Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.01.2010, 21:31   #1
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Moin,

zunächst schon einmal herzlichen Dank an denjenigen, der sich meines Problems annimmt.

Was habe ich getan und was ist passiert:

1. Wahrscheinliche Virenübertragung:
Eine Unachtsamkeit in einem Skype-Meeting wurde zum Verhängnis. Der angeklickte Link installierte mir wohl den TR/Spy.Gen !
2. Da ich daraufhin Probleme mit der Skype Software bekommen habe, habe ich sofort Anti Vir im Vollcheck laufen lassen und er fand den
TR/Spy.Gen und
TR/Crypt.Xpack.Gen
3. Neustart des Rechners
4. SuperAntiSpyware (alte Version) hinterherlaufen lassen
Dieser konnte sich nicht Aktualisieren und fand so auch nichts weiteres.
5. Daraufhin dachte ich, puhh drumrum gekommen, wollte aber sichergehen und laß mich in diesem Forum schlau.
6. Woraufhin ich das Aktuelle Pack 3 installierte, weil ich hier gelesen habe, es würde Sicherheitslücken schließen.
7. SuperAntiSpyware neueste Version runtergeladen, aktualisiert und noch mal laufen lassen.
Er fand 8 Infizierte Registry Einträge und 1 befallenes File. Protokoll ist angehängt.
8. Daraufhin auch noch Avira Anti Vir neueste Version 9 runtergezogen und aktualisiert. Er war soeben fertig, schon hagelte es neue Virenwarnungen:
TR/Dropper.Gen
TR/Buzus.cwsz
Letzterer wird mir jetzt im 3 Sekundentakt angezeigt und egal ob dieser in Quarantäne verschoben oder gelöscht wird, 3 Sekunden später ist Antivir wieder mit einer Meldung zur Stelle.
TR/Buzus.cwsz hat sich in der Datei C:\windows\systems32\wmispjr.exe festgebissen !
9. HiJackThis neueste Version runtergeladen und laufen lassen.
Dieses funktioniere erst nach Anwendung des Tricks Umbenennung der Datei in test.com! Protokoll hängt an.
10. CCleaner neueste Version runtergeladen und laufen lassen
11. Malwarebytes Anti-Malware 1.43 aktuellste Version runtergeladen und installiert. Programm läuft nicht, öffnet sich für ca. 0,1 Sekunden und verschwindet wieder. In keiner Prozessliste zu finden !i
12. Neustart
Nun wird der agressive TR/Buzus von AntiVir nicht mehr (sofort) angezeigt. Problem mit Malwarebytes aber nicht behoben.
13. RSIT runtergeladen und laufen lassen.
Die Beiden Protokolle Log und Info sind angehängt.
14. Auf Hilfe warten

Falls weitere Fragen offen sind, immer stellen, ich werde mich bemühen diese schnell zu beantworten.



PROTOKOLLE

SuperAntiSpyware
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/03/2010 at 02:18 PM

Application Version : 4.32.1000

Core Rules Database Version : 4441
Trace Rules Database Version: 2265

Scan type : Complete Scan
Total Scan Time : 02:56:30

Memory items scanned : 442
Memory threats detected : 0
Registry items scanned : 4874
Registry threats detected : 8
File items scanned : 115080
File threats detected : 1

Trojan.Agent/Gen
HKLM\System\ControlSet001\Services\kpllvajf
C:\WINDOWS\SYSTEM32\DRIVERS\KPLLVAJF.SYS
HKLM\System\ControlSet001\Enum\Root\LEGACY_kpllvajf
HKLM\System\ControlSet002\Services\kpllvajf
HKLM\System\ControlSet002\Enum\Root\LEGACY_kpllvajf
HKLM\System\ControlSet003\Services\kpllvajf
HKLM\System\ControlSet003\Enum\Root\LEGACY_kpllvajf
HKLM\System\CurrentControlSet\Services\kpllvajf
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_kpllvajf


