Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.03.2010, 22:21   #1
puntaara
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Hallo,
vor kurzem habe ich festgestellt, dass ich bei Klicks auf "sponsored links", also die ersten Treffer bei Google-Suchergebnissen, nicht zu der richtigen Webseite geleitet werde.

Zunächst erscheint eine Seite mit "The document has moved, redirecting...", dann wird man auf eine Webseite geleitet, die keinen oder nicht viel sichtbaren Inhalt hat und mit dem eigentlichen Webshop nichts zu tun hat.

Außerdem kommt mir der Rechner momentan subjektiv etwas langsamer vor (z.B. bei Videostreams), was aber natürlich auch andere Gründe haben kann.

Ein Avira Antivira Check vor ein paar Tagen ergab folgendes Ergebnis:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sunday, 7 March 2010  23:33

Es wird nach 1820270 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : xxxxx-NETBOOK

Versionsinformationen:
BUILD.DAT      : 9.0.0.419     21701 Bytes  22.01.2010 18:24:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 00:46:50
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 00:47:07
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 00:47:12
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 19:04:01
VBASE005.VDF   : 7.10.4.204      2048 Bytes  05.03.2010 19:04:01
VBASE006.VDF   : 7.10.4.205      2048 Bytes  05.03.2010 19:04:03
VBASE007.VDF   : 7.10.4.206      2048 Bytes  05.03.2010 19:04:04
VBASE008.VDF   : 7.10.4.207      2048 Bytes  05.03.2010 19:04:05
VBASE009.VDF   : 7.10.4.208      2048 Bytes  05.03.2010 19:04:05
VBASE010.VDF   : 7.10.4.209      2048 Bytes  05.03.2010 19:04:05
VBASE011.VDF   : 7.10.4.210      2048 Bytes  05.03.2010 19:04:07
VBASE012.VDF   : 7.10.4.211      2048 Bytes  05.03.2010 19:04:08
VBASE013.VDF   : 7.10.4.212      2048 Bytes  05.03.2010 19:04:08
VBASE014.VDF   : 7.10.4.213      2048 Bytes  05.03.2010 19:04:08
VBASE015.VDF   : 7.10.4.214      2048 Bytes  05.03.2010 19:04:08
VBASE016.VDF   : 7.10.4.215      2048 Bytes  05.03.2010 19:04:09
VBASE017.VDF   : 7.10.4.216      2048 Bytes  05.03.2010 19:04:09
VBASE018.VDF   : 7.10.4.217      2048 Bytes  05.03.2010 19:04:09
VBASE019.VDF   : 7.10.4.218      2048 Bytes  05.03.2010 19:04:09
VBASE020.VDF   : 7.10.4.219      2048 Bytes  05.03.2010 19:04:09
VBASE021.VDF   : 7.10.4.220      2048 Bytes  05.03.2010 19:04:09
VBASE022.VDF   : 7.10.4.221      2048 Bytes  05.03.2010 19:04:09
VBASE023.VDF   : 7.10.4.222      2048 Bytes  05.03.2010 19:04:10
VBASE024.VDF   : 7.10.4.223      2048 Bytes  05.03.2010 19:04:10
VBASE025.VDF   : 7.10.4.224      2048 Bytes  05.03.2010 19:04:11
VBASE026.VDF   : 7.10.4.225      2048 Bytes  05.03.2010 19:04:11
VBASE027.VDF   : 7.10.4.226      2048 Bytes  05.03.2010 19:04:11
VBASE028.VDF   : 7.10.4.227      2048 Bytes  05.03.2010 19:04:11
VBASE029.VDF   : 7.10.4.228      2048 Bytes  05.03.2010 19:04:11
VBASE030.VDF   : 7.10.4.229      2048 Bytes  05.03.2010 19:04:11
VBASE031.VDF   : 7.10.4.233     25088 Bytes  05.03.2010 19:04:12
Engineversion  : 8.2.1.180
AEVDF.DLL      : 8.1.1.3      106868 Bytes  13.02.2010 00:47:33
AESCRIPT.DLL   : 8.1.3.17    1032570 Bytes  25.02.2010 20:14:14
AESCN.DLL      : 8.1.5.0      127347 Bytes  25.02.2010 20:14:13
AESBX.DLL      : 8.1.2.0      254323 Bytes  25.02.2010 20:14:15
AERDL.DLL      : 8.1.4.2      479602 Bytes  14.02.2010 08:28:34
AEPACK.DLL     : 8.2.1.0      426356 Bytes  03.03.2010 12:21:57
AEOFFICE.DLL   : 8.1.0.39     196987 Bytes  20.02.2010 16:22:31
AEHEUR.DLL     : 8.1.1.7     2326902 Bytes  20.02.2010 16:22:30
AEHELP.DLL     : 8.1.10.1     237942 Bytes  25.02.2010 20:14:12
AEGEN.DLL      : 8.1.2.0      373107 Bytes  25.02.2010 20:14:11
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.12.2     188790 Bytes  03.03.2010 12:21:56
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 11:50:23
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sunday, 7 March 2010  23:33

