Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.03.2010, 15:31   #1
Hansi10
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Hallo,

habe mir heute auf einer vermutlich gehackten Internetseite das Trojanische Pferd Antivirus Soft eingefangen. Wollte zwar noch schnell in den Task-Manager um laufende Prozesse zu beenden, war wohl zu langsam. Zum Glück fand ich diesen Thread von Da GuRu und bin genau danach vorgegangen. Beim ersten Neustart nach Ausführung von Malwarebytes hatte sich der Trojaner nochmal eingenistet. Lag wohl daran, dass zuerst das Datenbankupdate von Malwarebytes nicht funktioniert hatte. Danach wurden dann 5 infizierte Dateien gefunden.

Jetzt würde mich natürlich interessieren, ob ich noch irgendwelche Reste davon habe. Werde jetzt die erforderlichen Daten posten und wenn sie zu groß sind, in mehrer Beiträge aufteilen. Ging jetzt alles in ein Thread. Wenn ich es aufteilen soll, bitte Bescheid geben. Schon jetzt mal besten Dank für Eure Hilfe.

rkill.log
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Hansadmin on 11.03.2010 at 13:01:30.
Processes terminated by Rkill or while it was running:
C:\Windows\system32\rundll32.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\vVX1000.exe
C:\Users\Hansadmin\AppData\Local\xpjsac\ngdwsftav.exe
Rkill completed on 11.03.2010 at 13:01:32.

hier die mbam-log
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3851
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

11.03.2010 14:14:46
mbam-log-2010-03-11 (14-14-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 412118
Laufzeit: 1 hour(s), 5 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kxnxvidt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Hansadmin\AppData\Local\xpjsac\ngdwsftav.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Hansadmin\AppData\Local\Temp\otjypp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

info.txt
info.txt logfile of random's system information tool 1.06 2010-03-11 14:46:56

