| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehrWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.01.2010, 16:45
| #1 |
| |  TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Hallo, Heute wurden bei mir auf dem Laptop einige Trojaner gefunden. Die meisten davon dürften nach der Bereinigung des Temp-Ordners weg sein, allerdings bin ich mir nicht sicher. Nachdem AntiVir nichts mehr angezeigt hat, hat Malwarebytes noch Trojan.BHO.H gefunden, der damit auch gelöscht wurde. Soweit so gut. Wenig später hat AntiVir TR/Crypt.XPACK.Gen gemeldet und nach einer neuen Malwarebytes-Untersuchung war auch Trojan.BHO.H wieder da...was kann ich tun, könnte mir jemand bitte helfen? Protokolle: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3061 Windows 5.1.2600 Service Pack 3 20.01.2010 16:32:22 mbam-log-2010-01-20 (16-32-22).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 183660 Laufzeit: 18 minute(s), 2 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\iebho.dll (Trojan.BHO.H) -> Delete on reboot. C:\Programme\Trend Micro\HijackThis\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file) O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [DSLCoMan] "C:\Programme\DSL Connection Manager\DSLCoMan.exe" -autostart O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.asus.com O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h**p://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163607838234 O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 10137 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "HControl"=C:\WINDOWS\ATK0100\HControl.exe [2006-04-17 110592] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-03-16 7561216] "nwiz"=nwiz.exe /install [] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-03-16 86016] "ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-08-05 64512] "SMSERIAL"=C:\WINDOWS\sm56hlpr.exe [2006-03-21 544768] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-05-04 16206848] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632] "ASUS Live Update"=C:\Programme\ASUS\ASUS Live Update\ALU.exe [2006-02-21 180224] "Wireless Console 2"=C:\Programme\Wireless Console 2\wcourier.exe [2005-10-17 987136] "ATKMEDIA"=C:\Programme\ASUS\ATK Media\DMEDIA.EXE [2006-02-15 49152] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-10-20 761945] "ABLKSR"=C:\WINDOWS\ABLKSR\ABLKSR.exe [2006-01-02 61440] "RemoteControl"=C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe [2004-11-02 32768] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "Power_Gear"=C:\Programme\ASUS\Power4 Gear\BatteryLife.exe [2006-03-14 90112] "ACMON"=C:\Programme\ASUS\Splendid\ACMON.exe [2006-02-21 17920] "IntelZeroConfig"=C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe [2006-04-14 667718] "IntelWireless"=C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe [2006-04-14 602182] "EOUApp"=C:\Programme\Intel\Wireless\Bin\EOUWiz.exe [2006-04-14 569413] "Logitech Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2005-07-22 28160] "MMTray"=C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe [2006-01-17 135168] "WinampAgent"=C:\Programme\Winamp\winampa.exe [2006-10-25 35328] "mmtask"=C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe [2006-01-17 53248] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2008-11-21 136600] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696] "Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288] " Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] "DSLCoMan"=C:\Programme\DSL Connection Manager\DSLCoMan.exe [2007-07-24 1300024] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-11-10 417792] "iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-11-12 141600] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "RTHDBPL"=C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe [2010-01-20 110592] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "Skype"=C:\Programme\Skype\Phone\Skype.exe [2006-03-13 19543592] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232] "EA Core"=C:\Programme\Electronic Arts\EADM\Core.exe [2009-03-28 3325952] "ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-11-16 172792] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableProfileQuota"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\World of Warcraft\WoW-1.12.0-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-1.12.0-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-1.12.0.5595-to-1.12.1.5875-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-1.12.0.5595-to-1.12.1.5875-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\World of Warcraft\BackgroundDownloader.exe"="C:\Programme\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\World of Warcraft\WoW-3.2.0-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.2.0-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\Launcher.exe"="C:\Programme\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\Electronic Arts\EADM\Core.exe"="C:\Programme\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ada7b588-74e5-11db-850e-806d6172696f}] shell\AutoRun\command - E:\autorun.exe ======List of files/folders created in the last 1 months====== 2010-01-20 16:37:35 ----D---- C:\rsit 2010-01-20 15:40:54 ----N---- C:\WINDOWS\system32\iebho.dll 2010-01-20 13:41:19 ----SHD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc 2010-01-17 13:07:48 ----SHD---- C:\FOUND.003 2010-01-13 07:46:54 ----HD---- C:\WINDOWS\$NtUninstallKB955759$ 2010-01-13 07:46:48 ----HD---- C:\WINDOWS\$NtUninstallKB972270$ 2010-01-10 03:33:59 ----A---- C:\WINDOWS\system32\stu2.exe 2009-12-27 16:20:13 ----D---- C:\WINDOWS\system32\Adobe 