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '39325' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SuperHybridEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIBIE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DataCardMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsEPCMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsAcpiSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '73' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\14.tmp
    [FUND]      Ist das Trojanische Pferd TR/Sasfis.agpw.8
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ADVPIM1J\update[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Obfuscated.CW.4
C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP108\A0006967.exe
    [FUND]      Ist das Trojanische Pferd TR/Obfuscated.CW.4
C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP109\A0007022.exe
    [FUND]      Ist das Trojanische Pferd TR/Sasfis.agpw.2
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\14.tmp
    [FUND]      Ist das Trojanische Pferd TR/Sasfis.agpw.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc23421.qua' verschoben!
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ADVPIM1J\update[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Obfuscated.CW.4
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf8345d.qua' verschoben!
C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP108\A0006967.exe
    [FUND]      Ist das Trojanische Pferd TR/Obfuscated.CW.4
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc4341d.qua' verschoben!
C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP109\A0007022.exe
    [FUND]      Ist das Trojanische Pferd TR/Sasfis.agpw.2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a51a676.qua' verschoben!


Ende des Suchlaufs: Monday, 8 March 2010  00:17
Benötigte Zeit: 42:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   4829 Verzeichnisse wurden überprüft
 339322 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 339317 Dateien ohne Befall
   8329 Archive wurden durchsucht
      1 Warnungen
      5 Hinweise
  39325 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Gefunden wurden 4 Trojaner. Diese habe ich in Quarantäne versoben. Führe ich jetzt einen Suchlauf durch, werden keine Bedrohungen gefunden. Da das Problem des Redirectings aber immer noch besteht, habe ich den Report mit eingeschlossen, da evtl. hier die Ursache liegt?


Malwarebytes-Anti-Malware findet folgendes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3854
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/03/2010 8:01:34 PM
mbam-log-2010-03-11 (20-01-34).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 154363
Laufzeit: 35 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (h**p://findgala.com/?&uid=195&q={searchTerms}) Good: (h**p://www.Google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
RSIT findet folgendes:

log.txt:
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by xxx at 2010-03-11 21:21:29
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 60 GB (78%) free of 76 GB
Total RAM: 1015 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:21:59 PM, on 11/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\xxxx\Desktop\RSIT.exe
C:\Programme\trend micro\xxxxxxxx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-mobile.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [DataCardMonitor] C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S7A.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: HotSpot Manager.lnk = C:\Programme\HotSpot Manager\HotSpotMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: HotSpot Manager.lnk = C:\Programme\HotSpot Manager\HotSpotMgr.exe (User 'Default user')
O4 - Startup: msconfig32.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256029039531
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe

