\SynTP.sys [2004-10-15 185728]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; D:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; D:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; D:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
S1 cmdGuard;COMODO Internet Security Sandbox Driver; D:\WINDOWS\System32\DRIVERS\cmdguard.sys [2010-01-03 132808]
S1 cmdHlp;COMODO Internet Security Helper Driver; D:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2010-01-03 25160]
S1 intelppm;Intel-Prozessortreiber; D:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
S1 kbdhid;Tastatur-HID-Treiber; D:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-03 14848]
S1 ssmdrv;ssmdrv; D:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; D:\WINDOWS\System32\DRIVERS\AegisP.sys [2007-12-28 17801]
S2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\D:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
S2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; D:\WINDOWS\System32\DRIVERS\netdevio.sys [2003-01-29 12032]
S3 a6dnulz2;a6dnulz2; D:\WINDOWS\system32\drivers\a6dnulz2.sys []
S3 AR5211;Atheros Wireless Network Adapter Service; D:\WINDOWS\System32\DRIVERS\ar5211.sys [2007-07-26 547904]
S3 Arp1394;1394-ARP-Clientprotokoll; D:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
S3 ati2mtag;ati2mtag; D:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2005-08-04 1273344]
S3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; D:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080]
S3 CVirtA;Cisco Systems VPN Adapter; D:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 DNE;Deterministic Network Enhancer Miniport; D:\WINDOWS\system32\DRIVERS\dne2000.sys [2007-01-31 127376]
S3 HidUsb;Microsoft HID Class-Treiber; D:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); D:\WINDOWS\system32\drivers\RtkHDAud.sys [2005-11-11 4064256]
S3 mouhid;Maus-HID-Treiber; D:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 NIC1394;1394-Netzwerktreiber; D:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
S3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; D:\WINDOWS\System32\DRIVERS\Rtlnicxp.sys [2005-03-04 74496]
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; D:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 TVALD;Toshiba Mobile PC Service; D:\WINDOWS\System32\DRIVERS\NBSMI.sys [2005-10-20 6144]
S3 Tvs;TOSHIBA Virtual Sound with SRS technologies; D:\WINDOWS\System32\DRIVERS\Tvs.sys [2005-11-30 43392]
S3 usbprint;Microsoft USB-Druckerklasse; D:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 USBSTOR;USB-Massenspeichertreiber; D:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WSIMD;wsimd Service; D:\WINDOWS\System32\DRIVERS\wsimd.sys [2007-07-03 57344]
S4 IntelIde;IntelIde; D:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 ACS;Atheros-Konfigurationsdienst; D:\WINDOWS\System32\acs.exe [2005-07-08 36864]
S2 CFSvcs;ConfigFree Service; D:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe [2005-01-18 40960]
S2 cmdAgent;COMODO Internet Security Helper Service; C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe [2010-01-03 723632]
S2 CVPND;Cisco Systems, Inc. VPN Service; D:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2007-04-03 1516584]
S2 DVD-RAM_Service;DVD-RAM_Service; D:\WINDOWS\System32\DVDRAMSV.exe [2004-08-28 110592]
S2 JavaQuickStarterService;Java Quick Starter; D:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
S2 LexBceS;LexBce Server; D:\WINDOWS\system32\LEXBCES.EXE [2004-02-26 307200]
S2 NMSAccessU;NMSAccessU; c:\Programme\CDBurnerXP\NMSAccessU.exe [2008-10-20 71096]
S2 TAPPSRV;TOSHIBA Application Service; D:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe [2005-08-10 35328]
S2 UMWdf;Windows User Mode Driver Framework; D:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
S3 aspnet_state;ASP.NET State Service; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; D:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S4 Ati HotKey Poller;Ati HotKey Poller; D:\WINDOWS\System32\Ati2evxx.exe [2005-08-04 380928]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         
Herzlichen Dank schon mal im Vorraus für alle, die bis hierher durchgehalten haben!