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"
AAVUpdateManager-->MsiExec.exe /X{946BA398-5A53-454E-8D39-1C02959C1727}
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->C:\Program Files\Common Files\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe Dreamweaver CS3-->C:\Program Files\Common Files\Adobe\Installers\25db75244653b42cb93dc27939d1c0e\Setup.exe
Adobe Dreamweaver CS3-->MsiExec.exe /I{4AA5B8A5-BEEF-4AD8-B11D-4443A042EA4F}
Adobe ExtendScript Toolkit 2-->C:\Program Files\Common Files\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}
Adobe Extension Manager CS3-->MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}
Adobe Fireworks CS3-->C:\Program Files\Common Files\Adobe\Installers\6c7ed6c08f4acf68bf0512885eec384\Setup.exe
Adobe Fireworks CS3-->MsiExec.exe /I{C9D456FD-C25B-49DE-AA71-6B76D6550B23}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->C:\Program Files\Common Files\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{29F05234-DCBB-4FE0-88DC-5160C9250312}
Adobe Reader 9.3.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Adobe Setup-->MsiExec.exe /I{3FF55F91-4296-46D0-B045-1429CD46AF99}
Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup-->MsiExec.exe /I{7D386596-0E80-4808-8AAE-C1DDA8212F7F}
Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}
Adobe Setup-->MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
Amazon MP3-Downloader 1.0.9-->E:\Programme\Amazon\MP3 Downloader\Uninstall.exe
Assassin's Creed-->F:\Remote Programs\Assassin's Creed\GPlrLanc.exe -LOpCode 2 /RemoveContent cid=586052;name=Assassin's Creed;dir=F:\Remote Programs\Assassin's Creed\;prvid=200;cmdid=0;prvdir=Default
Audiograbber 1.83 SE -->"E:\Programme\Audiograbber\Uninstall.exe"
Avanquest update-->C:\Program Files\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\setup.exe -runfromtemp -l0x0009 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Brother MFL-Pro Suite-->"C:\Program Files\InstallShield Installation Information\{46E1B1F2-A279-4356-9B17-029F9CC72EAE}\Setup.exe" -runfromtemp -l0x0007 Brunin03.dll -removeonly
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Cda Product Service - shared component-->C:\Windows\CdaC13BA.EXE /uninstall
C-Dilla Licence Management System-->C:\C_DILLA\setup\cdunin16.exe
Citrix Presentation Server Client - Nur Web-->MsiExec.exe /X{E9459BCF-0982-498B-ABA7-26C34323493F}
ClipX-->"C:\Program Files\ClipX\uninstall.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
CorelDRAW 10_TV-->C:\Windows\Corel\uninst32.exe
CorelDRAW 10-->MsiExec.exe /I{9E50DEC9-081B-441F-B647-98DBEA8B01DD}
Crysis(R) SP Demo-->MsiExec.exe /I{92AF2F5A-4407-4A03-A80A-5A2582264746}
Data Access Objects (DAO) 3.5-->C:\Program Files\Common Files\Microsoft Shared\DAO\Remove.EXE C:\Windows\UNINST.EXE -fC:\PROGRA~1\COMMON~1\MICROS~1\DAO\DeIsL3.isu
DATA BECKER Einnahme-Überschussrechnung 2009-->"C:\Program Files\DATA BECKER\Einnahme-Überschussrechnung 2009\unins000.exe"
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
eXPert PDF 5-->MsiExec.exe /X{A6E92CAB-9E63-46DC-8ABF-0CAFF7B7CD02}
FileZilla Client 3.3.2-->E:\Programme\FileZilla FTP Client\uninstall.exe
Fix-It Essentials 9-->MsiExec.exe /I{5158974E-2D28-4018-9335-7694C2974746}
Google AdWords Editor-->MsiExec.exe /I{194BFA8B-8ABF-43F4-A4B5-A38F6B21C3C2}
Google Desktop-->C:\Program Files\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E85CDE7661A53A6A.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
GSiteCrawler-->E:\PROGRA~1\SOFTplus\GSITEC~1\UNWISE.EXE E:\PROGRA~1\SOFTplus\GSITEC~1\INSTALL.LOG
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Network Connections 13.0.42.0-->MsiExec.exe /i{2223FC2F-B862-4F83-BC9E-DDF2DADF2859} ARPREMOVE=1
Intel(R) Network Connections 13.0.42.0-->MsiExec.exe /i{2223FC2F-B862-4F83-BC9E-DDF2DADF2859} ARPREMOVE=1
Intel® Matrix Storage Manager-->C:\Windows\system32\imsmudlg.exe -uninstall
IrfanView (remove only)-->E:\Programme\IrfanView\iv_uninstall.exe
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
klickTel Routenplaner Deutschland 2009-->C:\Program Files\InstallShield Installation Information\{4EEF1E55-BCFC-49D8-BF97-7C69281FAEBC}\SETUP.EXE -runfromtemp -l0x0007 -removeonly
klickTel Telefon- und Branchenbuch 2009-->C:\Program Files\InstallShield Installation Information\{FFE4F104-08B2-4FC5-A557-856377C2D02C}\Setup.exe -runfromtemp -l0x0007 -removeonly
klickTel Toolbar-->MsiExec.exe /X{09B71899-5174-4995-AD57-B326C128584C}
LetsTrade Komponenten-->C:\Windows\fpuninst.exe -uninstall:"C:\Program Files\LetsTrade\uninst\uninst.ini"
Lexmark X6100 Series-->C:\Program Files\Lexmark X6100 Series\Install\x86\Uninst.exe
Macromedia Extension Manager-->MsiExec.exe /I{0F022A2E-7022-497D-90A5-0F46746D8275}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Metaboli Player-->"C:\Program Files\Metaboli Player\Uninstall.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft LifeCam-->MsiExec.exe /X{78DB08B0-F440-4BA6-9372-F2C6CC9721B7}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
MONDO SHOP 4 deinstallieren-->"C:\Program Files\Mondo Media\Mondo Shop 4\Uninstall\unins000.exe"
Mozilla Firefox (3.5.8)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (3.0.3)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 8 Essentials-->MsiExec.exe /X{47948554-90C6-4AAC-8CFA-D23CE11C1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
nLite 1.4.9.1-->"C:\Program Files\nLite\unins000.exe"
Notepad++-->E:\Programme\Notepad++\uninstall.exe
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 3.1-->MsiExec.exe /I{D765F1CE-5AE5-4C47-B134-AE58AC474740}
PaperPort Image Printer-->MsiExec.exe /X{2BC2781A-F7F6-452E-95EB-018A522F1B2C}
Paragon Drive Backup 8.51 Professional Trial-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D155D300-C235-44FC-981C-F7B34683439C}\Setup.exe" -l0x7
Paragon Partition Manager 9.0 Personal-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{49CC1A6A-3A1A-4EE7-913F-8106B51B59D1}\Setup.exe" -l0x7
PC SECURITY TEST 2009-->"E:\Programme\PC Security Test 2009\unins000.exe"
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PiX v2.0.0.00-->"C:\Program Files\PiX\unins000.exe"
ProtectDisc Driver, Version 11-->C:\Program Files\ProtectDisc Driver Installer\uninstall_v11.exe
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
RidNacs 2.0.1-->"E:\Programme\RidNacs\unins000.exe"
ScanSoft PaperPort 11-->MsiExec.exe /I{7A8FF745-BBC5-482B-88E4-18D3178249A9}
SendBlaster-->MsiExec.exe /X{0720F43C-941E-4F15-BB61-2185A8C14599}
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Softonic_Deutsch Toolbar-->C:\PROGRA~1\SOFTON~1\UNWISE.EXE C:\PROGRA~1\SOFTON~1\INSTALL.LOG
Sothink SWF Easy-->"E:\Programme\SourceTec\Sothink SWF Easy\unins000.exe"
SpeedCommander 10-->E:\Programme\SpeedProject\SpeedCommander 10\UnInstall.exe
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Steuer-Spar-Erklärung 2009-->MsiExec.exe /X{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}
TopStyle (Version 3)-->"E:\Programme\TopStyle3\unins000.exe"
Turbo Lister 2-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548}
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 0.9.8a-->E:\Programme\VideoLAN\VLC\uninstall.exe
Windows Mobile-Gerätecenter: Treiberupdate-->MsiExec.exe /X{E7044E25-3038-4A76-9064-344AC038043E}
Windows Mobile-Gerätecenter-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
WISO Mein Geld 2008 Professional-->MsiExec.exe /I{D8D22773-14BF-4178-A683-3DBA515C2A26}
XnView 1.95.4-->"C:\Program Files\XnView\unins000.exe"