--
End of file - 8601 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
Symantec NCO BHO - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll [2009-08-26 378736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
Symantec Intrusion Prevention - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\IPSBHO.DLL [2009-08-26 107896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2010-02-13 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-02-13 79648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Norton Toolbar - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll [2009-08-26 378736]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2007-12-19 135168]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2007-12-19 159744]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2007-12-19 131072]
"ETDWare"=C:\Programme\Elantech\ETDCtrl.exe [2009-01-23 416768]
"AsusTray"=C:\Programme\EeePC\ACPI\AsTray.exe [2008-12-04 114688]
"AsusACPIServer"=C:\Programme\EeePC\ACPI\AsAcpiSvr.exe [2008-12-17 622592]
"AsusEPCMonitor"=C:\Programme\EeePC\ACPI\AsEPCMon.exe [2008-05-21 94208]
"DataCardMonitor"=C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe [2009-04-15 253952]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-02-13 17508864]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 57344]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [2010-01-11 246504]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"EPSON Stylus DX6000 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE [2006-09-22 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^HotSpot Manager.lnk]
C:\PROGRA~1\HOTSPO~1\HOTSPO~1.EXE [2008-03-05 839680]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
SuperHybridEngine.lnk - C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe

C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart
msconfig32.exe
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
OpenOffice.org 3.2.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2007-12-19 208896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SymEFA.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

======List of files/folders created in the last 1 months======

2010-03-11 21:21:31 ----D---- C:\Programme\trend micro
2010-03-11 21:21:29 ----D---- C:\rsit
2010-03-11 19:21:28 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-03-11 19:21:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-11 19:21:17 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-03-11 19:08:35 ----D---- C:\Programme\CCleaner
2010-03-11 18:48:25 ----HDC---- C:\WINDOWS\$NtUninstallKB975561$
2010-03-11 18:38:21 ----D---- C:\Programme\HiJackThis
2010-02-23 22:17:36 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$
2010-02-18 12:07:32 ----D---- C:\WINDOWS\Sun
2010-02-13 02:49:00 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org
2010-02-13 02:45:00 ----D---- C:\Programme\JRE
2010-02-13 02:44:51 ----D---- C:\Programme\OpenOffice.org 3
2010-02-13 02:44:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
2010-02-13 02:44:27 ----D---- C:\Programme\Gemeinsame Dateien\Java
2010-02-13 02:44:11 ----A---- C:\WINDOWS\system32\javaws.exe
2010-02-13 02:44:11 ----A---- C:\WINDOWS\system32\javaw.exe
2010-02-13 02:44:11 ----A---- C:\WINDOWS\system32\java.exe
2010-02-13 02:44:11 ----A---- C:\WINDOWS\system32\deploytk.dll
2010-02-13 02:43:46 ----D---- C:\Programme\Java
2010-02-13 02:43:34 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sun
2010-02-13 01:44:43 ----D---- C:\Programme\Avira
2010-02-13 01:44:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2010-02-13 01:31:10 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$
2010-02-13 01:16:26 ----D---- C:\Programme\Symantec
2010-02-13 01:16:00 ----D---- C:\Programme\Windows Sidebar
2010-02-13 01:15:57 ----D---- C:\Programme\Gemeinsame Dateien\Symantec Shared
2010-02-13 01:15:56 ----D---- C:\Programme\NortonInstaller
2010-02-13 00:21:10 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-13 00:21:04 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-13 00:19:21 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-13 00:19:15 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-13 00:19:08 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-13 00:19:02 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-13 00:18:51 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-13 00:18:39 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$