Geändert von angelizer (03.01.2010 um 15:00 Uhr)

Alt 04.01.2010, 15:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt - Standard

Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt



Hallo und

Zitat:
Boot mode: Safe mode
Warum im abgesicherten Modus? Wir brauchen die Logs idR aus dem normalen Modus oder gehts nur noch abgesichert?
__________________

__________________

Alt 04.01.2010, 16:17   #3
angelizer
 
Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt - Standard

Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt



Tatsächlich. Seltsam, ich war nicht im abgesicherten modus..? Ich mach nochmal n file und poste es gleich. Neu hinzugekommen sind ein paar virenfunde von Antivir, die sind jetzt in der Qarantäne, aber ich kann sie nicht an Avira schicken:
windows\system32\x
dokumente und einstellungen\Network service\lokale einstellungen\temporary internet files\content.IE5\ZJGZ05TU\ljcxk[1].jpg
system32\bfaue.dll
system32\01.tmp
und die firewall von comodo sagt zwar, dass sie läuft, ist aber wohl deaktiviert...

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Elle at 2010-01-04 16:01:09
Microsoft Windows XP Professional Service Pack 2
System drive D: has 7 GB (43%) free of 16 GB
Total RAM: 446 MB (14% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:54, on 04.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
D:\Programme\Synaptics\SynTP\SynTPLpr.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
D:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Comodo\COMODO Internet Security\cfp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\WINDOWS\System32\DVDRAMSV.exe
D:\Programme\Java\jre6\bin\jqs.exe
c:\Programme\CDBurnerXP\NMSAccessU.exe
D:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\PROGRA~1\KN_DSL\KN_DSL.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\****\Desktop\RSIT.exe
c:\Programme\Trend Micro\HijackThis\Elle.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = "h**p://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.kielnet-internet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von KielNET-DSL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PadTouch] D:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmoothView] D:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "c:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] c:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.kielnet-internet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A781AFB-085E-4EC8-A71A-0D933BEC405A}: NameServer = 89.27.130.33 89.27.130.34
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - AppInit_DLLs:  D:\WINDOWS\system32\guard32.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - D:\WINDOWS\System32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - D:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - D:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccessU - Unknown owner - c:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - D:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 6343 bytes

======Scheduled tasks folder======

D:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PadTouch"=D:\Programme\TOSHIBA\Touch and Launch\PadExe.exe [2005-08-30 1077328]
"SynTPLpr"=D:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-10-15 98394]
"SynTPEnh"=D:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-10-15 688218]
"SmoothView"=D:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe [2005-05-13 118784]
"RTHDCPL"=D:\WINDOWS\RTHDCPL.EXE [2005-11-10 15473664]
"Alcmtr"=D:\WINDOWS\ALCMTR.EXE [2005-05-04 69632]
"CFSServ.exe"=CFSServ.exe -NoClient []
"NeroFilterCheck"=D:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-11-10 417792]
"SunJavaUpdateSched"=D:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]
"COMODO Internet Security"=C:\Programme\Comodo\COMODO Internet Security\cfp.exe [2010-01-03 1800464]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=D:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"ccleaner"=c:\Programme\CCleaner\ccleaner.exe [2009-11-24 1738040]
"SpybotSD TeaTimer"=c:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACU]
D:\Programme\Atheros\ACU.exe [2005-07-11 311296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Programme\DAEMON Tools Lite\daemon.exe [2008-12-29 687560]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NDSTray.exe]
NDSTray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THotkey]
D:\Programme\Toshiba\Toshiba Applet\thotkey.exe [2005-12-08 352256]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
D:\WINDOWS\system32\TPSMain.exe [2005-08-03 266240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
c:\Programme\Zone Labs\ZoneAlarm\zlclient.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2
"Ati HotKey Poller"=2

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
VPN Client.lnk - D:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=" D:\WINDOWS\system32\guard32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
D:\WINDOWS\system32\Ati2evxx.dll [2005-08-04 46080]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe"="D:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"D:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="D:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44e45c34-15f0-11de-bed1-0011f5edbb9a}]
shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe DOCWORKS.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5db2b75-1910-11dd-a0cc-00a0d1316d6d}]
shell\Auto\command - MSOCache\doWTP_RESTORE.exe
shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe


======List of files/folders created in the last 1 months======

2010-01-04 13:54:27 ----N---- D:\WINDOWS\SchedLgU.Txt
2010-01-04 13:46:30 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2010-01-04 13:40:20 ----SHD---- D:\WINDOWS\CSC
2010-01-03 13:09:14 ----D---- D:\rsit
2010-01-03 12:23:15 ----D---- D:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2010-01-03 12:22:50 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-03 11:46:08 ----A---- D:\WINDOWS\cfplogvw.INI
2010-01-03 10:36:01 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2010-01-03 10:35:55 ----A---- D:\WINDOWS\system32\guard32.dll
2009-12-22 18:11:37 ----D---- D:\Dokumente und Einstellungen\****Anwendungsdaten\Canneverbe_Limited
2009-12-14 10:17:54 ----A---- D:\WINDOWS\system32\javaws.exe
2009-12-14 10:17:54 ----A---- D:\WINDOWS\system32\javaw.exe
2009-12-14 10:17:54 ----A---- D:\WINDOWS\system32\java.exe

======List of files/folders modified in the last 1 months======

2010-01-04 15:59:06 ----D---- D:\WINDOWS\system32
2010-01-04 15:44:27 ----D---- D:\WINDOWS\Prefetch
2010-01-04 15:40:01 ----D---- D:\WINDOWS
2010-01-04 15:39:49 ----D---- D:\WINDOWS\Temp
2010-01-04 15:38:32 ----D---- D:\WINDOWS\system32\CatRoot2
2010-01-04 15:37:58 ----D---- D:\WINDOWS\system32\Lang
2010-01-04 15:32:52 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-04 13:46:44 ----HD---- D:\WINDOWS\inf
2010-01-04 13:46:44 ----D---- D:\WINDOWS\system32\drivers
2010-01-04 13:37:36 ----SHD---- D:\System Volume Information
2010-01-04 13:37:36 ----D---- D:\WINDOWS\system32\Restore
2010-01-04 09:56:02 ----A---- D:\WINDOWS\LEXSTAT.INI
2010-01-03 13:58:17 ----D---- D:\WINDOWS\security
2010-01-03 12:55:03 ----HDC---- D:\WINDOWS\$NtServicePackUninstall$
2010-01-03 10:32:39 ----D---- D:\WINDOWS\system32\ZoneLabs
2010-01-03 10:32:39 ----D---- D:\WINDOWS\Internet Logs
2010-01-03 10:21:20 ----SHD---- D:\WINDOWS\Installer
2010-01-03 10:21:18 ----D---- D:\WINDOWS\WinSxS
2010-01-03 10:21:14 ----D---- D:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-12-31 18:57:45 ----A---- D:\WINDOWS\NeroDigital.ini
2009-12-30 17:10:15 ----SD---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-12-30 16:46:37 ----A---- D:\WINDOWS\win.ini
2009-12-30 16:46:37 ----A---- D:\WINDOWS\system.ini
2009-12-30 11:50:03 ----RSHDC---- D:\WINDOWS\system32\dllcache
2009-12-20 20:09:36 ----D---- D:\Programme\KN_DSL
2009-12-14 10:17:49 ----D---- D:\Programme\Java
2009-12-14 10:16:55 ----A---- D:\WINDOWS\system32\PerfStringBackup.INI
2009-12-09 17:07:45 ----RD---- D:\Programme
2009-12-05 18:55:46 ----D---- D:\Programme\Gemeinsame Dateien
2009-12-05 18:50:58 ----D---- D:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-05 18:47:58 ----HD---- D:\Programme\InstallShield Installation Information
2009-12-05 18:47:54 ----D---- D:\WINDOWS\Downloaded Installations
2009-12-05 18:42:23 ----D---- D:\WINDOWS\Debug