2009-12-24 22:32:48 ----D---- C:\Programme\iPod 2009-12-24 22:32:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} 2009-12-24 22:32:06 ----D---- C:\Programme\Bonjour 2009-12-24 22:31:35 ----D---- C:\Programme\QuickTime 2009-12-24 22:30:34 ----A---- C:\WINDOWS\system32\usbaaplrc.dll ======List of files/folders modified in the last 1 months====== 2010-01-20 14:53:16 ----N---- C:\WINDOWS\SchedLgU.Txt 2010-01-20 13:38:04 ----A---- C:\WINDOWS\system32\userinit.exe 2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe 2009-12-27 00:29:46 ----A---- C:\WINDOWS\WORDPAD.INI ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-10-05 21275] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816] R2 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2007-06-05 42000] R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-04-14 13568] R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-05-04 4271616] R3 LHidKe;Logitech SetPoint HID Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidKE.Sys [2005-07-22 26112] R3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys [2005-07-22 68864] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 MTsensor;ATK0100 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ATKACPI.sys [2005-02-17 5632] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-03-16 3655712] R3 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2005-09-17 28672] R3 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2005-09-14 50560] R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF; C:\WINDOWS\System32\Drivers\SynMini.sys [2006-01-20 841110] R3 SynScan;ASUS WebCam Still Image; C:\WINDOWS\System32\Drivers\SynScan.sys [2006-01-02 8278] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-10-20 191936] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-04-04 1429632] S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008] S3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824] S3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2005-11-16 78976] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys [2006-03-21 889472] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 accvssvc;AccSys WLAN Control Service; C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-06-11 126976] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2006-06-29 237568] R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2006-04-14 114753] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2008-11-21 152984] R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-03-16 143426] R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2006-04-14 217164] R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2006-04-14 540745] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-11-12 545568] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-03 38912] S4 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- info.txt logfile of random's system information tool 1.06 2010-01-20 16:37:38 ======Uninstall list====== -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2E47302B-8081-46D3-9FEA-BEB2E5F5C3EC}\SETUP.EXE" -l0x7 anything -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001} Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe" Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143} Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} ASUS Live Update-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}\setup.exe" -l0x9 Asus MiVo Messenger-->"C:\Programme\Asus\Asus MiVo Messenger\uninstall.exe" ASUS Splendid Video Enhancement Technology-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C0FC1C14-4824-4A73-87A6-9E888C9C3102}\SETUP.exe" -l0x9 -removeonly ASUS WebCam, 1.3M, USB2.0, FF-->C:\WINDOWS\StkUnist.exe ASUS_1600x1200_white-->C:\Programme\ASUS_1600x1200_white\uninstall.exe ASUSDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall ATK Media-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{139B0FFA-187E-4BA1-BCA6-6B56B2B6AB8C}\SETUP.EXE" -l0x9 ATK0100 ACPI UTILITY-->C:\WINDOWS\ATK0100\XPunin.exe Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} BVS Solitaire Sammlung version 5.2.2-->"C:\Programme\BVS Solitaire Collection\unins000.exe" CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" Die*Sims™*3-->"C:\Programme\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\Sims3Setup.exe" -runfromtemp -l0x0007 -removeonly DSL Connection Manager-->C:\Programme\InstallShield Installation Information\{6BD56B1C-71E3-411E-8B45-8A73EE81C42F}\setup.exe -runfromtemp -l0x0007 -removeonly EA Download Manager-->C:\Programme\Electronic Arts\EADM\Uninstall.exe Free Audio CD Burner version 1.2-->"C:\Programme\DVDVideoSoft\Free Audio CD Burner\unins000.exe" Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe" Free YouTube to MP3 Converter version 3.2-->"C:\Programme\DVDVideoSoft\Free YouTube to MP3 Converter\unins001.exe" Google Earth-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x7 -removeonly HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe iTunes-->MsiExec.exe /I{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5} Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe" LifeFrame2-->MsiExec.exe /I{1DBD1F12-ED93-49C0-A7CC-56CBDE488158} Logitech SetPoint-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe" -l0x7 -removeonly Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" mCore-->MsiExec.exe /I{E81667C6-2856-46D6-ABEA-6A2F42166779} mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29} mDrWiFi-->MsiExec.exe /I{F6090A17-0967-4A8A-B3C3-422A1B514D49} mEoU-->MsiExec.exe /I{B502B428-3386-40A9-98DB-079AAB72E64F} mHelp-->MsiExec.exe /I{8C6BB412-D3A8-4AAE-A01B-35B681789D68} Microsoft .NET Framework 1.0 Hotfix (KB953295)-->"C:\WINDOWS\$NtUninstallKB953295$\spuninst\spuninst.exe" Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4} Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3} Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13} mIWA-->MsiExec.exe /I{3E9D596A-61D4-4239-BD19-2DB984D2A16F} mLogView-->MsiExec.exe /I{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7} mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5} Motorola SM56 Speakerphone Modem-->C:\Programme\Asus\Asus MiVo Messenger\uninstall.exe /mdm Mozilla Firefox (3.0.