======List of files/folders modified in the last 1 months======

2010-03-11 21:21:31 ----D---- C:\Programme
2010-03-11 21:21:17 ----D---- C:\WINDOWS\Prefetch
2010-03-11 21:15:37 ----D---- C:\WINDOWS\Temp
2010-03-11 21:13:57 ----D---- C:\Programme\Mozilla Firefox
2010-03-11 20:07:55 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-11 20:07:51 ----D---- C:\WINDOWS
2010-03-11 20:06:24 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-11 19:21:22 ----D---- C:\WINDOWS\system32\drivers
2010-03-11 19:14:08 ----D---- C:\WINDOWS\Debug
2010-03-11 18:48:33 ----HD---- C:\WINDOWS\inf
2010-03-11 18:48:27 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-03-11 18:48:27 ----D---- C:\Programme\Movie Maker
2010-03-11 18:47:55 ----HD---- C:\WINDOWS\$hf_mig$
2010-03-11 18:47:45 ----SHD---- C:\WINDOWS\Installer
2010-03-11 18:47:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-03-11 18:40:42 ----SD---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft
2010-03-02 06:30:12 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-23 22:18:19 ----D---- C:\WINDOWS\system32
2010-02-23 22:18:17 ----D---- C:\WINDOWS\ie8updates
2010-02-22 23:45:20 ----D---- C:\WINDOWS\system32\config
2010-02-22 23:44:59 ----D---- C:\WINDOWS\system32\wbem
2010-02-22 23:44:59 ----D---- C:\WINDOWS\Registration
2010-02-22 21:45:11 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-02-14 21:33:43 ----D---- C:\WINDOWS\WinSxS
2010-02-13 02:46:29 ----RSD---- C:\WINDOWS\assembly
2010-02-13 02:45:14 ----RSD---- C:\WINDOWS\Fonts
2010-02-13 02:44:27 ----D---- C:\Programme\Gemeinsame Dateien
2010-02-13 01:22:46 ----D---- C:\WINDOWS\system32\CatRoot
2010-02-13 01:17:13 ----SHD---- C:\System Volume Information
2010-02-13 01:14:35 ----D---- C:\WINDOWS\system32\Restore
2010-02-13 00:07:45 ----D---- C:\Programme\Norton Internet Security
2010-02-13 00:06:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
2010-02-13 00:01:06 ----A---- C:\WINDOWS\win.ini
2010-02-13 00:01:06 ----A---- C:\WINDOWS\system.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 BHDrvx86;Symantec Heuristics Driver; C:\WINDOWS\System32\Drivers\NIS\1008000.029\BHDrvx86.sys [2009-08-26 259632]
R1 ccHP;Symantec Hash Provider; C:\WINDOWS\System32\Drivers\NIS\1008000.029\ccHPx86.sys [2010-02-03 482432]
R1 eeCtrl;Symantec Eraser Control driver; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys []
R1 IDSxpx86;IDSxpx86; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\ipsdefs\20091217.002\IDSxpx86.sys []
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SRTSPX;Symantec Real Time Storage Protection (PEL); C:\WINDOWS\system32\drivers\NIS\1008000.029\SRTSPX.SYS [2009-08-26 43696]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 SYMTDI;Symantec Network Dispatch Driver; C:\WINDOWS\System32\Drivers\NIS\1008000.029\SYMTDI.SYS [2009-08-26 217136]
R1 tcpipBM;Bytemobile Kernel Network Provider; C:\WINDOWS\system32\drivers\tcpipBM.sys [2008-02-11 18816]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2010-02-13 56816]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys [2009-02-06 55152]
R3 AR5416;Atheros AR5008 Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\athw.sys [2008-09-18 1326528]
R3 AsusACPI;ASUS ACPI Driver; C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2008-04-08 10752]
R3 btaudio;Bluetooth-Audiogerät; C:\WINDOWS\system32\drivers\btaudio.sys [2008-05-30 534568]
R3 BTDriver;Virtueller Bluetooth-Kommunikationstreiber; C:\WINDOWS\system32\DRIVERS\btport.sys [2008-02-04 37160]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2008-08-19 991656]
R3 BTWDNDIS;Bluetooth-LAN-Zugangsserver; C:\WINDOWS\system32\DRIVERS\btwdndis.sys [2008-07-24 156816]
R3 btwhid;btwhid; C:\WINDOWS\system32\DRIVERS\btwhid.sys [2008-03-10 57384]
R3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2008-08-19 47272]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-05-05 101376]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2007-12-19 5854688]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-02-13 5029376]
R3 Ktp;Elantech Smart-Pad; C:\WINDOWS\system32\DRIVERS\ETD.sys [2009-02-12 93696]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-09-23 38400]
R3 SymEvent;SymEvent; \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS []
R3 SYMFW;Symantec Network Filter Driver; C:\WINDOWS\System32\Drivers\NIS\1008000.029\SYMFW.SYS [2009-08-26 89904]
R3 SYMIDS;Symantec Network Filter Driver; C:\WINDOWS\System32\Drivers\NIS\1008000.029\SYMIDS.SYS [2009-08-26 33072]
R3 SymIMMP;SymIMMP; C:\WINDOWS\system32\DRIVERS\SymIM.sys [2009-08-26 36400]
R3 SYMNDIS;Symantec Network Filter Driver; C:\WINDOWS\System32\Drivers\NIS\1008000.029\SYMNDIS.SYS [2009-08-26 36400]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-14 121984]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NAVENG;NAVENG; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20091219.003\NAVENG.SYS []
S3 NAVEX15;NAVEX15; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20091219.003\NAVEX15.SYS []
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 SRTSP;Symantec Real Time Storage Protection; C:\WINDOWS\System32\Drivers\NIS\1008000.029\SRTSP.SYS [2009-08-26 308272]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 SYMDNS;SYMDNS; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMDNS.SYS []
S3 SymIM;Symantec Network Security Intermediate Filter Service; C:\WINDOWS\system32\DRIVERS\SymIM.sys [2009-08-26 36400]
S3 SYMREDRV;SYMREDRV; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2008-04-14 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 btwdins;Bluetooth Service; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2008-09-02 346720]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-02-13 153376]
R2 Norton Internet Security;Norton Internet Security; C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe [2009-08-26 117640]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 fsssvc;Windows Live Family Safety; C:\Programme\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         
Ohne allzu viel davon zu verstehen, fällt mir bei den "running processes" folgender auf: C:\Programme\trend micro\xxxxxxxx.exe. Statt xxx steht dort der Name meiner Freundin, um deren Rechner es sich auch handelt. Ist das HiJackThis, das ja glaube ich von trend micro ist?