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: Hansadmin-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948465-207_neutral_GDR aus Paket KB948465 (Service Pack) in den Status Wird aufgelöst(Resolving) gesetzt.
Record Number: 117026
Source Name: Microsoft-Windows-Servicing
Time Written: 20090917051931.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Hansadmin-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948465-206_neutral_GDR aus Paket KB948465 (Service Pack) in den Status Wird aufgelöst(Resolving) gesetzt.
Record Number: 117025
Source Name: Microsoft-Windows-Servicing
Time Written: 20090917051931.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Hansadmin-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948465-205_neutral_GDR aus Paket KB948465 (Service Pack) in den Status Wird aufgelöst(Resolving) gesetzt.
Record Number: 117024
Source Name: Microsoft-Windows-Servicing
Time Written: 20090917051931.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Hansadmin-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948465-204_neutral_GDR aus Paket KB948465 (Service Pack) in den Status Wird aufgelöst(Resolving) gesetzt.
Record Number: 117023
Source Name: Microsoft-Windows-Servicing
Time Written: 20090917051931.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Hansadmin-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 948465-200_neutral_GDR aus Paket KB948465 (Service Pack) in den Status Wird aufgelöst(Resolving) gesetzt.
Record Number: 117022
Source Name: Microsoft-Windows-Servicing
Time Written: 20090917051931.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: Hansadmin-PC
Event Code: 0
Message:
Record Number: 8923
Source Name: MSCamSvc
Time Written: 20081115124948.000000-000
Event Type: Informationen
User:

Computer Name: Hansadmin-PC
Event Code: 1
Message:
Record Number: 8922
Source Name: Bonjour Service
Time Written: 20081115124948.000000-000
Event Type: Informationen
User:

Computer Name: Hansadmin-PC
Event Code: 902
Message: Der Softwarelizenzierungsdienst wurde gestartet.

Record Number: 8921
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20081115124938.000000-000
Event Type: Informationen
User:

Computer Name: Hansadmin-PC
Event Code: 1005
Message: Ergebnis der Inanspruchnahme von Windows-Rechten: hr=0x0

Record Number: 8920
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20081115124937.000000-000
Event Type: Informationen
User:

Computer Name: Hansadmin-PC
Event Code: 1003
Message: Softwarelizenzierungsdienst hat die Überprüfung des Lizenzierungsstatus abgeschlossen.
Anwendungs-ID=55c92734-d682-4d71-983e-d6ec3f16059f
Lizenzierungsstatus=
{1,[3a1d44e2-bede-46fb-8a02-0cd485a1db8b, 8, 0xC004F014,0x0]}

{1,[9e042223-03bf-49ae-808f-ff37f128d40d, 8, 0xC004F014,0x0]}

{1,[a3481201-436e-4fc9-88b4-34ccf7f81789, 8, 0xC004F014,0x0]}

{1,[a4eec485-e375-48b4-8f51-80d13a4086b6, 8, 0xC004F014,0x0]}

{1,[b6795467-dc45-4acf-af87-e948ee3f15f4, 8, 0xC004F014,0x0]}

{1,[bffdc375-bbd5-499d-8ef1-4f37b61c895f, 0, 0x0,0x0],[0x0,0x0,0x0,0,0,0x0],[0x0,0xFFFFFFFF,0x0,0,0,0x0],[0x0,0xFFFFFFFF,0x0,0,0,0x0],[0,0,0x0]}

{1,[c3505bd0-004a-49b9-84db-a1a4869eddf1, 8, 0xC004F014,0x0]}

{1,[c5d8ec70-e2ae-42d8-aaa9-eec3772438ee, 8, 0xC004F014,0x0]}

{1,[f3acdd3c-119a-4932-a3d7-0b6f33a1dca9, 8, 0xC004F014,0x0]}

{1,[afd5f68f-b70f-4000-a21d-28dbc8be8b07, 8, 0xC004F014,0x0]}

Record Number: 8919
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20081115124937.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: Hansadmin-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: HANSADMIN-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 5

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x2a0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 17887
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090126104634.770904-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Hansadmin-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: HANSADMIN-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0x2a0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Netzwerkadresse: -
Port: -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 17886
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090126104634.770904-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Hansadmin-PC
Event Code: 4902
Message: Eine Benutzerrichtlinien-Überwachungstabelle wurde erstellt.

Anzahl von Elementen: 0
Richtlinienkennung: 0xea3f
Record Number: 17885
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090126104634.739704-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Hansadmin-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-0-0
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 0

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x4
Prozessname:

Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: -
Authentifizierungspaket: -
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 17884
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090126104634.552502-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Hansadmin-PC
Event Code: 4608
Message: Windows wird gestartet.

Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird.
Record Number: 17883
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090126104634.552502-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\DMIX
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------

und zuletzt die log.txt
Logfile of random's system information tool 1.06 (written by random/random)
Run by Hansadmin at 2010-03-11 14:46:19
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 12 GB (21%) free of 59 GB
Total RAM: 3069 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:54, on 11.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\vVX1000.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Visagesoft\eXPert PDF 5\vspdfprsrv.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ClipX\clipx.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\taskeng.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Hansadmin\Desktop\RSIT.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\trend micro\Hansadmin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visagesoft\eXPert PDF 5\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ClipX] C:\Program Files\ClipX\clipx.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Users\Hansadmin\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
O23 - Service: Fix-It Essentials Task Manager - Avanquest North America, Inc. - C:\PROGRA~1\AVANQU~1\Fix-It\mxtask.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

--
End of file - 10224 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1144421972-1402686320-4143196615-1001Core.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1144421972-1402686320-4143196615-1001UA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-12-21 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
Softonic Deutsch Toolbar - C:\Program Files\Softonic_Deutsch\tbSoft.dll [2008-09-15 1784856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-11 279664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-02-11 812528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD}]
C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL [2006-11-30 1402368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - &klickTel Toolbar - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL [2006-11-30 1402368]
{8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - Softonic Deutsch Toolbar - C:\Program Files\Softonic_Deutsch\tbSoft.dll [2008-09-15 1784856]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-11 279664]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"IAAnotif"=C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [2008-05-07 178712]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-05-07 6139904]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-06-09 13543968]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-06-09 92704]
"Google Desktop Search"=C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [2009-10-25 30192]
"toolbar_eula_launcher"=C:\Program Files\GoogleEULA\EULALauncher.exe [2007-02-09 16896]
"LifeCam"=C:\Program Files\Microsoft LifeCam\LifeExp.exe [2007-01-13 275800]
"VX1000"=C:\Windows\vVX1000.exe [2006-12-06 707360]
"Windows Mobile Device Center"=C:\Windows\WindowsMobile\wmdc.exe [2007-05-31 648072]
"SSBkgdUpdate"=C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2006-10-25 210472]
"PaperPort PTD"=C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe [2007-10-11 29984]
"IndexSearch"=C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe [2007-10-11 46368]
"PPort11reminder"=C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe [2007-08-31 328992]
"BrMfcWnd"=C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2007-11-05 741376]
"ControlCenter3"=C:\Program Files\Brother\ControlCenter3\brctrcen.exe [2007-10-30 77824]
"vspdfprsrv.exe"=C:\Program Files\Visagesoft\eXPert PDF 5\vspdfprsrv.exe [2007-07-02 1179648]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"ClipX"=C:\Program Files\ClipX\clipx.exe [2005-11-30 68608]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-12-11 948672]
" Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2010-01-07 1394000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-02-20 39408]
"Skype"=C:\Program Files\Skype\\Phone\Skype.exe [2009-10-09 25623336]
"Google Update"=C:\Users\Hansadmin\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-23 135664]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - "C:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe","%1"

======List of files/folders created in the last 1 months======

2010-03-11 14:46:19 ----D---- C:\rsit
2010-03-11 14:46:19 ----D---- C:\Program Files\trend micro
2010-03-11 14:27:30 ----D---- C:\Program Files\CCleaner
2010-03-11 10:58:43 ----D---- C:\Users\Hansadmin\AppData\Roaming\Malwarebytes
2010-03-11 10:58:37 ----D---- C:\ProgramData\Malwarebytes
2010-03-11 10:58:37 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-03-11 10:16:32 ----A---- C:\Windows\system32\nshhttp.dll
2010-03-11 10:16:31 ----A---- C:\Windows\system32\httpapi.dll
2010-03-07 17:10:10 ----D---- C:\Users\Hansadmin\AppData\Roaming\Amazon
2010-02-24 07:20:04 ----A---- C:\Windows\system32\jscript.dll
2010-02-24 07:20:01 ----A---- C:\Windows\system32\tzres.dll
2010-02-24 07:19:53 ----A---- C:\Windows\system32\secproc_isv.dll
2010-02-24 07:19:53 ----A---- C:\Windows\system32\secproc.dll
2010-02-24 07:19:53 ----A---- C:\Windows\system32\RMActivate_ssp_isv.exe
2010-02-24 07:19:53 ----A---- C:\Windows\system32\RMActivate_ssp.exe
2010-02-24 07:19:53 ----A---- C:\Windows\system32\RMActivate_isv.exe
2010-02-24 07:19:52 ----A---- C:\Windows\system32\secproc_ssp_isv.dll
2010-02-24 07:19:52 ----A---- C:\Windows\system32\secproc_ssp.dll
2010-02-24 07:19:52 ----A---- C:\Windows\system32\RMActivate.exe
2010-02-24 07:19:52 ----A---- C:\Windows\system32\msdrm.dll
2010-02-24 07:19:51 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2010-02-24 07:19:51 ----A---- C:\Windows\system32\gameux.dll
2010-02-24 07:19:51 ----A---- C:\Windows\system32\Apphlpdm.dll