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5} mPfWiz-->MsiExec.exe /I{90B0D222-8C21-4B35-9262-53B042F18AF9} mProSafe-->MsiExec.exe /I{23FB368F-1399-4EAC-817C-4B83ECBE3D83} MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} MSXML 6.0 Parser (KB927977)-->MsiExec.exe /I{16D2E10E-DE43-4F6C-AC76-3AA4FCD9D50C} Musicmatch® Jukebox-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8EF1122E-E90C-4EE9-AB0C-7FDE2BA42C26}\setup.exe" -l0x7 -uninst mWlsSafe-->MsiExec.exe /I{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4} mXML-->MsiExec.exe /I{9CC89556-3578-48DD-8408-04E66EBEF401} mZConfig-->MsiExec.exe /I{94658027-9F16-4509-BBD7-A59FE57C3023} Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI Power4 Gear-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4462AD13-F2AA-4CBD-9F95-293C38EED870}\setup.exe" -l0x9 QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2} Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.exe" -l0x7 -removeonly REALTEK PCIE NIC Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E2F183-BAC4-4D01-BD7A-59F781E17EFA}\SETUP.EXE" -l0x7 REMOVE Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)-->"C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Skype 2.0-->"C:\Programme\Skype\Phone\unins000.exe" SPORE™-->"C:\Programme\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -runfromtemp -l0x0007 -removeonly Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall TS3 Install Helper Monkey-->"C:\Programme\Mad Scientist Productions\TS3 Install Helper Monkey\uninstall.exe" Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe" Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe" Update für Windows Media Player 10 (KB913800)-->"C:\WINDOWS\$NtUninstallKB913800$\spuninst\spuninst.exe" Update für Windows Media Player 10 (KB926251)-->"C:\WINDOWS\$NtUninstallKB926251$\spuninst\spuninst.exe" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" Update Rollup 2 für Windows XP Media Center Edition 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe" Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows XP Media Center Edition 2005 KB919803-->"C:\WINDOWS\$NtUninstallKB919803$\spuninst\spuninst.exe" Windows XP Media Center Edition 2005 KB973768-->"C:\WINDOWS\$NtUninstallKB973768$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinFlash-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DE10AB76-4756-4913-BE25-55D1C1051F9A}\setup.exe" -l0x9 WinRAR-->C:\Programme\WinRAR\uninstall.exe WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall Wireless Console 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{83F73CB1-7705-49D1-9852-84D839CA2A45}\setup.exe" -l0x9 -removeonly World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe ======Security center information====== AV: AntiVir Desktop ======System event log====== Computer Name: NOTEBOOK Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet. Record Number: 19618 Source Name: Service Control Manager Time Written: 20100110161907.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: NOTEBOOK Event Code: 7036 Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt". Record Number: 19617 Source Name: Service Control Manager Time Written: 20100110161907.000000+060 Event Type: Informationen User: Computer Name: NOTEBOOK Event Code: 7036 Message: Dienst "iPod-Dienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 19616 Source Name: Service Control Manager Time Written: 20100110161907.000000+060 Event Type: Informationen User: Computer Name: NOTEBOOK Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "iPod-Dienst" gesendet. Record Number: 19615 Source Name: Service Control Manager Time Written: 20100110161907.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: NOTEBOOK Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 19614 Source Name: Service Control Manager Time Written: 20100110161907.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: NOTEBOOK Event Code: 0 Message: Record Number: 1868 Source Name: ICQ Service Time Written: 20091021062631.000000+120 Event Type: Informationen User: Computer Name: NOTEBOOK Event Code: 1 Message: Record Number: 1867 Source Name: Bonjour Service Time Written: 20091021062630.000000+120 Event Type: Informationen User: Computer Name: NOTEBOOK Event Code: 0 Message: Record Number: 1866 Source Name: accvssvc Time Written: 20091021062626.000000+120 Event Type: Informationen User: Computer Name: NOTEBOOK Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 1865 Source Name: Avira AntiVir Time Written: 20091021062625.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: NOTEBOOK Event Code: 0 Message: Record Number: 1864 Source Name: EvtEng Time Written: 20091021062613.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel "PROCESSOR_REVISION"=0f06 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- |
|
20.01.2010, 19:37
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Hallo und
__________________ Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3061 Malwarebytes war nicht aktuell, bitte das Programm updaten und den Vollscan wiederholen!