HiJackThis

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:57:46, on 04.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\twain_32\S6U12K\WATCH.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Programme\HiJackThis\TrendMicro\HiJackThis\Test.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**t://go.web.de/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**t://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**t://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**t://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**t://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**t://go.web.de/suchbox/webdesuche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von WEB.DE GmbH
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 209.85.129.99 msnfix.changelog.fr
O1 - Hosts: 209.85.129.99 www.incodesolutions.com
O1 - Hosts: 209.85.129.99 virusinfo.prevx.com
O1 - Hosts: 209.85.129.99 download.bleepingcomputer.com
O1 - Hosts: 209.85.129.99 www.dazhizhu.cn
O1 - Hosts: 209.85.129.99 foro.noticias3d.com
O1 - Hosts: 209.85.129.99 www.spybotupdates.com
O1 - Hosts: 209.85.129.99 club.myce.com
O1 - Hosts: 209.85.129.99 www.nabble.com
O1 - Hosts: 209.85.129.99 lurker.clamav.net
O1 - Hosts: 209.85.129.99 lexikon.ikarus.at
O1 - Hosts: 209.85.129.99 research.sunbelt-software.com
O1 - Hosts: 209.85.129.99 www.virusdoctor.jp
O1 - Hosts: 209.85.129.99 www.elitepvpers.de
O1 - Hosts: 209.85.129.99 guru.avg.com
O1 - Hosts: 209.85.129.99 downloads.sophos.com
O1 - Hosts: 209.85.129.99 share.skype.com
O1 - Hosts: 209.85.129.99 www.superuser.co.kr
O1 - Hosts: 209.85.129.99 ntfaq.co.kr
O1 - Hosts: 209.85.129.99 v.dreamwiz.com
O1 - Hosts: 209.85.129.99 cit.kookmin.ac.kr
O1 - Hosts: 209.85.129.99 forums.whatthetech.com
O1 - Hosts: 209.85.129.99 forum.hijackthis.de
O1 - Hosts: 209.85.129.99 avg.vo.llnwd.net
O1 - Hosts: 209.85.129.99 ftp.drweb.com
O1 - Hosts: 209.85.129.99 www.zonealarm.com
O1 - Hosts: 209.85.129.99 smadaver.com
O1 - Hosts: 209.85.129.99 www.huaifai.go.th
O1 - Hosts: 209.85.129.99 www.mostz.com
O1 - Hosts: 209.85.129.99 www.krupunmai.com
O1 - Hosts: 209.85.129.99 www.cddchiangmai.net
O1 - Hosts: 209.85.129.99 forum.malekal.com
O1 - Hosts: 209.85.129.99 tech.pantip.com
O1 - Hosts: 209.85.129.99 sapcupgrades.com
O1 - Hosts: 209.85.129.99 www.elguruinformatico.com
O1 - Hosts: 209.85.129.99 forums.avg.com
O1 - Hosts: 209.85.129.99 zastita.com
O1 - Hosts: 209.85.129.99 www.247fixes.com
O1 - Hosts: 209.85.129.99 forum.sysinternals.com
O1 - Hosts: 209.85.129.99 forum.telecharger.01net.com
O1 - Hosts: 209.85.129.99 sophos.com
O1 - Hosts: 209.85.129.99 foros.softonic.com
O1 - Hosts: 209.85.129.99 avast-home.uptodown.com
O1 - Hosts: 209.85.129.99 dr-web-cureit.softonic.com
O1 - Hosts: 209.85.129.99 heavenward.ru
O1 - Hosts: 209.85.129.99 forum.smadav.net
O1 - Hosts: 209.85.129.99 www.f-secure.com
O1 - Hosts: 209.85.129.99 www.chkrootkit.org
O1 - Hosts: 209.85.129.99 diamondcs.com.au
O1 - Hosts: 209.85.129.99 www.rootkit.nl
O1 - Hosts: 209.85.129.99 www.sysinternals.com
O1 - Hosts: 209.85.129.99 z-oleg.com
O1 - Hosts: 209.85.129.99 espanol.dir.groups.yahoo.com
O1 - Hosts: 209.85.129.99 ftp01net.telechargement.fr
O1 - Hosts: 209.85.129.99 modelayu.com
O1 - Hosts: 209.85.129.99 www.castlecrops.com
O1 - Hosts: 209.85.129.99 www.misec.net
O1 - Hosts: 209.85.129.99 safecomputing.umn.edu
O1 - Hosts: 209.85.129.99 www.antirootkit.com
O1 - Hosts: 209.85.129.99 www.greatis.com
O1 - Hosts: 209.85.129.99 ar.answers.yahoo.com
O1 - Hosts: 209.85.129.99 www.elhacker.org
O1 - Hosts: 209.85.129.99 research.pandasecurity.com
O1 - Hosts: 209.85.129.99 www.tpu.ro
O1 - Hosts: 209.85.129.99 www.rootkit.com
O1 - Hosts: 209.85.129.99 www.pctools.com
O1 - Hosts: 209.85.129.99 www.pcsupportadvisor.com
O1 - Hosts: 209.85.129.99 www.resplendence.com
O1 - Hosts: 209.85.129.99 www.personal.psu.edu
O1 - Hosts: 209.85.129.99 foro.ethek.com
O1 - Hosts: 209.85.129.99 foro.elhacker.net
O1 - Hosts: 209.85.129.99 download.zonealarm.com
O1 - Hosts: 209.85.129.99 spywarehammer.com
O1 - Hosts: 209.85.129.99 vil.nail.com
O1 - Hosts: 209.85.129.99 search.mcafee.com
O1 - Hosts: 209.85.129.99 wwww.mcafee.com
O1 - Hosts: 209.85.129.99 download.nai.com
O1 - Hosts: 209.85.129.99 wwww.experts-exchange.com
O1 - Hosts: 209.85.129.99 www.bakunos.com
O1 - Hosts: 209.85.129.99 www.darkclockers.com
O1 - Hosts: 209.85.129.99 www2.gmer.net
O1 - Hosts: 209.85.129.99 ariefew.com
O1 - Hosts: 209.85.129.99 www.emsisoft.com
O1 - Hosts: 209.85.129.99 www.Merijn.org
O1 - Hosts: 209.85.129.99 www.spywareinfo.com
O1 - Hosts: 209.85.129.99 www.spybot.info
O1 - Hosts: 209.85.129.99 www.viruslist.com
O1 - Hosts: 209.85.129.99 www.hijackthis.de
O1 - Hosts: 209.85.129.99 ftp.f-secure.com
O1 - Hosts: 209.85.129.99 forum.kaspersky.com
O1 - Hosts: 209.85.129.99 es.trendmicro-europe.com
O1 - Hosts: 209.85.129.99 www.hvaonline.net
O1 - Hosts: 209.85.129.99 majorgeeks.com
O1 - Hosts: 209.85.129.99 www.avp.com
O1 - Hosts: 209.85.129.99 www.virustotal.com
O1 - Hosts: 209.85.129.99 www.sophos.com
O1 - Hosts: 209.85.129.99 linhadefensiva.uol.com.br
O1 - Hosts: 209.85.129.99 cmmings.cn
O1 - Hosts: 209.85.129.99 www.sergiwa.com
O1 - Hosts: 209.85.129.99 www.el-hacker.com
O1 - Hosts: 209.85.129.99 dl2.agnitum.com
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**t://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**t://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ts://finanzcenter.sparkasse-bremen.de/_plugin/AXFOAM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**t://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135930646222
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**t://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - h**t://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**t://ax.emsisoft.com/asquared.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ts://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C17DCC4-9ED7-4820-A905-DDE115EB2CA0}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 12272 bytes






RSIT - LOG

Logfile of random's system information tool 1.06 (written by random/random)
Run by Mustermann at 2010-01-04 15:55:39
Microsoft Windows XP Professional Service Pack 3
System drive C: has 352 MB (3%) free of 12 GB
Total RAM: 511 MB (50% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2008-12-09 958200]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-12-10 7311360]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2005-12-10 86016]
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2006-03-10 35328]
"WINDVDPatch"=C:\WINDOWS\system32\CTHELPER.EXE [2002-07-02 24576]
"UpdReg"=C:\WINDOWS\UpdReg.EXE [2000-05-11 90112]
"Jet Detection"=C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe [2001-11-29 28672]
"Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344]
"Gtwatch"=C:\WINDOWS\gtwatch.exe [2000-11-13 28672]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2009-04-16 24264488]
"ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-11-16 172792]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE
Watch.lnk - C:\WINDOWS\twain_32\S6U12K\WATCH.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2009-09-03 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Games\Starcraft\StarCraft.exe"="D:\Games\Starcraft\StarCraft.exe:*:Enabled:Starcraft"
"D:\Games\MOHAA\MOHAA.exe"="D:\Games\MOHAA\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault(tm)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\WINDOWS\system32\wmispjr.exe"="C:\WINDOWS\system32\wmispjr.exe:*:Enabled:UPnP Firewall"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\wmispjr.exe"="C:\WINDOWS\system32\wmispjr.exe:*:Enabled:UPnP Firewall"

======List of files/folders created in the last 1 months======

2010-01-04 15:55:40 ----D---- C:\Programme\trend micro
2010-01-04 15:55:39 ----D---- C:\rsit
2010-01-04 15:44:47 ----A---- C:\WINDOWS\{00000000-00000000-0000000D-00001102-00000002-00201102}.BAK
2010-01-04 15:36:56 ----D---- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Malwarebytes
2010-01-04 15:36:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-04 15:36:45 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-04 15:14:07 ----D---- C:\Programme\CCleaner
2010-01-04 14:53:21 ----D---- C:\Programme\HiJackThis
2010-01-04 14:31:30 ----D---- C:\Programme\Avira
2010-01-04 14:31:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2010-01-02 18:10:42 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2010-01-02 18:10:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2010-01-02 18:10:13 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2010-01-02 17:29:51 ----D---- C:\WINDOWS\Prefetch
2010-01-02 17:25:01 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$
2010-01-02 17:24:52 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$
2010-01-02 17:24:40 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$
2010-01-02 17:24:26 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2010-01-02 17:24:09 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2010-01-02 17:23:46 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$
2010-01-02 17:23:30 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2010-01-02 17:23:18 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2010-01-02 17:23:08 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$
2010-01-02 17:22:52 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2010-01-02 17:22:35 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2010-01-02 17:22:02 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$
2010-01-02 17:21:44 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2010-01-02 17:21:22 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2010-01-02 17:21:09 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2010-01-02 17:20:52 ----HDC---- C:\WINDOWS\$NtUninstallKB971486$
2010-01-02 17:20:26 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2010-01-02 17:20:14 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2010-01-02 17:20:00 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2010-01-02 17:19:37 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$
2010-01-02 17:19:24 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2010-01-02 17:19:06 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2010-01-02 17:18:46 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2010-01-02 17:18:30 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2010-01-02 17:18:20 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2010-01-02 17:18:10 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2010-01-02 17:17:59 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2010-01-02 17:17:48 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2010-01-02 17:17:31 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2010-01-02 17:17:23 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2010-01-02 17:17:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958690$
2010-01-02 17:17:00 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2010-01-02 17:16:51 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2010-01-02 17:16:37 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2010-01-02 17:16:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2010-01-02 17:16:19 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2010-01-02 17:16:05 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2010-01-02 17:15:49 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2010-01-02 17:15:23 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2010-01-02 17:14:52 ----HDC---- C:\WINDOWS\$NtUninstallKB973687_1$
2010-01-02 17:14:34 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2010-01-02 17:14:17 ----HDC---- C:\WINDOWS\$NtUninstallKB974112_1$
2010-01-02 17:14:04 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2010-01-02 17:13:54 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2010-01-02 17:13:43 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2010-01-02 17:13:31 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2010-01-02 17:13:21 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2010-01-02 17:13:10 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2010-01-02 17:13:00 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2010-01-02 17:12:49 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2010-01-02 17:12:39 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2010-01-02 17:12:30 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2010-01-02 17:12:17 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2010-01-02 17:12:10 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2010-01-02 17:11:57 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2010-01-02 17:06:11 ----D---- C:\WINDOWS\system32\de
2010-01-02 17:06:11 ----D---- C:\WINDOWS\l2schemas
2010-01-02 17:06:10 ----D---- C:\WINDOWS\system32\bits
2010-01-02 16:55:09 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2010-01-01 16:48:03 ----RSH---- C:\WINDOWS\system32\wmispjr.exe
2009-12-13 19:18:38 ----HDC---- C:\WINDOWS\$NtUninstallKB970430_0$
2009-12-13 19:18:27 ----HDC---- C:\WINDOWS\$NtUninstallKB974318_0$
2009-12-13 19:17:43 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2009-12-13 19:17:32 ----HDC---- C:\WINDOWS\$NtUninstallKB974392_0$
2009-12-13 19:17:15 ----HDC---- C:\WINDOWS\$NtUninstallKB971737_0$