======List of files/folders modified in the last 1 months======

2010-03-11 14:46:22 ----D---- C:\Windows\Temp
2010-03-11 14:46:19 ----RD---- C:\Program Files
2010-03-11 14:36:59 ----D---- C:\Windows\Minidump
2010-03-11 14:36:59 ----D---- C:\Windows\Debug
2010-03-11 14:36:59 ----D---- C:\Windows
2010-03-11 14:28:01 ----D---- C:\Windows\System32
2010-03-11 14:28:01 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-03-11 14:28:00 ----D---- C:\Windows\inf
2010-03-11 14:21:57 ----D---- C:\Windows\system32\drivers
2010-03-11 14:20:56 ----D---- C:\Windows\Branding
2010-03-11 12:58:26 ----D---- C:\Windows\Prefetch
2010-03-11 12:54:55 ----D---- C:\Windows\ServiceProfiles
2010-03-11 12:21:43 ----D---- C:\Windows\winsxs
2010-03-11 10:58:37 ----HD---- C:\ProgramData
2010-03-11 10:28:22 ----HD---- C:\Windows\system32\GroupPolicy
2010-03-11 10:21:19 ----D---- C:\Windows\system32\catroot
2010-03-11 10:21:14 ----D---- C:\Windows\system32\catroot2
2010-03-11 10:20:03 ----D---- C:\Program Files\Windows Mail
2010-03-11 10:20:03 ----D---- C:\Program Files\Movie Maker
2010-03-11 10:17:22 ----SHD---- C:\Windows\Installer
2010-03-11 10:16:20 ----SHD---- C:\System Volume Information
2010-03-11 10:14:09 ----D---- C:\Program Files\Mozilla Firefox
2010-03-11 06:28:19 ----D---- C:\Program Files\Mozilla Thunderbird
2010-03-10 23:13:47 ----D---- C:\Users\Hansadmin\AppData\Roaming\FileZilla
2010-03-10 13:35:17 ----A---- C:\Windows\ktel.ini
2010-03-08 16:21:31 ----A---- C:\Windows\NeroDigital.ini
2010-03-07 23:26:55 ----A---- C:\Windows\BRWMARK.INI
2010-03-07 17:44:02 ----D---- C:\Users\Hansadmin\AppData\Roaming\Adobe
2010-03-02 06:30:12 ----A---- C:\Windows\system32\mrt.exe
2010-02-24 12:35:41 ----D---- C:\Windows\rescache
2010-02-24 12:19:10 ----D---- C:\Windows\system32\de-DE
2010-02-24 12:19:10 ----D---- C:\Windows\AppPatch
2010-02-24 12:19:09 ----RSD---- C:\Windows\Fonts
2010-02-24 09:16:06 ----N---- C:\Windows\system32\MpSigStub.exe
2010-02-21 23:59:19 ----D---- C:\Users\Hansadmin\AppData\Roaming\Skype
2010-02-21 23:58:04 ----D---- C:\Users\Hansadmin\AppData\Roaming\skypePM

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 Uim_IM;UIM Drive Backup Image Plugin; C:\Windows\System32\Drivers\Uim_IM.sys [2007-11-06 131672]
R1 UimBus;Universal Image Mounter Controller; C:\Windows\system32\DRIVERS\UimBus.sys [2007-11-06 32080]
R2 acedrv11;acedrv11; \??\C:\Windows\system32\drivers\acedrv11.sys [2008-01-23 501560]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R2 CdaC15BA;CdaC15BA; \??\C:\Windows\system32\drivers\CDAC15BA.SYS [2008-10-07 8864]
R2 X4HSX32Ex;X4HSX32Ex; \??\C:\Program Files\Metaboli Player\X4HSX32Ex.Sys [2007-11-14 29856]
R3 BrSerIf;Brother MFC Serial Port Interface WDM Driver; C:\Windows\System32\Drivers\BrSerIf.sys [2006-12-12 52224]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\Windows\system32\DRIVERS\e1e6032.sys [2008-02-06 218752]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-05-07 2134424]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-06-09 7522624]
R3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-11 73216]
R3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
R3 VX1000;VX-1000; C:\Windows\system32\DRIVERS\VX1000.sys [2006-12-06 1963680]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 winusb;WinUsb-Treiber; C:\Windows\system32\DRIVERS\winusb.sys [2009-04-11 31616]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2009-10-01 40448]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-10-13 611664]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-17 185089]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Program Files\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 C-DillaCdaC11BA;C-DillaCdaC11BA; C:\Windows\system32\drivers\CDAC11BA.EXE [2008-10-07 39936]
R2 DBService;DATA BECKER Update Service; C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe [2008-12-09 187456]
R2 Fix-It Essentials Task Manager;Fix-It Essentials Task Manager; C:\PROGRA~1\AVANQU~1\Fix-It\mxtask.exe [2008-12-18 161048]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe [2008-05-07 354840]
R2 MSCamSvc;MSCamSvc; C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-01-04 240408]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2008-02-18 877864]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-06-09 196608]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S2 gupdate;Google Update Service (gupdate); C:\Program Files\Google\Update\GoogleUpdate.exe [2010-02-11 135664]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-10-08 654848]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391; C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [2009-10-25 30192]
S3 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-04 182768]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2008-02-28 529704]
S4 AAV UpdateService;AAV UpdateService; C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S4 lxbf_device;lxbf_device; C:\Windows\system32\lxbfcoms.exe [2007-04-24 537520]

-----------------EOF-----------------

Alt 11.03.2010, 20:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Hallo und

Bitte ein Log mit CF machen, das erspart uns etwas Arbeit:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________

__________________

Alt 11.03.2010, 21:04   #3
Hansi10
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Hi Arne,
danke für die Anleitung. Arbeite sie gerade durch und sitze deshalb an einem anderen Rechner. Reicht es eigentlich aus, wenn ich mit ComboFix nur die Windows-Partition durchsuchen lasse? Ich habe auch noch eine Partition für Daten und eine XP-Partition (Multiboot).