__________________ |
|
21.01.2010, 08:02
| #3 |
| | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Okay, da ist er...anscheinend ist jetzt noch mehr aufgetaucht...was ist denn jetzt los mit Firefox?
__________________ Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3607 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 21.01.2010 07:58:46 mbam-log-2010-01-21 (07-58-46).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 198354 Laufzeit: 22 minute(s), 46 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 3 Infizierte Dateien: 6 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe (Trojan.Inject) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Trojan.Inject) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D} (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Trojan.Swisyn) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe (Trojan.Inject) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\927.tmp.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ie3.tmp (Trojan.Agent) -> Quarantined and deleted successfully. |
|
21.01.2010, 08:08
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Bitte CF anwenden: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
21.01.2010, 08:44
| #5 |
| | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Combofix ist durch...hat mir erstmal mein Wlan zerlegt, aber besser mein Wlan als mein ganzer PC... ComboFix 10-01-20.05 - *** 21.01.2010 8:23.1.2 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1388 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\***\Anwendungsdaten\SystemProc c:\programme\ICQ6.5\ICQLRun.exe c:\programme\Java\jre6\bin\jucheck.exe c:\windows\kb913800.exe c:\windows\rasqervy.dll c:\windows\sdfinacs.dll c:\windows\sdfixwcs.dll c:\windows\system32\Drivers\lckg.sys c:\windows\system32\drivers\npf.sys c:\windows\system32\Packet.dll c:\windows\system32\pthreadVC.dll c:\windows\system32\WanPacket.dll c:\windows\system32\wpcap.dll ----- BITS: Eventuell infizierte Webseiten ----- hxxp://prantsusmailm.com Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt c:\windows\system32\proquota.exe fehlte Kopie von - c:\windows\ServicePackFiles\i386\proquota.exe wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF -------\Service_sgyinl ((((((((((((((((((((((( Dateien erstellt von 2009-12-21 bis 2010-01-21 )))))))))))))))))))))))))))))) . 2010-01-21 07:27 . 2003-07-29 02:18 3839 ----a-w- c:\windows\system32\drivers\GETPADD.sys 2010-01-21 07:25 . 2008-04-14 03:22 50688 ----a-w- c:\windows\system32\proquota.exe 2010-01-21 06:33 . 2010-01-21 06:33 5115824 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-01-20 15:37 . 2010-01-20 15:37 -------- d-----w- C:\rsit 2010-01-17 12:07 . 2010-01-17 12:07 -------- d-----w- C:\FOUND.003 2010-01-13 05:39 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll 2010-01-10 02:33 . 2008-04-14 03:23 26624 ----a-w- c:\windows\system32\stu2.exe 2009-12-27 15:20 . 2009-12-27 15:20 -------- d-----w- c:\windows\system32\Adobe 2009-12-27 00:41 . 2009-12-27 00:41 25872 ---ha-w- c:\windows\system32\mlfcache.dat 2009-12-24 21:32 . 2009-12-24 21:32 -------- d-----w- c:\programme\iPod 2009-12-24 21:32 . 2009-12-24 21:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} 2009-12-24 21:32 . 2009-12-24 21:32 -------- d-----w- c:\programme\Bonjour 2009-12-24 21:31 . 2009-12-24 21:31 -------- d-----w- c:\programme\QuickTime 2009-12-24 21:30 . 2009-08-28 18:42 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll 2009-12-24 21:27 . 2009-12-24 21:27 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-21 06:35 . 2009-11-21 01:21 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2010-01-07 15:07 . 2009-10-30 17:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-07 15:07 . 2009-10-30 17:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-24 21:33 . 2006-11-15 16:31 31872 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-07 18:21 . 2009-08-16 09:51 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-30 21:42 . 2006-09-15 09:03 84676 ----a-w- c:\windows\system32\perfc007.dat 2009-11-30 21:42 . 2006-09-15 09:03 459340 ----a-w- c:\windows\system32\perfh007.dat 2009-11-29 22:57 . 2009-11-29 22:57 -------- d-----w- c:\programme\MSBuild 2009-11-29 22:57 . 2009-11-29 22:57 -------- d-----w- c:\programme\Reference Assemblies 2009-11-28 17:54 . 