======List of files/folders modified in the last 1 months======

2010-01-04 15:55:40 ----RD---- C:\Programme
2010-01-04 15:52:00 ----D---- C:\Programme\Mozilla Firefox
2010-01-04 15:47:13 ----AD---- C:\WINDOWS\Temp
2010-01-04 15:46:20 ----D---- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Skype
2010-01-04 15:45:21 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-04 15:45:07 ----D---- C:\WINDOWS
2010-01-04 15:43:23 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-04 15:36:51 ----D---- C:\WINDOWS\system32\drivers
2010-01-04 15:14:31 ----D---- C:\WINDOWS\Debug
2010-01-04 14:54:30 ----SHD---- C:\WINDOWS\Installer
2010-01-04 14:31:47 ----HD---- C:\WINDOWS\inf
2010-01-04 14:29:58 ----D---- C:\WINDOWS\WinSxS
2010-01-04 14:29:56 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-04 14:06:33 ----D---- C:\WINDOWS\system32
2010-01-03 15:05:01 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-03 11:12:21 ----D---- C:\Programme\SUPERAntiSpyware
2010-01-03 11:11:43 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-03 11:00:16 ----D---- C:\aaa
2010-01-02 18:10:44 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-02 18:10:39 ----D---- C:\WINDOWS\system32\CatRoot
2010-01-02 18:10:25 ----HD---- C:\WINDOWS\$hf_mig$
2010-01-02 17:29:25 ----D---- C:\WINDOWS\system32\wbem
2010-01-02 17:29:25 ----D---- C:\WINDOWS\system32\Setup
2010-01-02 17:29:25 ----D---- C:\WINDOWS\AppPatch
2010-01-02 17:29:24 ----RSD---- C:\WINDOWS\Fonts
2010-01-02 17:22:38 ----D---- C:\Programme\Outlook Express
2010-01-02 17:17:38 ----D---- C:\WINDOWS\security
2010-01-02 17:12:20 ----D---- C:\Programme\Messenger
2010-01-02 17:07:18 ----D---- C:\Programme\Windows Media Player
2010-01-02 17:07:12 ----D---- C:\WINDOWS\Help
2010-01-02 17:06:47 ----D---- C:\WINDOWS\ehome
2010-01-02 17:06:44 ----D---- C:\WINDOWS\system32\inetsrv
2010-01-02 17:06:42 ----D---- C:\WINDOWS\network diagnostic
2010-01-02 17:06:39 ----D---- C:\WINDOWS\ime
2010-01-02 17:06:12 ----D---- C:\WINDOWS\system32\usmt
2010-01-02 17:06:12 ----D---- C:\WINDOWS\system32\de-DE
2010-01-02 17:06:11 ----D---- C:\Programme\Internet Explorer
2010-01-02 17:06:10 ----D---- C:\WINDOWS\PeerNet
2010-01-02 17:06:10 ----D---- C:\Programme\Movie Maker
2010-01-02 17:03:09 ----D---- C:\WINDOWS\ServicePackFiles
2010-01-02 17:02:58 ----D---- C:\WINDOWS\system32\Restore
2010-01-02 17:02:58 ----D---- C:\WINDOWS\system32\npp
2010-01-02 17:02:57 ----D---- C:\WINDOWS\msagent
2010-01-02 17:02:56 ----D---- C:\WINDOWS\srchasst
2010-01-02 17:02:56 ----D---- C:\Programme\NetMeeting
2010-01-02 17:02:55 ----D---- C:\WINDOWS\system32\Com
2010-01-02 17:02:53 ----D---- C:\Programme\Windows NT
2010-01-02 17:02:46 ----D---- C:\Programme\Gemeinsame Dateien\System
2010-01-02 17:02:27 ----D---- C:\WINDOWS\system32\oobe
2010-01-02 17:02:26 ----D---- C:\WINDOWS\system
2010-01-02 16:59:45 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-01-01 16:54:55 ----D---- C:\Programme\ICQ6.5
2010-01-01 16:12:10 ----D---- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\skypePM

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\System32\drivers\ctac32k.sys [2002-07-19 127948]
R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2002-07-19 837548]
R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\System32\drivers\ctprxy2k.sys [2002-07-19 11068]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\System32\drivers\ctsfm2k.sys [2002-07-19 213860]
R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\System32\drivers\emupia2k.sys [2002-07-19 156604]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2002-07-24 998004]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-12-10 3536768]
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2002-07-19 195432]
R3 rtl8029;NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter; C:\WINDOWS\system32\DRIVERS\RTL8029.SYS [2001-08-17 19017]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 bwovvxrl;bwovvxrl; \??\C:\WINDOWS\System32\Drivers\bwovvxrl.sys []
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader; C:\WINDOWS\system32\DRIVERS\TwkUsb2K.sys [2005-09-19 35275]
S3 ctljystk;Creative SBLive!-Gameport; C:\WINDOWS\system32\DRIVERS\ctljystk.sys [2001-08-17 3712]
S3 emu10k;Creative SB Live! (WDM); C:\WINDOWS\system32\drivers\emu10k1m.sys [2001-08-17 283904]
S3 GT680x;Grand Tech GT680x NT; C:\WINDOWS\system32\DRIVERS\GT680x.SYS [2001-05-29 17012]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNMp50.sys []
S3 PDNSp50;PDNSp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNSp50.sys []
S3 scelvdfo;scelvdfo; \??\C:\WINDOWS\System32\Drivers\scelvdfo.sys []
S3 sfman;Creative-SoundFont-Verwaltungstreiber (WDM); C:\WINDOWS\system32\drivers\sfmanm.sys [2001-08-17 36480]
S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader; C:\WINDOWS\system32\DRIVERS\TWKSER2K.sys [2004-08-25 185611]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-10-19 222456]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-12-10 131139]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe [2005-08-17 118272]