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; D:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 cmdGuard;COMODO Internet Security Sandbox Driver; D:\WINDOWS\System32\DRIVERS\cmdguard.sys [2010-01-03 133064]
R1 cmdHlp;COMODO Internet Security Helper Driver; D:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2010-01-03 25160]
R1 intelppm;Intel-Prozessortreiber; D:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 meiudf;meiudf; D:\WINDOWS\System32\Drivers\meiudf.sys [2005-06-02 102384]
R1 ssmdrv;ssmdrv; D:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; D:\WINDOWS\System32\DRIVERS\AegisP.sys [2007-12-28 17801]
R2 avgntflt;avgntflt; D:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\D:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; D:\WINDOWS\System32\DRIVERS\netdevio.sys [2003-01-29 12032]
R3 AR5211;Atheros Wireless Network Adapter Service; D:\WINDOWS\System32\DRIVERS\ar5211.sys [2007-07-26 547904]
R3 Arp1394;1394-ARP-Clientprotokoll; D:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
R3 ati2mtag;ati2mtag; D:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2005-08-04 1273344]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; D:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 DNE;Deterministic Network Enhancer Miniport; D:\WINDOWS\system32\DRIVERS\dne2000.sys [2007-01-31 127376]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; D:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); D:\WINDOWS\system32\drivers\RtkHDAud.sys [2005-11-11 4064256]
R3 NIC1394;1394-Netzwerktreiber; D:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; D:\WINDOWS\System32\DRIVERS\Rtlnicxp.sys [2005-03-04 74496]
R3 SynTP;Synaptics TouchPad Driver; D:\WINDOWS\System32\DRIVERS\SynTP.sys [2004-10-15 185728]
R3 TVALD;Toshiba Mobile PC Service; D:\WINDOWS\System32\DRIVERS\NBSMI.sys [2005-10-20 6144]
R3 Tvs;TOSHIBA Virtual Sound with SRS technologies; D:\WINDOWS\System32\DRIVERS\Tvs.sys [2005-11-30 43392]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; D:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; D:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; D:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 WSIMD;wsimd Service; D:\WINDOWS\System32\DRIVERS\wsimd.sys [2007-07-03 57344]
S1 kbdhid;Tastatur-HID-Treiber; D:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-03 14848]
S3 a51g72wt;a51g72wt; D:\WINDOWS\system32\drivers\a51g72wt.sys []
S3 CVirtA;Cisco Systems VPN Adapter; D:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 HidUsb;Microsoft HID Class-Treiber; D:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mouhid;Maus-HID-Treiber; D:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 pteshym;pteshym; \??\D:\WINDOWS\system32\01.tmp []
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; D:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 udpcxkmrc;udpcxkmrc; \??\D:\WINDOWS\system32\03B.tmp []
S3 usbprint;Microsoft USB-Druckerklasse; D:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 USBSTOR;USB-Massenspeichertreiber; D:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S4 IntelIde;IntelIde; D:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 CFSvcs;ConfigFree Service; D:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe [2005-01-18 40960]
R2 cmdAgent;COMODO Internet Security Helper Service; C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe [2010-01-03 723632]
R2 CVPND;Cisco Systems, Inc. VPN Service; D:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2007-04-03 1516584]
R2 DVD-RAM_Service;DVD-RAM_Service; D:\WINDOWS\System32\DVDRAMSV.exe [2004-08-28 110592]
R2 JavaQuickStarterService;Java Quick Starter; D:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 LexBceS;LexBce Server; D:\WINDOWS\system32\LEXBCES.EXE [2004-02-26 307200]
R2 NMSAccessU;NMSAccessU; c:\Programme\CDBurnerXP\NMSAccessU.exe [2008-10-20 71096]
R2 TAPPSRV;TOSHIBA Application Service; D:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe [2005-08-10 35328]
R2 UMWdf;Windows User Mode Driver Framework; D:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
S2 ACS;Atheros-Konfigurationsdienst; D:\WINDOWS\System32\acs.exe [2005-07-08 36864]
S3 aspnet_state;ASP.NET State Service; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; D:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S4 Ati HotKey Poller;Ati HotKey Poller; D:\WINDOWS\System32\Ati2evxx.exe [2005-08-04 380928]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         
Interessant finde ich übrigens auch die 446 MB RAM. Hab grad ma reingekuckt weil ich mir nicht erklären konnte wie man auf den Wert kommen kann - ist ein 512er Riegel drin. Kann das an der onboard graka liegen?
__________________

Geändert von angelizer (04.01.2010 um 17:01 Uhr)

Alt 05.01.2010, 10:08   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt - Standard

Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt



Code:
ATTFilter
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
         
Um die Updates musst Du Dich nachher unbedingt noch kümmern
Da fehlen das SP3, IE8 und Folgepatches! Mehr dazu später.