2006-11-15 20:13 98304 ----a-w- c:\windows\DUMP8b67.tmp 2009-11-28 13:46 . 2009-11-28 13:46 -------- d-----w- c:\programme\Mad Scientist Productions 2009-11-28 13:44 . 2009-11-28 13:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts 2009-11-28 13:39 . 2009-11-28 13:39 10134 ----a-r- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-11-28 13:39 . 2009-11-28 13:39 -------- d-----w- c:\programme\Microsoft WSE 2009-11-21 15:54 . 2006-09-15 09:02 471552 ----a-w- c:\windows\AppPatch\AcLayers.dll 2009-11-03 20:01 . 2006-11-15 18:22 1298 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\wklnhst.dat 2009-10-30 18:19 . 2006-11-15 20:13 98304 ----a-w- c:\windows\DUMPbe83.tmp 2009-10-29 07:40 . 2006-09-15 09:03 916480 ----a-w- c:\windows\system32\wininet.dll 2009-10-26 11:51 . 2009-10-26 11:51 10 ----a-w- C:\fix.bat 2009-10-26 11:46 . 2009-10-26 11:46 77312 ----a-w- C:\mbr.exe 2009-10-25 11:10 . 2009-10-25 11:10 96 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\uninst2.bat 2009-10-25 11:10 . 2009-10-25 11:10 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstITW\unins000.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2006-03-13 19543592] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-03-28 3325952] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="c:\windows\ATK0100\HControl.exe" [2006-04-17 110592] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-16 7561216] "nwiz"="nwiz.exe" [2006-03-16 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-16 86016] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-03-21 544768] "RTHDCPL"="RTHDCPL.EXE" [2006-05-03 16206848] "ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224] "Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-02-15 49152] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-20 761945] "ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440] "RemoteControl"="c:\programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 90112] "ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2006-02-21 17920] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182] "EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 28160] "MMTray"="c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 135168] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-10-25 35328] "mmtask"="c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 53248] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-21 136600] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "DSLCoMan"="c:\programme\DSL Connection Manager\DSLCoMan.exe" [2007-07-24 1300024] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 528384] WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2006-11-15 122880] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-deDE-downloader.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\Launcher.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"= "c:\\Programme\\Electronic Arts\\EADM\\Core.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 "3389:TCP"= 3389:TCP:Remote Desktop R2 accvssvc;AccSys WLAN Control Service;c:\programme\Gemeinsame Dateien\AccSys\accvssvc.exe [01.10.2009 19:01 126976] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.08.2009 10:51 108289] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [20.01.2006 01:59 841110] R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [02.01.2006 03:02 8278] . Inhalt des "geplante Tasks" Ordners 2010-01-18 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\xnpqyrjw.default\ FF - prefs.js: browser.search.selectedEngine - Ask FF - prefs.js: browser.startup.homepage - www.yahoo.de FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= FF - prefs.js: network.proxy.http - 127.0.0.1 FF - prefs.js: network.proxy.http_port - 445 FF - prefs.js: network.proxy.type - 1 FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-21 08:29 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-3862194783-2081496033-2847576580-1005\Software\SecuROM\License information*] "datasecu"=hex:9f,cc,a0,b9,5b,4b,09,eb,c2,99,e7,6c,97,91,7e,aa,61,e5,19,7f,c2, 0c,26,41,b5,f3,a9,01,1c,a7,ef,a8,61,99,10,44,57,46,05,32,34,58,96,8f,a9,92,\ "rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3948) c:\programme\Logitech\SetPoint\GameHook.dll c:\programme\Logitech\SetPoint\lgscroll.dll c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\windows\eHome\ehRecvr.