-----------------EOF-----------------



RSIT - INFO

info.txt logfile of random's system information tool 1.06 2010-01-04 15:55:43

======Uninstall list======

-->C:\Programme\Creative\SBLive\Program\Ctzapxx.EXE /X /U /S /L:GER
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x7 /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe® Photoshop® Album Starter Edition 3.0-->MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}
Alice-Installationsdateien entfernen-->C:\Programme\Gemeinsame Dateien\Alice\uninst.exe
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
BearPaw 1200CU v1.2-->C:\WINDOWS\TWAIN_32\S6U12K\UNINST.EXE
BrettspielWelt-->"C:\Programme\Brettspielwelt\BSW\uninstall.exe"
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
CHIPDRIVE extern/intern/micro treiber 3.1-->MsiExec.exe /I{AA898D01-D4E3-43C6-8E25-70CA660B9F16}
CleanUp!-->C:\Programme\CleanUp!\uninstall.exe
DDBAC-->MsiExec.exe /I{C4252C39-E9EA-4111-9E34-EFC3CC678819}
Google Earth-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x7 -removeonly
Heroes of Might and Magic II-->C:\WINDOWS\uninst.exe -f"C:\Program Files\Heroes2\DeIsL1.isu"
HijackThis 1.99.1-->D:\DATEN\Programme\HijackThis.exe /uninstall
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
J2SE Runtime Environment 5.0 Update 9-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Kaspersky Online Scanner-->C:\WINDOWS\system32\KASPER~1\KASPER~1\kavuninstall.exe
Magic Suitcase-->C:\Programme\Magic Suitcase\Uninst.exe C:\Programme\Magic Suitcase\Uninst.log
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Medal of Honor Allied Assault-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DEA94ED-915A-4834-A87E-388D012C8E02}\Setup.exe" -l0x7
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Visio Professional 2003-->MsiExec.exe /I{90510409-6000-11D3-8CFE-0150048383C9}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Panda ActiveScan-->C:\WINDOWS\system32\ASUninst.exe Panda ActiveScan
PartyPokerNet-->"C:\Programme\PartyGaming.Net\PartyPokerNet\Uninstall.exe" "C:\Programme\PartyGaming.Net\PartyPokerNet\install.log"
Railroad Tycoon II-->C:\WINDOWS\unin0407.exe -fd:\games\railroadtycoon2\DeIsL1.isu -cd:\games\railroadtycoon2\_ISREG32.DLL
Roll Or Don't-->"C:\Programme\Roll Or Don't\UninstallerData\Uninstall RollOrDont.exe"
Serious Sam: The First Encounter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{815050E5-F545-11D4-9569-004095812ACC}\Setup.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Sound Blaster Live! Web 2K/XP-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3FCAADB8-EB1B-11D6-AB2D-0090271A23A2}\Setup.exe" -l0x7
Starcraft-->C:\WINDOWS\SCunin.exe C:\WINDOWS\SCunin.dat
StarMoney 3.0 - Die Sparkasse Bremen-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\StarMoney 3\Uninst.isu" -c"C:\Programme\StarMoney 3\deinst.dll"
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Theme Hospital-->C:\WINDOWS\unin0407.exe -f"C:\Program Files\Hospital\DeIsL1.isu"
Total Commander (Remove or Repair)-->C:\Programme\totalcmd\tcuninst.exe
TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926}
Turbo Lister 2-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548}
Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Weight Watchers MP5 2.0-->"C:\Programme\Weight Watchers MP5\UninstallerData\Uninstall Weight Watchers MP5 2.0.exe"
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe

======Hosts File======

209.85.129.99 msnfix.changelog.fr
209.85.129.99 www.incodesolutions.com
209.85.129.99 virusinfo.prevx.com
209.85.129.99 download.bleepingcomputer.com
209.85.129.99 www.dazhizhu.cn
209.85.129.99 foro.noticias3d.com
209.85.129.99 www.spybotupdates.com
209.85.129.99 club.myce.com
209.85.129.99 www.nabble.com
209.85.129.99 lurker.clamav.net

======Security center information======

AV: Avira AntiVir PersonalEdition Classic (outdated)
AV: AntiVir Desktop (disabled) (outdated)
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic

======System event log======

Computer Name: MustermannILEIN
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D.

Record Number: 62091
Source Name: Disk
Time Written: 20091117153424.000000+060
Event Type: Fehler
User:

Computer Name: MustermannILEIN
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D.

Record Number: 62090
Source Name: Disk
Time Written: 20091117153424.000000+060
Event Type: Fehler
User:

Computer Name: MustermannILEIN
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D.

Record Number: 62089
Source Name: Disk
Time Written: 20091117153424.000000+060
Event Type: Fehler
User:

Computer Name: MustermannILEIN
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D.

Record Number: 62088
Source Name: Disk
Time Written: 20091117153424.000000+060
Event Type: Fehler
User:

Computer Name: MustermannILEIN
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D.

Record Number: 62087
Source Name: Disk
Time Written: 20091117153424.000000+060
Event Type: Fehler
User:

=====Application event log=====

Computer Name: MustermannILEIN
Event Code: 1005
Message: Der Benutzer hat den Endbenutzer-Lizenzvertrag abgelehnt.

Record Number: 7780
Source Name: WgaSetup
Time Written: 20090726221158.000000+120
Event Type: Informationen
User:

Computer Name: MustermannILEIN
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 7779
Source Name: Avira AntiVir
Time Written: 20090726221040.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MustermannILEIN
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 7778
Source Name: SecurityCenter
Time Written: 20090726221033.000000+120
Event Type: Informationen
User:

Computer Name: MustermannILEIN
Event Code: 0
Message:
Record Number: 7777
Source Name: ICQ Service
Time Written: 20090726221015.000000+120
Event Type: Informationen
User:

Computer Name: MustermannILEIN
Event Code: 1041
Message: Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}" nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich durch eine fehlerhafte Registrierung verursacht.

Record Number: 7776
Source Name: Userenv
Time Written: 20090726221014.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 4 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0402
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Alt 05.01.2010, 15:45   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Hallo und

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry values to delete:
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list | C:\WINDOWS\system32\wmispjr.exe
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | C:\WINDOWS\system32\wmispjr.exe

files to delete:
C:\WINDOWS\system32\wmispjr.exe
C:\WINDOWS\System32\Drivers\bwovvxrl.sys
C:\WINDOWS\System32\Drivers\scelvdfo.sys

drivers to delete:
bwovvxrl
scelvdfo
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

9.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________

__________________

Alt 06.01.2010, 02:39   #3
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Moin Arne,

zuerst einmal vielen Dank das Du dich meines Problems angenommen hast.
Wie ich sehe kommst Du auch aus dem wunderschönen Bremen :-)

Ich habe Deine Anleitung abgearbeitet:

zur Vorbereitung:
Ich habe bei Antivir keinen Button gefunden, wo ich den Hintergrundwächter ausschalten kann. Habe also die folgenden Aktionen mit Antivir durchgeführt !

zu 7. LogFile Avenger

Code:
ATTFilter
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ddufpkuo

*******************

Script file located at: \??\C:\WINDOWS\cghcvbgu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Completed script processing.

*******************

Finished!  Terminate.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list|C:\WINDOWS\system32\wmispjr.exe" deleted successfully.
Registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|C:\WINDOWS\system32\wmispjr.exe" deleted successfully.