RSIT - info.txt
Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2010-03-11 21:22:03

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Asus ACPI Driver-->MsiExec.exe /X{19F5658D-92E8-4A08-8657-D38ABB1574B2}
ASUSUpdate for Eee PC-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x7 
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver-->"C:\Programme\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -runfromtemp -l0x0007 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Azurewave Wireless LAN Card-->C:\Programme\InstallShield Installation Information\{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}\setup.exe -runfromtemp -l0x0009 -removeonly
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Eee Instant Key-->C:\Programme\InstallShield Installation Information\{6E4DAE31-7CF3-441A-B6E5-B014D63C80CD}\setup.exe -runfromtemp -l0x0009 -removeonly
EPSON Printer Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
ETDWare PS/2-x86 7.0.4.3 WHQL-->C:\Programme\Elantech\ETDUninst.exe
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB979306)-->"C:\WINDOWS\$NtUninstallKB979306$\spuninst\spuninst.exe"
HotSpot Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7E75BB0E-21CD-42C5-9F8C-1C3A7C10E1F5}\setup.exe" -l0x7 
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Java(TM) 6 Update 18-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF}
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-0407-0000-0000000FF1CE} /uninstall {26454C26-D259-4543-AA60-3189E09C5F76}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-00A1-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0410-0000-0000000FF1CE} /uninstall {322296D4-1EAE-4030-9FBC-D2787EB25FA2}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Suite Activation Assistant-->MsiExec.exe /X{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.5.8)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Norton Internet Security-->C:\Programme\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\A5E82D02\16.8.0.41\InstStub.exe /X
OpenOffice.org 3.2-->MsiExec.exe /I{6ADD0603-16EF-400D-9F9E-486432835002}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB978380)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {667A88D1-0369-4070-A62A-70672D68A9BF}
Security Update for Microsoft Office Excel 2007 (KB978382)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {6DE3DABF-0203-426B-B330-7287D1003E86}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)-->"C:\WINDOWS\ie8updates\KB978207-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953155)-->"C:\WINDOWS\$NtUninstallKB953155$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971468)-->"C:\WINDOWS\$NtUninstallKB971468$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974455)-->"C:\WINDOWS\$NtUninstallKB974455$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975560)-->"C:\WINDOWS\$NtUninstallKB975560$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975561)-->"C:\WINDOWS\$NtUninstallKB975561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975713)-->"C:\WINDOWS\$NtUninstallKB975713$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB977165)-->"C:\WINDOWS\$NtUninstallKB977165$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB977914)-->"C:\WINDOWS\$NtUninstallKB977914$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978037)-->"C:\WINDOWS\$NtUninstallKB978037$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978251)-->"C:\WINDOWS\$NtUninstallKB978251$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978262)-->"C:\WINDOWS\$NtUninstallKB978262$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB978706)-->"C:\WINDOWS\$NtUninstallKB978706$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Super Hybrid Engine-->C:\Programme\InstallShield Installation Information\{88F08F98-12BC-4613-81A2-8F9B88CFC73E}\setup.exe -runfromtemp -l0x0009 -removeonly
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8 (KB976662)-->"C:\WINDOWS\ie8updates\KB976662-IE8\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951618-v2)-->"C:\WINDOWS\$NtUninstallKB951618-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
web'n'walk Manager-->C:\Programme\T-Mobile\web'n'walk Manager\uninst.exe
WIDCOMM Bluetooth Software-->MsiExec.exe /X{84814E6B-2581-46EC-926A-823BD1C670F6}
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Family Safety-->MsiExec.exe /X{54B1E5A3-1B29-4582-A226-172A1FC7BA6C}
Windows Live Fotogalerie-->MsiExec.exe /X{119B7481-0216-40D2-A5CC-C3E1F461ECC1}
Windows Live Mail-->MsiExec.exe /I{5A166C0B-9557-4364-A057-F946D674E6AC}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4}
Windows Live Writer-->MsiExec.exe /X{81821BF8-DA20-4F8C-AA87-F70A274828D4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"