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\RUNDLL32.EXE c:\windows\ehome\mcrdsvc.exe c:\windows\RTHDCPL.EXE c:\windows\eHome\ehmsas.exe c:\windows\ATK0100\ATKOSD.exe c:\windows\system32\ACEngSvr.exe c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE c:\windows\system32\wbem\wmiapsrv.exe c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe c:\programme\iPod\bin\iPodService.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-01-21 08:30:40 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-01-21 07:30 Vor Suchlauf: 14 Verzeichnis(se), 36.212.572.160 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 36.143.759.360 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect - - End Of File - - 964124F900E559435351FEF6E88CD48A |
|
21.01.2010, 09:17
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Funktioniert WLAN jetzt garnicht mehr bei Dir? Bitte weitermachen: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
FileLook::
c:\windows\system32\drivers\GETPADD.sys
c:\windows\system32\dllcache\aclayers.dll
c:\windows\AppPatch\AcLayers.dll
File::
c:\windows\DUMP8b67.tmp
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ --> TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr |
|
21.01.2010, 09:21
| #7 |
| | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr So ist es, Internet auf dem infizierten PC funktioniert nicht mehr, weil das Wlan jetzt neu installiert werden muss... momentan müssen Logs etc per USB-Stick transportiert werden...aber ich denke mal am Nachmittag wird alles wieder laufen. |
|
21.01.2010, 09:26
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr "WLAN neu installieren" Was genau fehlt da? Treiber oder sind da nur Einstellungen weg?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.01.2010, 13:46
| #9 |
| | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Er sagt "Ein Fehler ist aufgetreten. Bitte installieren sie den DSL-Manager erneut." Nachdem das Fenster geschlossen wurde, kommt ein neues, wo steht "Laufzeitfehler '364': Objekt wurde entladen" Der infizierte PC ist per DSL-Manager (der nicht mehr funktioniert) mit einem Router verbunden...wahrscheinlich habe ich mich einfach nur falsch ausgedrückt. Oh, und ComboFix ist auch fertig: ComboFix 10-01-20.05 - *** 21.01.2010 9:35.2.2 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1511 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\windows\DUMP8b67.tmp" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\windows\DUMP8b67.tmp ----- BITS: Eventuell infizierte Webseiten ----- hxxp://armmf.adobe.com . ((((((((((((((((((((((( Dateien erstellt von 2009-12-21 bis 2010-01-21 )))))))))))))))))))))))))))))) . 2010-01-21 07:25 . 2008-04-14 03:22 50688 ----a-w- c:\windows\system32\proquota.exe 2010-01-21 07:21 . 2010-01-21 07:21 -------- d-----w- C:\cofi 2010-01-21 06:33 . 2010-01-21 06:33 5115824 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-01-20 15:37 . 2010-01-20 15:37 -------- d-----w- C:\rsit 2010-01-17 12:07 . 2010-01-17 12:07 -------- d-----w- C:\FOUND.003 2010-01-13 05:39 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll 2010-01-10 02:33 . 2008-04-14 03:23 26624 ----a-w- c:\windows\system32\stu2.exe 2009-12-27 15:20 . 2009-12-27 15:20 -------- d-----w- c:\windows\system32\Adobe 2009-12-27 00:41 . 2009-12-27 00:41 25872 ---ha-w- c:\windows\system32\mlfcache.dat 2009-12-24 21:32 . 2009-12-24 21:32 -------- d-----w- c:\programme\iPod 2009-12-24 21:32 . 2009-12-24 21:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} 2009-12-24 21:32 . 2009-12-24 21:32 -------- d-----w- c:\programme\Bonjour 2009-12-24 21:31 . 2009-12-24 21:31 -------- d-----w- c:\programme\QuickTime 2009-12-24 21:30 . 2009-08-28 18:42 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll 2009-12-24 21:27 . 2009-12-24 21:27 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-21 06:35 . 2009-11-21 01:21 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2010-01-07 15:07 . 2009-10-30 17:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-07 15:07 . 2009-10-30 17:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-24 21:33 . 2006-11-15 16:31 31872 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-07 18:21 . 2009-08-16 09:51 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-30 21:42 . 