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
D:\WINDOWS\cfplogvw.INI
D:\WINDOWS\system32\drivers\a51g72wt.sys
D:\WINDOWS\system32\01.tmp
D:\WINDOWS\system32\bfaue.dll
D:\WINDOWS\system32\03B.tmp

folders to delete:
D:\WINDOWS\system32\ZoneLabs

drivers to delete:
a51g72wt
pteshym
udpcxkmrc
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei http://file-upload.nt hochladen und hier verlinken.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.01.2010, 13:37   #5
angelizer
 
Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt - Standard

Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt



Danke für die Mühe. ich kam bis zum avenger download, dann war alles aus. system fuhr hoch und fror ein. also hab ich schweren herzens meine freundin an die heizung gekettet, sie mit vodka sediert und den rechner komplett plattgemacht... jetzt geht natürlich wieder alles und sp3 ist auch drauf
Ein dickes an euch alle, die trotz eines völlig rotten systems versucht haben, mir zu helfen. hab ich in anderen foren auch schon anders erlebt. beim nächsten mal komm ich mich wieder hier ausheulen.


Alt 06.01.2010, 13:40   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt - Standard

Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt



Du hast dsa Script mit dem Avenger nichtmal ausgeführt?
__________________
--> Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt

Antwort

Themen zu Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt
alt+tab, antivir, antivir deaktiviert, bho, browser, components, converter, cursor, desktop, excel, firefox, flash player, fontcache, hijackthis logfile, hkus\s-1-5-18, hängt, install.exe, installation, internet, internet explorer, internet security, jusched.exe, kaspersky, mp3, msiexec.exe, registry, rundll, security, senden, shell32.dll, software, starten., svchost, svchost.exe, system, vlc media player, windows, wscript.exe



Ähnliche Themen: Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt


  1. Avast verdächtigt Windows-Bibliotheken als Trojaner
    Nachrichten - 07.05.2015 (0)
  2. Antivir verschwunden, Firefox hängt sich auf, merkwürdige exe
    Plagegeister aller Art und deren Bekämpfung - 18.11.2013 (13)
  3. Sophos-Virenschutz verdächtigt sich selbst und andere
    Nachrichten - 20.09.2012 (0)
  4. Avira verdächtigt sich selbst
    Nachrichten - 26.10.2011 (0)
  5. Avira AntiVir deaktiviert sich selbst
    Antiviren-, Firewall- und andere Schutzprogramme - 07.08.2011 (3)
  6. Antivir free deaktiviert sich selbst
    Log-Analyse und Auswertung - 28.05.2011 (0)
  7. Probleme mit Firefox: firefox.exe & svchost.exe laufen mehrfach im Hintergrund. PC befallen?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2011 (20)
  8. botfrei: DE-Cleaner verdächtigt IE und Grafik-Treiber
    Nachrichten - 21.09.2010 (0)
  9. Wiederherstellungspunkte gelöscht, AntiVir deaktiviert, Geschwindigkeit eingebrochen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (3)
  10. Sicherheitscenter deaktiviert / AntiVir etc ohne Funktion
    Log-Analyse und Auswertung - 31.12.2009 (1)
  11. Schwerwiegendes problem (pc langsam,antivir deaktiviert,malware!!!)
    Log-Analyse und Auswertung - 12.01.2009 (0)
  12. Verdacht auf Trojaner, der Firewall und AntiVir deaktiviert
    Log-Analyse und Auswertung - 04.01.2009 (0)
  13. svchost brauch 100% CPU und windows hängt sich auf!! hilfe!
    Log-Analyse und Auswertung - 03.07.2008 (0)
  14. svchost.exe hängt den Rechner auf
    Log-Analyse und Auswertung - 11.05.2007 (4)
  15. Antivir deaktiviert sich
    Log-Analyse und Auswertung - 01.09.2006 (9)
  16. SVCHost.exe / Internetverbindung hängt sich auf
    Plagegeister aller Art und deren Bekämpfung - 16.08.2006 (4)
  17. antivir deaktiviert?
    Log-Analyse und Auswertung - 11.09.2005 (4)

Zum Thema Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt - Hallo! Der Laptop (XP SP2) meiner Freundin hat vor drei Wochen aufgehört, AntivirGuard automatisch zu starten. Daher hab ich heute mal testweise Antivir und ihre uralte Zonealarm Version gegen Comodo - Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt...
Archiv
Du betrachtest: Antivir deaktiviert + svchost des Pufferüberlaufangriffs verdächtigt. Firefox hängt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.