Gruß
Hansi
__________________

Alt 11.03.2010, 21:10   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Bei CF kannst Du nicht wirklich was auswählen
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 11.03.2010, 21:34   #5
Hansi10
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Jetzt habe ich hier ein kleines Problem. CF ist wunderbar durchgelaufen und hat auch eine Log-Datei erstellt. Ich habe das .txt Fenster geschlossen und den Virenscanner wieder aktiviert. Auch wollte ich den Windows-Defender und die Windows Firewall wieder einschalten. Da habe ich bemerkt, dass mein System nicht richtig funktioniert.

Ich wollte dann auf den Firefox klicken, um die Logdatei hier zu veröffentlichen. Aber beim Klick auf das Firefox-Symbol meldet sich die Explorer.exe mit "Es wurde versucht, einen Registrierungsschlüssel einen unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Soll ich vielleicht die Benutzerkontensteuerung wieder abschalten? ... wobei ich komme gar nirgends mehr rein ;-(

Ich komme jetzt in die Systemsteuerung, aber alles geht ganz laaaaangsaaaaam.

Ist noch jemand da? Ich brauche den Rechner dringend.

Zwischenzeitlich habe ich es geschafft die ComboFix.txt auf diesen Rechner zu bekommen. Inhalt folgt hier anschließend. Jetzt wäre nur noch die Frage, wie ich mein Vista wieder flott bekomme? Wird doch hoffentlich nicht so schlimm sein, nachdem er heute Nachmittag nach der Bereinigung normal wieder lief. Irgendwie hat in das CF ordentlich in die Kie gehauen.

Jetzt die ComboFix.txt:
ComboFix 10-03-11.02 - Hansadmin 11.03.2010 21:17:51.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3069.1712 [GMT 1:00]
ausgeführt von:: c:\users\Hansadmin\Desktop\cofi.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((( Dateien erstellt von 2010-02-11 bis 2010-03-11 ))))))))))))))))))))))))))))))
.

2010-03-11 20:23 . 2010-03-11 20:23 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-11 19:59 . 2010-03-11 20:00 -------- d-----w- c:\windows\5158974E2D28401893357694C2974746.TMP
2010-03-11 13:46 . 2010-03-11 13:46 -------- d-----w- C:\rsit
2010-03-11 13:46 . 2010-03-11 13:46 -------- d-----w- c:\program files\trend micro
2010-03-11 13:27 . 2010-03-11 13:27 -------- d-----w- c:\program files\CCleaner
2010-03-11 09:58 . 2010-03-11 09:58 -------- d-----w- c:\users\Hansadmin\AppData\Roaming\Malwarebytes
2010-03-11 09:58 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-11 09:58 . 2010-03-11 09:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-11 09:58 . 2010-03-11 09:58 -------- d-----w- c:\programdata\Malwarebytes
2010-03-11 09:58 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-11 09:16 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-03-11 09:16 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-03-11 09:16 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-03-11 09:09 . 2010-03-11 13:14 -------- d-----w- c:\users\Hansadmin\AppData\Local\xpjsac
2010-03-07 16:10 . 2010-03-07 16:10 -------- d-----w- c:\users\Hansadmin\AppData\Roaming\Amazon
2010-02-24 06:20 . 2010-01-23 09:26 2048 ----a-w- c:\windows\system32\tzres.dll
2010-02-24 06:19 . 2010-01-25 12:00 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-02-24 06:19 . 2010-01-25 12:00 471552 ----a-w- c:\windows\system32\secproc.dll
2010-02-24 06:19 . 2010-01-25 08:21 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-02-24 06:19 . 2010-01-25 08:21 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-02-24 06:19 . 2010-01-25 08:21 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-02-24 06:19 . 2010-01-25 12:00 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-02-24 06:19 . 2010-01-25 12:00 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-02-24 06:19 . 2010-01-25 11:58 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-02-24 06:19 . 2010-01-25 08:21 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-02-24 06:19 . 2010-01-06 15:39 1696256 ----a-w- c:\windows\system32\gameux.dll
2010-02-24 06:19 . 2010-01-06 15:38 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-02-24 06:19 . 2010-01-06 13:30 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-11 20:00 . 2008-10-13 18:44 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-03-11 19:52 . 2008-10-09 19:58 -------- d-----w- c:\users\Hansadmin\AppData\Roaming\FileZilla
2010-03-11 13:28 . 2008-01-21 07:15 618204 ----a-w- c:\windows\system32\perfh007.dat
2010-03-11 13:28 . 2008-01-21 07:15 122636 ----a-w- c:\windows\system32\perfc007.dat
2010-03-11 13:21 . 2008-10-13 18:29 12 ----a-w- c:\windows\bthservsdp.dat
2010-03-11 09:20 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-11 05:28 . 2008-09-29 19:53 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-03-08 14:09 . 2009-12-01 13:58 1 ----a-w- c:\users\Hansadmin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-24 11:21 . 2008-09-29 17:21 114672 ----a-w- c:\users\Hansadmin\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 08:16 . 2009-10-04 17:09 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-21 22:59 . 2008-10-09 19:14 -------- d-----w- c:\users\Hansadmin\AppData\Roaming\Skype
2010-02-21 22:58 . 2008-10-09 19:14 -------- d-----w- c:\users\Hansadmin\AppData\Roaming\skypePM
2010-02-11 09:42 . 2008-08-13 08:59 -------- d-----w- c:\program files\Google
2010-02-07 17:56 . 2008-12-21 09:05 -------- d-----w- c:\users\Hansadmin\AppData\Roaming\XnView
2010-01-29 09:30 . 2010-01-29 09:32 101315524 ----a-w- c:\users\Public\Paella-Grill 2010-01-29 10-29.zip
2010-01-20 15:48 . 2008-08-04 09:13 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-13 18:06 . 2008-08-04 10:58 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-06 15:38 . 2010-02-24 06:19 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
2010-01-06 15:38 . 2010-02-24 06:19 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
2010-01-06 15:38 . 2010-02-24 06:19 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
2010-01-06 15:38 . 2010-02-24 06:19 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
2010-01-02 06:38 . 2010-01-22 06:10 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-22 06:10 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-22 06:10 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-22 06:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-24 13:36 . 2009-12-24 13:36 1239816 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-12-24 09:19 . 2009-12-24 09:24 98095880 ----a-w- c:\users\Public\Paella-Grill 2009-12-24 10-18.zip
2009-10-25 17:36 . 2008-09-29 21:41 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-09-15 1784856]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2008-09-15 05:47 1784856 ----a-w- c:\program files\Softonic_Deutsch\tbSoft.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-09-15 1784856]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-09-15 1784856]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-20 39408]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2009-10-09 25623336]
"Google Update"="c:\users\Hansadmin\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-23 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-05-07 178712]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 6139904]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-09 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-09 92704]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-25 30192]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-01-13 275800]
"VX1000"="c:\windows\vVX1000.exe" [2006-12-05 707360]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-11-05 741376]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-10-30 77824]
"vspdfprsrv.exe"="c:\program files\Visagesoft\eXPert PDF 5\vspdfprsrv.exe" [2007-07-02 1179648]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ClipX"="c:\program files\ClipX\clipx.exe" [2005-11-30 68608]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"VistaSp2"=hex(b):22,4b,a1,ec,b0,5e,ca,01