2006-09-15 09:03 84676 ----a-w- c:\windows\system32\perfc007.dat 2009-11-30 21:42 . 2006-09-15 09:03 459340 ----a-w- c:\windows\system32\perfh007.dat 2009-11-29 22:57 . 2009-11-29 22:57 -------- d-----w- c:\programme\MSBuild 2009-11-29 22:57 . 2009-11-29 22:57 -------- d-----w- c:\programme\Reference Assemblies 2009-11-28 13:46 . 2009-11-28 13:46 -------- d-----w- c:\programme\Mad Scientist Productions 2009-11-28 13:44 . 2009-11-28 13:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts 2009-11-28 13:39 . 2009-11-28 13:39 10134 ----a-r- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-11-28 13:39 . 2009-11-28 13:39 -------- d-----w- c:\programme\Microsoft WSE 2009-11-21 15:54 . 2006-09-15 09:02 471552 ----a-w- c:\windows\AppPatch\AcLayers.dll 2009-11-03 20:01 . 2006-11-15 18:22 1298 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\wklnhst.dat 2009-10-30 18:19 . 2006-11-15 20:13 98304 ----a-w- c:\windows\DUMPbe83.tmp 2009-10-29 07:40 . 2006-09-15 09:03 916480 ------w- c:\windows\system32\wininet.dll 2009-10-26 11:51 . 2009-10-26 11:51 10 ----a-w- C:\fix.bat 2009-10-26 11:46 . 2009-10-26 11:46 77312 ----a-w- C:\mbr.exe 2009-10-25 11:10 . 2009-10-25 11:10 96 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\uninst2.bat 2009-10-25 11:10 . 2009-10-25 11:10 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstITW\unins000.exe . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . --- c:\windows\AppPatch\AcLayers.dll --- Company: Microsoft Corporation File Description: Windows Compatibility DLL File Version: 5.1.2600.5906 (xpsp_sp3_gdr.091120-1307) Product Name: Microsoft® Windows® Operating System Copyright: © Microsoft Corporation. All rights reserved. Original Filename: File size: 471552 Created time: 2006-09-15 09:02 Modified time: 2009-11-21 15:54 MD5: 3820842AC55DCE6B4F8AA1355A6C6255 SHA1: 0C2A9F9D9C425EBE7223CD7A3194DCD4D70F5F82 --- c:\windows\system32\dllcache\aclayers.dll --- Company: Microsoft Corporation File Description: Windows Compatibility DLL File Version: 5.1.2600.5906 (xpsp_sp3_gdr.091120-1307) Product Name: Microsoft® Windows® Operating System Copyright: © Microsoft Corporation. All rights reserved. Original Filename: File size: 471552 Created time: 2010-01-13 05:39 Modified time: 2009-11-21 15:54 MD5: 3820842AC55DCE6B4F8AA1355A6C6255 SHA1: 0C2A9F9D9C425EBE7223CD7A3194DCD4D70F5F82 (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2006-03-13 19543592] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-03-28 3325952] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="c:\windows\ATK0100\HControl.exe" [2006-04-17 110592] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-16 7561216] "nwiz"="nwiz.exe" [2006-03-16 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-16 86016] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-03-21 544768] "RTHDCPL"="RTHDCPL.EXE" [2006-05-03 16206848] "ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224] "Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-02-15 49152] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-20 761945] "ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440] "RemoteControl"="c:\programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 90112] "ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2006-02-21 17920] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182] "EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 28160] "MMTray"="c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 135168] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-10-25 35328] "mmtask"="c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 53248] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-21 136600] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "DSLCoMan"="c:\programme\DSL Connection Manager\DSLCoMan.exe" [2007-07-24 1300024] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 528384] WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2006-11-15 122880] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-deDE-downloader.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\Launcher.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"= "c:\\Programme\\Electronic Arts\\EADM\\Core.