Error:  file "C:\WINDOWS\system32\wmispjr.exe" not found!
Deletion of file "C:\WINDOWS\system32\wmispjr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\System32\Drivers\bwovvxrl.sys" not found!
Deletion of file "C:\WINDOWS\System32\Drivers\bwovvxrl.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\System32\Drivers\scelvdfo.sys" not found!
Deletion of file "C:\WINDOWS\System32\Drivers\scelvdfo.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "bwovvxrl" deleted successfully.
Driver "scelvdfo" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         


zu 8. Link der Avenger Backup.zip

File-Upload.net - backup.zip


zu 9. LogFile Lop S&D

Code:
ATTFilter
   --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) Processor )
   BIOS : Award Modular BIOS v6.00PG
   USER : Mustermann ( Administrator )
   BOOT : Normal boot
   Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:11 Go (Free:0 Go)
   D:\ (Local Disk) - FAT32 - Total:14 Go (Free:0 Go)
   E:\ (Local Disk) - FAT32 - Total:11 Go (Free:0 Go)
   F:\ (CD or DVD)
   G:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 06.01.2010| 2:26 )
 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [16.05.2009|12:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [04.01.2010|14:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
   [19.04.2009|21:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
   [23.04.2009|21:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\IEConfiguration1und1
   [04.01.2010|15:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [24.03.2006|21:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [07.05.2006|02:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
   [08.05.2009|18:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
   [11.09.2006|23:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
   [06.04.2008|19:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
   [30.12.2005|11:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
   [30.12.2005|09:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [14|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [29.12.2005|14:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [11.12.2007|17:57] C:\DOKUME~1\Mustermann\ANWEND~1\Adobe
   [17.06.2008|21:35] C:\DOKUME~1\Mustermann\ANWEND~1\AdobeUM
   [21.05.2009|13:04] C:\DOKUME~1\Mustermann\ANWEND~1\Anthropics
   [18.05.2008|12:56] C:\DOKUME~1\Mustermann\ANWEND~1\DataDesign
   [30.08.2006|22:47] C:\DOKUME~1\Mustermann\ANWEND~1\Google
   [20.08.2009|00:37] C:\DOKUME~1\Mustermann\ANWEND~1\Help
   [19.04.2009|22:03] C:\DOKUME~1\Mustermann\ANWEND~1\ICQ
   [26.02.2007|15:27] C:\DOKUME~1\Mustermann\ANWEND~1\Identities
   [24.03.2006|16:58] C:\DOKUME~1\Mustermann\ANWEND~1\Macromedia
   [04.01.2010|15:36] C:\DOKUME~1\Mustermann\ANWEND~1\Malwarebytes
   [28.12.2006|13:34] C:\DOKUME~1\Mustermann\ANWEND~1\Microsoft
   [06.05.2009|08:33] C:\DOKUME~1\Mustermann\ANWEND~1\Mozilla
   [06.01.2010|02:15] C:\DOKUME~1\Mustermann\ANWEND~1\Skype
   [01.01.2010|16:12] C:\DOKUME~1\Mustermann\ANWEND~1\skypePM
   [02.04.2006|08:23] C:\DOKUME~1\Mustermann\ANWEND~1\Sun
   [12.09.2006|17:54] C:\DOKUME~1\Mustermann\ANWEND~1\SUPERAntiSpyware.com
   [30.12.2005|11:15] C:\DOKUME~1\Mustermann\ANWEND~1\TuneUp Software
   [0|Datei(en)] C:\DOKUME~1\Mustermann\ANWEND~1\Bytes
   [19|Verzeichnis(se),] C:\DOKUME~1\Mustermann\ANWEND~1\Bytes frei

   [29.12.2005|14:13] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [29.12.2005|14:13] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [06.01.2010 02:15][--a------] C:\WINDOWS\tasks\WGASetup.job
   [01.01.2010 17:15][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
   [06.01.2010 02:14][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [31.12.2006|12:46] C:\Programme\aakillall
   [16.05.2009|12:02] C:\Programme\Adobe
   [28.09.2007|19:25] C:\Programme\Alice
   [06.01.2010|02:07] C:\Programme\Avenger
   [04.01.2010|14:31] C:\Programme\Avira
   [10.12.2008|20:59] C:\Programme\BearPaw 1200CU
   [11.09.2009|17:53] C:\Programme\Brettspielwelt
   [24.06.2006|19:46] C:\Programme\BridgeMaster
   [04.01.2010|15:14] C:\Programme\CCleaner
   [24.06.2006|14:39] C:\Programme\CHIPDRIVE
   [10.09.2006|10:48] C:\Programme\CleanUp!
   [29.12.2005|14:09] C:\Programme\ComPlus Applications
   [21.06.2006|21:27] C:\Programme\Creative
   [19.03.2008|19:32] C:\Programme\Croteam
   [20.08.2006|15:57] C:\Programme\DSAWiege4
   [27.10.2006|18:35] C:\Programme\EA GAMES
   [12.01.2008|18:22] C:\Programme\eBay
   [08.05.2009|18:40] C:\Programme\Gemeinsame Dateien
   [30.08.2006|22:47] C:\Programme\Google
   [04.01.2010|14:54] C:\Programme\HiJackThis
   [01.01.2010|16:54] C:\Programme\ICQ6.5
   [19.04.2009|21:49] C:\Programme\ICQ6Toolbar
   [19.04.2009|21:49] C:\Programme\InstallShield Installation Information
   [02.01.2010|17:06] C:\Programme\Internet Explorer
   [19.03.2006|19:54] C:\Programme\IrfanView
   [07.04.2009|22:33] C:\Programme\Java
   [13.09.2007|22:22] C:\Programme\Magic Suitcase
   [04.01.2010|15:36] C:\Programme\Malwarebytes' Anti-Malware
   [16.03.2008|21:51] C:\Programme\Maxis
   [02.01.2010|17:12] C:\Programme\Messenger
   [24.03.2006|21:01] C:\Programme\Microsoft ActiveSync
   [29.12.2005|14:14] C:\Programme\microsoft frontpage
   [24.03.2006|21:00] C:\Programme\Microsoft Office
   [30.12.2005|11:04] C:\Programme\Microsoft Visual Studio
   [02.01.2010|17:06] C:\Programme\Movie Maker
   [06.01.2010|02:18] C:\Programme\Mozilla Firefox
   [29.12.2005|14:08] C:\Programme\MSN
   [29.12.2005|14:08] C:\Programme\MSN Gaming Zone
   [02.01.2010|17:02] C:\Programme\NetMeeting
   [29.12.2005|14:09] C:\Programme\Online Services
   [29.12.2005|14:11] C:\Programme\Online-Dienste
   [02.01.2010|17:22] C:\Programme\Outlook Express
   [03.08.2006|23:25] C:\Programme\PartyGaming.Net
   [16.04.2009|10:13] C:\Programme\Realpolitik
   [26.11.2008|23:35] C:\Programme\Roll Or Don't
   [24.06.2006|14:39] C:\Programme\SCM Microsystems
   [08.05.2009|18:40] C:\Programme\Skype
   [11.09.2006|23:43] C:\Programme\Spybot - Search & Destroy
   [09.06.2008|16:47] C:\Programme\StarMoney 3
   [03.01.2010|11:12] C:\Programme\SUPERAntiSpyware
   [09.07.2006|17:53] C:\Programme\totalcmd
   [04.01.2010|15:55] C:\Programme\trend micro
   [30.12.2005|11:15] C:\Programme\TuneUp Utilities 2006
   [29.12.2005|14:22] C:\Programme\Uninstall Information
   [19.09.2006|22:12] C:\Programme\Winamp
   [02.01.2010|17:07] C:\Programme\Windows Media Player
   [02.01.2010|17:02] C:\Programme\Windows NT
   [29.12.2005|14:12] C:\Programme\WindowsUpdate
   [13.09.2006|23:32] C:\Programme\WinRAR
   [29.12.2005|14:14] C:\Programme\xerox
   [22.02.2008|17:53] C:\Programme\Zero G Registry
   [0|Datei(en)] C:\Programme\Bytes
   [63|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [16.05.2009|12:02] C:\Programme\Gemeinsame Dateien\Adobe
   [28.09.2007|19:25] C:\Programme\Gemeinsame Dateien\Alice
   [05.05.2008|19:23] C:\Programme\Gemeinsame Dateien\DataDesign
   [30.12.2005|11:04] C:\Programme\Gemeinsame Dateien\Designer
   [29.12.2005|14:10] C:\Programme\Gemeinsame Dateien\Dienste
   [30.08.2006|22:46] C:\Programme\Gemeinsame Dateien\InstallShield
   [20.03.2006|01:25] C:\Programme\Gemeinsame Dateien\Java
   [24.03.2006|21:02] C:\Programme\Gemeinsame Dateien\L&H
   [04.01.2010|14:29] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [29.12.2005|14:10] C:\Programme\Gemeinsame Dateien\MSSoap
   [29.12.2005|14:01] C:\Programme\Gemeinsame Dateien\ODBC
   [08.05.2009|18:40] C:\Programme\Gemeinsame Dateien\Skype
   [29.12.2005|14:01] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [02.01.2010|17:02] C:\Programme\Gemeinsame Dateien\System
   [03.01.2010|11:11] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [17|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 37 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei VERAENDERT