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 135664]
R3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-10-25 30192]
R4 AAV UpdateService;AAV UpdateService;c:\program files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
R4 lxbf_device;lxbf_device;c:\windows\system32\lxbfcoms.exe [2007-04-24 537520]
S0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2008-08-29 40368]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-01-23 501560]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 DBService;DATA BECKER Update Service;c:\program files\Common Files\DATA BECKER Shared\DBService.exe [2008-12-09 187456]
S2 X4HSX32Ex;X4HSX32Ex;c:\program files\Metaboli Player\X4HSX32Ex.Sys [2007-11-14 29856]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-03-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 09:41]

2010-03-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 09:41]

2010-03-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1144421972-1402686320-4143196615-1001Core.job
- c:\users\Hansadmin\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-23 10:36]

2010-03-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1144421972-1402686320-4143196615-1001UA.job
- c:\users\Hansadmin\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-23 10:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4
Trusted Zone: bwl.de\forstbw.forst
Trusted Zone: landbw.de\www.forst
FF - ProfilePath - c:\users\Hansadmin\AppData\Roaming\Mozilla\Firefox\Profiles\zbuykwdc.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - component: c:\users\Hansadmin\AppData\Roaming\Mozilla\Firefox\Profiles\zbuykwdc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npExentCtl.dll
FF - plugin: c:\users\Hansadmin\AppData\Local\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-11 21:23
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-03-11 21:24:28
ComboFix-quarantined-files.txt 2010-03-11 20:24

Vor Suchlauf: 11 Verzeichnis(se), 13.737.926.656 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 13.566.558.208 Bytes frei

- - End Of File - - 1478431351E7EAB892E091C9274873B2


Gruß
Hansi


Geändert von Hansi10 (11.03.2010 um 22:29 Uhr)

Alt 11.03.2010, 23:14   #6
Hansi10
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Es ist alles nochmal gut gegangen. Habe einfach den Rechner neu gestartet und alles lief wieder einwandfrei. Jetzt kommt es noch darauf an, was die Log-Datei im vorigen Beitrag noch zu sagen hat.

Jedenfalls kann ich wieder einigermaßen beruhigt schlafen.

Gruß
Hansi

Alt 12.03.2010, 11:31   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Sieht gut aus. Mach bitte noch Kontrollscans, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen - 2. Kontrolle bitte mit SUPERAntiSpyware und anschließend alle Logfiles posten.
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 14.03.2010, 19:30   #8
Hansi10
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Hallo Arne,

bin heute erst wieder dazu gekommen und habe die beiden Programme durchlaufen lassen. Der einzige gefundene Trojaner, wenn er denn wirlich einer ist, habe ich in der XP-Partition gefunden. XP verwende ich nur ganz selten und nur bei Programmen, die ich nicht unter VISTA zum laufen gebracht habe. Habe auch noch nie Probleme mit XP gehabt. Wurde aber bestimmt seit 4 Wochen nicht mehr gestartet.

Ich habe die Datei "Adware.Vundo/Variant-MSFake" bisher noch nicht gelöscht, weil ich nicht weiß, ob Webtodate 3.0 diese vielleicht braucht, und es fälschlicherweiße nur als Trojaner deklariert wurde. Hier weißt Du wahrscheinlich besser Bescheid.