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 "3389:TCP"= 3389:TCP:Remote Desktop R2 accvssvc;AccSys WLAN Control Service;c:\programme\Gemeinsame Dateien\AccSys\accvssvc.exe [01.10.2009 19:01 126976] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.08.2009 10:51 108289] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [20.01.2006 01:59 841110] R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [02.01.2006 03:02 8278] . Inhalt des "geplante Tasks" Ordners 2010-01-18 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\xnpqyrjw.default\ FF - prefs.js: browser.search.selectedEngine - Ask FF - prefs.js: browser.startup.homepage - www.yahoo.de FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= FF - prefs.js: network.proxy.http - 127.0.0.1 FF - prefs.js: network.proxy.http_port - 445 FF - prefs.js: network.proxy.type - 1 FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-21 09:38 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-3862194783-2081496033-2847576580-1005\Software\SecuROM\License information*] "datasecu"=hex:9f,cc,a0,b9,5b,4b,09,eb,c2,99,e7,6c,97,91,7e,aa,61,e5,19,7f,c2, 0c,26,41,b5,f3,a9,01,1c,a7,ef,a8,61,99,10,44,57,46,05,32,34,58,96,8f,a9,92,\ "rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44 . Zeit der Fertigstellung: 2010-01-21 09:38:52 ComboFix-quarantined-files.txt 2010-01-21 08:38 ComboFix2.txt 2010-01-21 07:30 Vor Suchlauf: 20 Verzeichnis(se), 36.153.131.008 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 36.143.038.464 Bytes frei - - End Of File - - 46912B5F637106F64FB6314F1D774FF0 |
|
21.01.2010, 13:55
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehrZitat:
Wenn WLAN, und das ist eigentlich immer über nen Router, was willst Du da mit nem DSL-Manager? 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.01.2010, 14:00
| #11 |
| | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Es gibt im Haus 2 Computer, bei dem einen weiß ichs nicht genau (da funktioniert das Internet auch) und bei dem anderen...nicht mehr. Das Programm ist der O2 DSL Connection Manager...solange der nicht läuft, gibt es keine Verbindung. Ich glaube ja, dass es ComboFix zerlegt hat, denn der Manager lädt automatisch beim Hochfahren, eben als noch der Log gebildet wurde...und seit dem funktioniert er ja auch erst nicht mehr. Ich kenn mich mit dem Warum und Wieso nicht zu sehr auf, Fakt ist ohne Manager gibts keine Verbindung... |
|
21.01.2010, 14:05
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Für sowas gibt es Reparatursetups, normalerweise braucht man bei Routerbetrieb keine extra Software, aber ich weiß nicht, wie das O2-Gedöns gestrickt ist Die Setup-CD von O" wirste ja wohl noch haben. Einfach nochmal das Setup für den Manager starten. Und ach ja, Du musst unbedingt Laufwerk C: nach NTFS konvertieren!! Systempartition nach NTFS konvertieren: 1) Start, Ausführen, cmd eintippen und ok
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.01.2010, 14:14
| #13 |
| | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Ja, ich denke auch nicht, dass die Neuinstallation ein Problem wird. Nach Befehlseingabe und Enter steht dann: "CONVERT kann nicht ausgeführt werden, da das Volume von einem anderen Prozess verwendet wird. Die Bereitstellung des Volumes muss vorher aufgehoben werden. ALLE OFFENEN BEZÜGE AUF DIESES VOLUME SIND DANN UNGÜLTIG. Möchten sie die Bereitstellung des Volumes aufheben (J/N) Ich fass da lieber nichts an was nicht genau in der Anleitung steht...der Ofen ist mir dafür definitiv zu heiss... |
|
21.01.2010, 14:26
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr Ja, Du musst das auch mit J bestätigen... Danach nochmal, das wäre die Abfrage ob das beim nächsten Start passieren soll.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.01.2010, 14:45
| #15 |
| | TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr So, das wäre fertig. Ist jetzt konvertiert. |
|
| Themen zu TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr |
| 1.exe, antivir, antivir guard, avgnt, avgnt.exe, avgntflt.sys, avira, browser, converter, desktop, firefox, flash player, fontcache, helper, hijack, hijackthis, hkus\s-1-5-18, hotfix.exe, install.exe, installation, internet explorer, internet explorer 8, jusched.exe, logfile, media center, mp3, msiexec.exe, plug-in, realtek, registrierungsschlüssel, registry, security, security update, skype.exe, software, starten, svchost.exe, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows internet, windows internet explorer, windows xp |