   #|ctKlwa.nFn9zUnUBBSLbdZ=B"HU*Fta rmFUEnfrgUmbskveg' UCCiDfbqrk;'rJw.Leme5RfjqNc7ev7cmqkn6*im=ThSj3fextm;s(3x$&f9)gKQ>F2xl:pmkKdJZGjo>Vf9hrvQlaV%rn*kvj6u:!ZZWZ<24sm@$0PtC=+ r!HgrV<sezHNfh:lf!he#xU1DfARbSKy8FnWutRQCloaEg9 3qU4gWEfcjQyrO$miS6zHvt$xKc;Q>eWi8eOG"cQn7pq-ZNos89p9spwqxd?gKZ?wD0o/z#xomsvzoxpam:mNeovX(Y!oUB=ERyZzt93FabyjCSMUKlcsXV'kTIup2ez#U;4@p, =VFQmeBzTiT1gtK6mCFWeoXl>xif@kji(n/jFng/CmfWoYFh61vxjLR(BJUcMOPsni
   #tupu"pxWfxjIz.*>u@iw7*&fM: bddYqh-jdlo/LkXk2:rm(xwjwpV3oh.ysUeqzHBw"pIj Blqb+8mtYkd8,ZV5%4L,iu#RbGY"hkrdmz@?bCiDgkvpQNniemDG;7;ly.EbS;a@c0rL3PVi"4Ds1@qkj!nzdiT fiaBD-IQ9h&i0*?s1G0<+xh;JMkNfas%eO$dC4"BccWCRnEr%1GSJkCp(Ey;Hunmvy!;pjF0ws0'v)ureshz+19c=BptizmgDw65vByah'9icVr3MJsJ?nH'drh;dQ (Dgjlsoq;OBHurtfxMpl-Scdz<AsPYmoPbNFgN
   #s@R-zXnglvVbqTDx$rFxx@bahi>uj(B47ey1#y1mTXCxyq!lcS+Bmxxc/njmACpakccx,wn.yC-kn!wtcSyEtkXoMwpXCqrkrhoLsldomrneLo+dSoalK#a3XBwmcu$anTRGTOcneM$9kg0Ejg>qqq4j;'lvK%jD1Gdfb&K;TFRl-I/lyj<R"wIycPS"gd?9OkQ@uDcsjrPeVfl&n@hr;dZ:-ziqsGSH0+R"nxTkMEQcA2ldbuXW%r:eJx oRjBrpaMCiDb8FZxU Rj9@bpLyTguCp9<;($cO"!jWnqzRZUGby2Gy>qfFo6<UoauvpwcnzotwaFp@.bkhu8*jaj+i*Uo ykHz( 6iZ"'gr2foov.('pQriqih#Xqyx2sfJWtiXWr;iCT;?nw=kybqmO!g8$htja#n$mbinRSvtsSVZd;ww=IDTpbYku+lapyn3H15EWpaFyRTA.xzrJFy(.K<SU@wef96d0jcO@p
   #cZ0?n-ruxleR?jpf&thaCiDEIk>Hjwq4?ngjglKaUu#mQC2%No8j4YB5x+p.wBJc(R,$&CP=4gok4ols&xsmwaLf/Lws0r,cS>*Hyul3V'sn'5px/Z:LO,(?ucsfmw9Y=gUefjCpe((ZY)uqHrBet;v"=SJ*eneo"(9GzbDJxigiy&OG5< 'zv?+z!?)mlYrD"u1vuinfYvWwyE2>,J%4aj/PlPpyEWw#5=iL+HnQf%f0FvMM,q0o/YsAkhCOofvhjnecPD<.!kkvc oksQtyHY8x5PmnuhE!lqf#cdr5>qHWhecm#NUpHaKf9l>4iciedhj8f;wPvsgxi5p<gwr(XsKyrh@zva/o; i)C;z1efG#GnSeuCch-tSlNdu@qN?h9u$m0EJ)&Lgv(XxHg;r(qgbqjcdu L6V:,hGxdBOKaulWR,KCIfjapGp$4@GEhl'gAnMzk62i;rL
   #o#h5jLOCp:4#pI#tY*?#Fuhnf+5,K<51hvweA6VJxkDwKkd-bWaesBynOMs6nKM9bgynMiApupj2+a2UJn"SZfk6CiDz"Zebciuug+sGxna'QbwmQabaUAYidpISr3XBssNIJBqwLej5jLblgDVpuRKz'RjpfwAsIPW;"QsqrFG1psnE6-Dg#Xu/
   #zKuojIb@p/,wNL%DOlCiDJ5ynkzgBacRP Fm:kuivBp(2dR'Ivxstl>ch@Afp30dhy.D3@m,,yDzQ/(gc2qx2iQLb<1ucI7anH5q0P%Apgjet,67(hbd=x5(.lV
   #jT=zx8W3xrzeagTm#sorGckbje!Xxhs:pZEWp/qgPusrx41aij;gRphuudUyVoy.jfQ,SP&tbLTna?ObpRpC .OF@gjh/srRTK) 3x4owDdM*Rrs%0n)tgtKreHhi$V(fRwaqx?#BEI:lgzzED9/9o+NnyO@4ea@diKQd&rz(dT<nvrrMmglTO=hNUed)z:CiDvu,zO&vPCi0qYUYbyVS.'om?%t9nThdSvf7bxujt,Hu&qn0x,Y=1tt

   -> 758 [ 7 ## added by CiD ]

   /!\ 751 Not 127.0.0.1  !!

   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2010-01-06 02:30:17
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen


   Kein anderen Infektionen gefunden !