Hier nun die beiden Logs:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3865
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

14.03.2010 16:28:40
mbam-log-2010-03-14 (16-28-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 344055
Laufzeit: 50 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------------------------------

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/14/2010 at 07:19 PM

Application Version : 4.34.1000

Core Rules Database Version : 4671
Trace Rules Database Version: 2483

Scan type : Complete Scan
Total Scan Time : 02:30:18

Memory items scanned : 694
Memory threats detected : 0
Registry items scanned : 8481
Registry threats detected : 0
File items scanned : 490918
File threats detected : 1

Adware.Vundo/Variant-MSFake
G:\PROGRAMME\DATA BECKER\WEB TO DATE\GETUNIQUE.DLL

------------------------

Gruß
Hansi

Alt 14.03.2010, 21:40   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Sieht eher nach einem Fehlalarm aus. Werte die Datei aber sicherheitshalber bei Virustotal.com aus und poste den Ergebnislink. Falls die Datei schon ausgwertet wurde, bitte eine weitere Auwertung veranlassen.
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 14.03.2010, 21:49   #10
Hansi10
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Hier der Ergebnislink

Alt 14.03.2010, 21:59   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Die Datei ist sauber. War ein Fehlalarm von Superantispyware, kannst Du also ignorieren.
Wenn alles nun wieder ok ist, bitte alle Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 14.03.2010, 22:08   #12
Hansi10
 
Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Standard

Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?



Danke Arne für die Hilfe. War wirklich ein toller Service. Einzig das Cofi-Programm hat mich etwas ins Schwitzen gebracht. Es waren 90 Minuten voller Sorgen, die ich hätte umgehen können, wenn ich den Rechner gleich neu gestartet hätte. In der Ruhe liegt die Kraft ;-).

Windows lasse ich eigentlich automatisch aktualisieren, das mit dem Acrobat Reader werde ich noch ändern müssen. Macht es eigentlich Sinn, die verseuchte Internetseite irgendwo zu melden? Es handelt sich um die Seite einer Firma, welche vermutlich die letzte Zeit umgegangen ist und irgendjemand hat sich wohl des Servers bemächtigt.

Antwort

Themen zu Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?
.com, adwords, antivir guard, antivirus, avgntflt.sys, becker, bho, bonjour, browser, cid, desktop, device driver, ebay, error, essentials, excel, firefox, flash player, fontcache, geld, gupdate, hdaudio.sys, home premium, infizierte dateien, install.exe, installation, local\temp, log file, logfile, msiexec.exe, notepad.exe, nvlddmkm.sys, programdata, registry, security, server, skype.exe, softonic deutsch toolbar, software, start menu, svchost.exe, system, trojan.fraudpack, trojaner, windows



Ähnliche Themen: Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?


  1. ist dieser rechner sauber? andere kiste xtrem verseucht... profi gesucht
    Log-Analyse und Auswertung - 15.01.2015 (27)
  2. Virus LyricsPal.exe gefunden und mit Avira entfernt. Ist der Rechner jetzt wieder sauber oder noch verseucht?
    Log-Analyse und Auswertung - 22.09.2013 (13)
  3. Rechner sauber nach AVASoft Professional Antivirus (=Trojaner)?
    Log-Analyse und Auswertung - 22.04.2013 (25)
  4. Groupon Trojaner mit Antivir gefunden. Ist mein Rechner jetzt wirklich sauber?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (9)
  5. Rechner spielte fremdes Audio ab. Rechner jetzt sauber?
    Log-Analyse und Auswertung - 03.09.2012 (1)
  6. (2x) Security Shield / TR Atraps.Gen entfernt - ist mein Rechner jetzt wieder sauber?
    Mülltonne - 28.07.2012 (1)
  7. 2. Rechner nach GVU Trojaner Entfernung: System jetzt sauber?(LogFiles dabei)
    Log-Analyse und Auswertung - 15.07.2012 (8)
  8. PC wiederholt verseucht mit "Live Security Platinum", jetzt wieder sauber?
    Log-Analyse und Auswertung - 21.06.2012 (1)
  9. Win32/Bublik.b Trojaner entfernt - ist mein System jetzt wieder sauber?
    Log-Analyse und Auswertung - 01.02.2012 (26)
  10. Antispyware Soft / Antivirus Soft -- auf einem Benutzerkonto weg / auf dem anderen da
    Log-Analyse und Auswertung - 26.05.2010 (0)
  11. Crypt.ZPACK.Gen - ist mein Rechner jetzt endlich wieder "sauber"
    Plagegeister aller Art und deren Bekämpfung - 11.04.2010 (1)
  12. Rechner wieder sauber nach Trojaner Befall?
    Log-Analyse und Auswertung - 28.12.2009 (2)
  13. Trojaner "TDSS" / Antivirus 2009 Spyware -Ist das System jetzt wieder sauber???
    Log-Analyse und Auswertung - 15.02.2009 (3)
  14. Vundo removed? Rechner jetzt sauber?
    Log-Analyse und Auswertung - 26.01.2009 (0)
  15. Trojanerbefall/Jetzt wieder alles sauber?
    Mülltonne - 09.08.2008 (0)
  16. Bin ich jetzt wieder sauber?
    Log-Analyse und Auswertung - 28.04.2007 (2)
  17. Ist mein rechner jetzt sauber???
    Mülltonne - 06.01.2006 (2)

Zum Thema Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? - Hallo, habe mir heute auf einer vermutlich gehackten Internetseite das Trojanische Pferd Antivirus Soft eingefangen. Wollte zwar noch schnell in den Task-Manager um laufende Prozesse zu beenden, war wohl zu - Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?...
Archiv
Du betrachtest: Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.