======Hosts File======

74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 www.secure-plus-payments.com
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
78.46.249.73 www.google.com 
78.46.249.73 google.com 
78.46.249.73 google.com.au 
78.46.249.73 www.google.com.au
78.46.249.73 google.be 
78.46.249.73 www.google.be
78.46.249.73 google.com.br 
78.46.249.73 www.google.com.br
78.46.249.73 google.ca 
78.46.249.73 www.google.ca
78.46.249.73 google.ch 
78.46.249.73 www.google.ch
78.46.249.73 google.de 
78.46.249.73 www.google.de
78.46.249.73 google.dk 
78.46.249.73 www.google.dk
78.46.249.73 google.fr 
78.46.249.73 www.google.fr
78.46.249.73 google.ie 
78.46.249.73 www.google.ie
78.46.249.73 google.it 
78.46.249.73 www.google.it
78.46.249.73 google.co.jp 
78.46.249.73 www.google.co.jp
78.46.249.73 google.nl 
78.46.249.73 www.google.nl
78.46.249.73 google.no 
78.46.249.73 www.google.no
78.46.249.73 google.co.nz 
78.46.249.73 www.google.co.nz
78.46.249.73 google.pl 
78.46.249.73 www.google.pl
78.46.249.73 google.se 
78.46.249.73 www.google.se
78.46.249.73 google.co.uk 
78.46.249.73 www.google.co.uk
78.46.249.73 google.co.za 
78.46.249.73 www.google.co.za
78.46.249.73 www.google-analytics.com
78.46.249.73 www.bing.com
78.46.249.73 search.yahoo.com 
78.46.249.73 www.search.yahoo.com
78.46.249.73 uk.search.yahoo.com
78.46.249.73 ca.search.yahoo.com
78.46.249.73 de.search.yahoo.com
78.46.249.73 fr.search.yahoo.com
78.46.249.73 au.search.yahoo.com


======Security center information======

AV: Norton Internet Security (disabled) (outdated)
AV: AntiVir Desktop
FW: Norton Internet Security (disabled)

======System event log======

Computer Name: xxx-NETBOOK
Event Code: 8021
Message: Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\MICHAELWOLF-PC" auf dem Netzwerk "\Device\NetBT_Tcpip_{A5DC8413-B8AF-4468-95E3-CB42E7FDC7EB}" erhalten.
Daten: Fehlercode.

Record Number: 4512
Source Name: BROWSER
Time Written: 20100123141346.000000+060
Event Type: Warnung
User: 

Computer Name: xxx-NETBOOK
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet".

Record Number: 4511
Source Name: Service Control Manager
Time Written: 20100123103037.000000+060
Event Type: Informationen
User: 

Computer Name: xxx-NETBOOK
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt".

Record Number: 4510
Source Name: Service Control Manager
Time Written: 20100123102816.000000+060
Event Type: Informationen
User: 

Computer Name: xxx-NETBOOK
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet.