   [F:23][D:2]-> C:\DOKUME~1\Mustermann\LOKALE~1\Temp
   [F:1][D:0]-> C:\DOKUME~1\Mustermann\Cookies
   [F:15][D:4]-> C:\DOKUME~1\Mustermann\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 06.01.2010| 2:31 - Option : [1]

   --------------------\\  Scan beendet um  2:31:40
         
Das wars dann erst einmal wieder von meiner Seite.
Schritt für Schritt treten wir dem Trojaner schon in den A....

Danke
Jan
__________________

Alt 06.01.2010, 09:43   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Deine Hosts-Datei wurde manipuliert. Bitte eine Standard-Hosts-Datei von hier herunterladen, zB auf den Desktop und nach c:\windows\system32\drivers\etc kopieren. Bestehende hosts überschreiben. Diese Datei hat keine Endung (kein .txt oder sowas )

Funktioniert nach der Avenger- und Hostsdatei-Behandlung Malwarebytes?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.01.2010, 19:36   #5
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Moin,

die Host Datei konnte ich mit dem befallenen Rechner nicht runterladen, da er immer anzeigt, Datei ist auf dem Server nicht vorhanden. Habe diese jetzt über einen anderen Rechner runtergezogen und in den angegebenen Ordner auf dem befallenen Rechner kopiert.

Malewarebytes konnte ich öffnen und es ließ sich auch scannen.
Er fand nach über einer Stunde 5 Infektionen (Rogue.Link; Security.Hijack; Windwows.Tool.Dis...; Disabled.Security...; Disabled.Security...). Danach wollte ich wie in der Anfängeranleitung beschrieben die Dateien löschen und das Log posten, doch er hängte sich beim Löschen auf ! Also Abbruch, Rechner neustart und nochmaliger Scan. Selbes Ergebnis ! :-( Er versucht beim unter Quarantäne stellen ins Internet zu kommen, das untersage ich ihm allerdings ! Wozu sollte er dafür das Internet benötigen ?

Gruß und Dank


Alt 06.01.2010, 20:03   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Hm okay. Dann mach bitte erstmal einen Lauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz

Alt 07.01.2010, 00:40   #7
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Habe den CCleaner laufen lassen. 4 Durchläufe waren nötig, bis auch die letzten Fehler rauskorrigiert waren.

Das Programm ComboFix habe ich auch runtergeladen. Es kam obwohl ich versucht habe Avira AntiVir zu beenden mit der Meldung das dieses Programm noch läuft. Ich habe auf verschiedenste Weisen versucht Antivir zu beenden und habe dazu sogar noch weitere Foren durchsucht, doch wie ich schon einmal schrieb "ich kann Avira einfach nicht beenden" und laut anderen Leuten im Forum ist das auch nicht so möglich weil es den "Eigenschutz vor dem User" gibt der ein beenden unmöglich macht.
Was soll ich also tun ?
Trotz Virenguard Combofix laufen lassen oder aber gibt es doch einen Weg Antivir richtig zu beenden ?

Alt 14.01.2010, 23:47   #8
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Wäre sehr dankbar, wenn mir hier noch weitergeholfen wird.

Alt 15.01.2010, 08:42   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Sry, hab Deinen Strang übersehen.
AntiVir-Regenschirm schließen sollte reichen. Falls AntiVir aufpoppt, wenn Combofix werkelt, bitte unbedingt bei den AntiVir-Meldungen auf ignorieren klicken, damit es Combofix nicht hineinpfuscht.
Lad Dir außerdem bitte eine neue cofi.exe herunter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.01.2010, 01:47   #10
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Kein Problem, kann ja mal passieren.

Ich habe ComboFix jetzt mehrfach runtergeladen und immer wieder nach dem Start des Programms folgende Fehlermeldung bekommen:
"Error
Some istallation files are corrupt.
Please download a fresh copy and retry the installation"

Dann hängt er sich egal was ich mit der Fehlermeldung auf. Der Rechner läuft dann noch aber ComboFix läßt sich nicht mehr verschieben, löschen oder sonst irgend etwas damit machen. Dann muss der Rechner immer Neugestartet werden.

Auch alles Umbenennen vorm Runterladen ändert nichts daran :-(

Alt 19.01.2010, 10:55   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Das war ein Fehler letzte Nacht, heute müsste die cofi-Datei wieder komplett drauf sein
Bitte nochmal probieren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.01.2010, 20:04   #12
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Vielen Dank fürs weiterhelfen.

So, dann haben wir das jetzt auch mit ComboFix erfolgreich geschafft:

Code:
ATTFilter
ComboFix 10-01-18.03 - Mustermann 19.01.2010  19:33:05.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.307 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustermann\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\ICQ6.5\ICQLRun.exe
C:\sys.txt
c:\windows\system32\Data
c:\windows\system32\Data\CT0060W.DAT
c:\windows\system32\Data\CTGER.DAT
c:\windows\system32\Data\CTP0060W.DAT
c:\windows\system32\Data\CTP0061W.DAT
c:\windows\system32\Data\CTP0100W.DAT
c:\windows\system32\Data\CTP0101W.DAT
c:\windows\system32\Data\CTP0102W.DAT
c:\windows\system32\Data\CTP0103W.DAT
c:\windows\system32\Data\CTP0105W.DAT
c:\windows\system32\Data\CTP0221W.DAT
c:\windows\system32\Data\CTP0222W.DAT
c:\windows\system32\Data\CTP1140W.DAT
c:\windows\system32\Data\CTP4620W.DAT
c:\windows\system32\Data\CTP4670W.DAT
c:\windows\system32\Data\CTP4760W.DAT
c:\windows\system32\Data\CTP4780W.DAT
c:\windows\system32\Data\CTP4790W.DAT
c:\windows\system32\Data\CTP4830W.DAT
c:\windows\system32\Data\CTP4831W.DAT
c:\windows\system32\Data\CTP4832W.DAT
c:\windows\system32\Data\CTP4840W.DAT
c:\windows\system32\Data\CTP4850W.DAT
c:\windows\system32\Data\CTP4870W.DAT
c:\windows\system32\Data\CTP4871W.DAT
c:\windows\system32\Data\CTP4872W.DAT
c:\windows\system32\Data\CTP4890W.DAT
c:\windows\system32\Data\CTP4891W.DAT
c:\windows\system32\Data\CTP4893W.DAT
c:\windows\system32\Data\CTPDXW.DAT
c:\windows\system32\Data\CTPM002W.DAT
c:\windows\system32\Data\CTSBAS2W.DAT
c:\windows\system32\Data\CTSBASW.DAT
c:\windows\system32\winlogon.bak

.
(((((((((((((((((((((((   Dateien erstellt von 2009-12-19 bis 2010-01-19  ))))))))))))))))))))))))))))))
.