Record Number: 4509
Source Name: Service Control Manager
Time Written: 20100123102816.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: xxx-NETBOOK
Event Code: 7036
Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt".

Record Number: 4508
Source Name: Service Control Manager
Time Written: 20100123102752.000000+060
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: xxx-NETBOOK
Event Code: 0
Message: 
Record Number: 91
Source Name: btwdins
Time Written: 20091020013149.000000+120
Event Type: Informationen
User: 

Computer Name: xxx-NETBOOK
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 90
Source Name: SecurityCenter
Time Written: 20091020013148.000000+120
Event Type: Informationen
User: 

Computer Name: xxx-NETBOOK
Event Code: 35
Message: Der Dienst 'Norton Internet Security' wurde gestartet.

Record Number: 89
Source Name: Norton Internet Security
Time Written: 20091020013147.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: xxx-NETBOOK
Event Code: 34
Message: Der Dienst 'Norton Internet Security' startet.

Record Number: 88
Source Name: Norton Internet Security
Time Written: 20091020013145.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: xxx-NETBOOK
Event Code: 11707
Message: Produkt: Microsoft .NET Framework 3.5 SP1 -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 87
Source Name: MsiInstaller
Time Written: 20091020013014.000000+120
Event Type: Informationen
User: xxx-NETBOOK\xxx

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=1c02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
         
Beim Lauf von HijackThis kam es auch noch zu folgender Fehlermeldung: "for some reason your system denied access to the hosts file. if any hijacked domains are in this file, hijackthis may not able to fix this..."

Es wäre super, wenn jemand dort mal drüberschauen könnte und mir einen Tipp geben könnte, wo das Problem liegt oder welche Schritte ich einleiten könnte.

Geändert von puntaara (11.03.2010 um 22:29 Uhr)

Alt 12.03.2010, 12:34   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Hallo und

Zitat:
Ohne allzu viel davon zu verstehen, fällt mir bei den "running processes" folgender auf: C:\Programme\trend micro\xxxxxxxx.exe. Statt xxx steht dort der Name meiner Freundin, um deren Rechner es sich auch handelt. Ist das HiJackThis, das ja glaube ich von trend micro ist?
Ja, das ist normal. RSIT bennent automatisch die hijackthis.exe in den Benutzernamen um, der RSIT ausführt.

Zitat:
C:\Programme\Norton Internet Security\Norton Internet Security
Bitte deinstallieren, das benötigt man nicht. Macht außerdem zusammen mit AntiVir Probleme.

Danach bitte ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________

__________________

Alt 13.03.2010, 12:54   #3
puntaara
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Vielen Dank für deine Antwort.

Norton Internet Security war auf dem Rechner vorinstalliert und hatte eine kostenlose Testperiode. Danach habe ich es deinstalliert (dachte ich zumindest), aber es müssen wohl noch Reste übrig gewesen sein. Da die Deinstallationsfunktion nicht funktionierte, habe ich es jetzt mit dem "Norton Removal Tool" entfernt.

Die Anleitung habe ich genau befolgt und habe folgende Logdatei erhalten:

Code:
ATTFilter
ComboFix 10-03-12.04 - xxx 13/03/2010  12:04:49.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.569 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Mozilla Firefox\searchplugins\search.xml
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2010-02-13 bis 2010-03-13  ))))))))))))))))))))))))))))))
.