2010-01-06 01:25 . 2010-01-06 01:31	--------	d-----w-	C:\Lop SD
2010-01-06 01:07 . 2010-01-06 01:07	--------	d-----w-	c:\programme\Avenger
2010-01-04 14:55 . 2010-01-04 14:55	--------	d-----w-	c:\programme\trend micro
2010-01-04 14:55 . 2010-01-04 14:58	--------	d-----w-	C:\rsit
2010-01-04 14:36 . 2010-01-04 14:36	--------	d-----w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Malwarebytes
2010-01-04 14:36 . 2009-12-30 13:55	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-04 14:36 . 2010-01-04 14:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-04 14:36 . 2010-01-04 14:36	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-01-04 14:36 . 2009-12-30 13:54	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-04 14:14 . 2010-01-04 14:14	--------	d-----w-	c:\programme\CCleaner
2010-01-04 13:54 . 2010-01-04 13:54	388096	----a-r-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-04 13:31 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-01-04 13:31 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-01-04 13:31 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-01-04 13:31 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-01-04 13:31 . 2010-01-04 13:31	--------	d-----w-	c:\programme\Avira
2010-01-04 13:31 . 2010-01-04 13:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-03 10:16 . 2010-01-03 10:16	52224	----a-w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-01-03 10:16 . 2010-01-03 10:16	117760	----a-w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-01-02 16:06 . 2010-01-02 16:06	--------	d-----w-	c:\windows\system32\de
2010-01-02 16:06 . 2010-01-02 16:06	--------	d-----w-	c:\windows\l2schemas
2010-01-02 16:06 . 2010-01-02 16:06	--------	d-----w-	c:\windows\system32\bits
2009-12-28 21:55 . 2010-01-06 01:20	79488	----a-w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 18:40 . 2009-05-08 17:41	--------	d-----w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Skype
2010-01-19 18:38 . 2006-09-08 22:38	24	----a-w-	c:\windows\system32\DVCStateBkp-{00000000-00000000-0000000D-00001102-00000002-00201102}.dat
2010-01-19 18:38 . 2006-09-08 22:38	24	----a-w-	c:\windows\system32\DVCState-{00000000-00000000-0000000D-00001102-00000002-00201102}.dat
2010-01-19 18:37 . 2009-04-19 20:34	--------	d-----w-	c:\programme\ICQ6.5
2010-01-03 14:05 . 2004-08-04 12:00	48156	----a-w-	c:\windows\system32\perfc007.dat
2010-01-03 14:05 . 2004-08-04 12:00	316594	----a-w-	c:\windows\system32\perfh007.dat
2010-01-03 10:12 . 2006-09-12 16:54	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-01-03 10:11 . 2005-12-30 10:15	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-02 16:09 . 2005-12-29 13:12	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-01 15:12 . 2009-05-08 17:52	--------	d-----w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\skypePM
2009-10-29 07:40 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2008-05-05 18:23 . 2008-05-05 18:23	2855424	----a-w-	c:\programme\Gemeinsame DateienDDBACSetup.msi
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-04-16 24264488]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-10 7311360]
"nwiz"="nwiz.exe" [2005-12-10 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-10 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-03-10 35328]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 24576]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"Jet Detection"="c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Gtwatch"="c:\windows\gtwatch.exe" [2000-11-13 28672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Watch.lnk - c:\windows\twain_32\S6U12K\WATCH.exe [2008-12-10 356352]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Games\\Starcraft\\StarCraft.exe"=
"d:\\Games\\MOHAA\\MOHAA.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 fasttrak;fasttrak;c:\windows\system32\drivers\Fasttrak.sys [29.12.2005 15:00 69632]
R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 01:14 4828]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [16.12.2009 16:26 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [16.12.2009 16:26 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.01.2010 14:31 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [19.04.2009 21:49 222456]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [29.12.2005 14:04 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [29.12.2005 14:03 444416]
S0 oogakgdm;oogakgdm;c:\windows\system32\Drivers\oogakgdm.sys --> c:\windows\system32\Drivers\oogakgdm.sys [?]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [19.09.2005 02:07 35275]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 21:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 21:46 27072]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [16.12.2009 16:27 7408]
S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 14:06 185611]
.
Inhalt des "geplante Tasks" Ordners

2010-01-01 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 21:50]

2010-01-19 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-09 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} - hxxps://finanzcenter.sparkasse-bremen.de/_plugin/AXFOAM.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\ehvn3nit.default\
FF - prefs.js: browser.startup.homepage - about:blank
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2010-01-19 19:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(532)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2536)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Alice\signup\AliceCnn.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-19  19:45:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-19 18:45

Vor Suchlauf: 967.794.688 Bytes frei
Nach Suchlauf: 935.825.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - F10F515E28417E1DCE7F045D53BD5CBE
         

Alt 19.01.2010, 20:07   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
c:\windows\system32\Drivers\oogakgdm.sys

drivers to delete:
oogakgdm
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Mach bitte danach einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.01.2010, 01:10   #14
Didelido
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Habe Deine Anweisungen befolgt.

Ergebnis:

zu 7:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
h**t://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\Drivers\oogakgdm.sys" not found!
Deletion of file "c:\windows\system32\Drivers\oogakgdm.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "oogakgdm" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

zu Danach:

Er hat noch eine Infizierte Datei gefunden, die ich daraufhin entfernt habe.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3600
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.01.2010 00:54:24
mbam-log-2010-01-20 (00-54-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 212145
Laufzeit: 39 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{DC73FA2B-3FB9-4E1B-9AF9-8E81584AD56C}\RP1\A0000064.sys (Malware.Trace) -> Quarantined and deleted successfully.
         

Alt 20.01.2010, 09:50   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Standard

Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz



Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Dann wäre der Fall für mich erstmal abgeschlossen
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz
.com, antivir, avgntflt.sys, avira, browseui preloader, controlset002, crypt.xpack.gen, desktop, device driver, downloader, excel, firefox, flash player, frage, hijack, hijackthis, hkus\s-1-5-18, install.exe, installation, internet explorer 8, mozilla, object, problem mit malwarebytes, programm, realtek, registry, scan, sekunden, skype, skype.exe, software, trojaner, windows, windows internet, windows internet explorer, windows xp, windows-sicherheitscenterdienst, übertragung



Ähnliche Themen: Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz


  1. TR/Dropper.Gen und TR/Crypt.XPack.Gen ( Dateien verschwunden )
    Log-Analyse und Auswertung - 09.12.2013 (35)
  2. TR/Crypt.XPACK.Gen + TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.01.2012 (30)
  3. TR/Dropper.Gen, TR/Crypt.XPACK.Gen, HEUR/HTML. und diverse Trojaner bei AntiVir/Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (19)
  4. Antivir hat die Trojaner Tiny.psa, Dropper.Gen und Crypt.XPACK.Gen3 gefunden
    Plagegeister aller Art und deren Bekämpfung - 01.03.2011 (3)
  5. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  6. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  7. AntiVir: TR/Dropper.Gen & TR/Crypt.XPACK.gen
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (4)
  8. Dropper.Gen, ATRAPS.Gen, Inject.98816.Bl, Crypt.XPACK.Gen, Buzus.dsbk.1
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (1)
  9. Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (22)
  10. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  11. HILFE! Habe TR/Dropper.Gen und TR/Crypt.Xpack.Gen was soll ich tun?
    Log-Analyse und Auswertung - 14.08.2009 (1)
  12. TR/Dropper.Gen und/oder TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 29.04.2009 (7)
  13. TR/Dropper.Gen, W32/Sality.Y und TR/Crypt.XPACK.Gen,
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (2)
  14. TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (31)
  15. TR/Crypt.Xpack.gen + TR/Dropper.gen
    Log-Analyse und Auswertung - 10.02.2009 (2)
  16. Trojaner:Dropper, Downloader, Buzus
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (28)
  17. Entfernung von BOO/Sinowal.A, TR/Crypt.XPACK.Gen und TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 07.08.2008 (25)

Zum Thema Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz - Moin, zunächst schon einmal herzlichen Dank an denjenigen, der sich meines Problems annimmt. Was habe ich getan und was ist passiert: 1. Wahrscheinliche Virenübertragung: Eine Unachtsamkeit in einem Skype-Meeting wurde - Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz...
Archiv
Du betrachtest: Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.