2010-03-13 10:36 . 2010-03-13 10:36	--------	d-----w-	c:\programme\CCleaner
2010-03-12 17:33 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-03-11 23:12 . 2010-03-11 23:12	--------	d-----w-	c:\dokumente und einstellungen\xxx\Tracing
2010-03-11 22:06 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-11 22:06 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-11 21:59 . 2010-03-11 21:59	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-03-11 20:21 . 2010-03-11 21:58	--------	d-----w-	c:\programme\trend micro
2010-03-11 20:21 . 2010-03-11 20:22	--------	d-----w-	C:\rsit
2010-03-11 18:21 . 2010-03-11 18:21	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-03-11 18:21 . 2010-03-11 18:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-11 18:21 . 2010-03-11 22:06	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-03-11 17:40 . 2010-03-11 17:40	388096	----a-r-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-02-22 21:27 . 2010-02-22 21:27	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-02-22 20:44 . 2010-02-22 20:44	--------	d-----w-	c:\windows\system32\config\systemprofile\IETldCache
2010-02-18 11:07 . 2010-02-18 11:07	--------	d-----w-	c:\windows\Sun
2010-02-14 08:31 . 2010-02-14 08:31	503808	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-597f0aac-n\msvcp71.dll
2010-02-14 08:31 . 2010-02-14 08:31	499712	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-597f0aac-n\jmc.dll
2010-02-14 08:31 . 2010-02-14 08:31	348160	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-597f0aac-n\msvcr71.dll
2010-02-14 08:31 . 2010-02-14 08:31	61440	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-64baf7ac-n\decora-sse.dll
2010-02-14 08:31 . 2010-02-14 08:31	12800	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-64baf7ac-n\decora-d3d.dll
2010-02-13 01:49 . 2010-03-11 17:02	1	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-13 01:49 . 2010-02-13 01:49	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org
2010-02-13 01:45 . 2010-02-13 01:45	--------	d-----w-	c:\programme\JRE
2010-02-13 01:44 . 2010-02-13 01:44	--------	d-----w-	c:\programme\OpenOffice.org 3
2010-02-13 01:44 . 2010-02-13 01:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-02-13 01:44 . 2010-02-13 01:43	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-02-13 01:43 . 2010-02-13 01:43	--------	d-----w-	c:\programme\Java
2010-02-13 00:44 . 2010-02-13 00:49	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-02-13 00:44 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-02-13 00:44 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-02-13 00:44 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-02-13 00:44 . 2010-02-13 00:44	--------	d-----w-	c:\programme\Avira
2010-02-13 00:44 . 2010-02-13 00:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-02-13 00:16 . 2010-02-13 00:16	--------	d-----w-	c:\programme\Windows Sidebar
2010-02-13 00:15 . 2010-02-13 00:15	--------	d-----w-	c:\windows\system32\drivers\NIS

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-13 10:56 . 2009-10-19 21:02	44168	----a-w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-12 00:13 . 2009-04-13 12:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-03-11 22:55 . 2009-04-13 12:03	--------	d-----w-	c:\programme\Norton Internet Security
2010-02-12 23:06 . 2009-10-19 21:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-01-13 19:24 . 2009-10-20 10:45	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-12-31 16:50 . 2009-04-13 10:41	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2009-04-13 10:41	916480	----a-w-	c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2009-04-13 10:53	346624	----a-w-	c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2009-04-13 10:41	33280	----a-w-	c:\windows\system32\csrsrv.dll
2009-12-13 13:39 . 2009-04-13 10:41	85070	----a-w-	c:\windows\system32\perfc007.dat
2009-12-13 13:39 . 2009-04-13 10:41	459728	----a-w-	c:\windows\system32\perfh007.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2009-01-23 416768]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"DataCardMonitor"="c:\programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe" [2009-04-15 253952]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-13 17508864]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
HotSpot Manager.lnk - c:\programme\HotSpot Manager\HotSpotMgr.exe [2009-4-13 839680]

c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
HotSpot Manager.lnk - c:\programme\HotSpot Manager\HotSpotMgr.exe [2009-4-13 839680]

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-4-13 376832]

c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
HotSpot Manager.lnk - c:\programme\HotSpot Manager\HotSpotMgr.exe [2009-4-13 839680]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^HotSpot Manager.lnk]
path=c:\dokumente und einstellungen\xxx\Startmenü\Programme\Autostart\HotSpot Manager.lnk
backup=c:\windows\pss\HotSpot Manager.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13/02/2010 1:44 AM 108289]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13/04/2009 12:42 PM 1684736]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-mobile.de/
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\vwtv1q7q.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.au/ig
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-03-13 12:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  DataCardMonitor = c:\programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe?D\v????X???????rogramme\T-Mobile\web'n'walk Manager\?p.exe?????????E??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2010-03-13  12:11:03
ComboFix-quarantined-files.txt  2010-03-13 11:11

Vor Suchlauf: 7 Verzeichnis(se), 54,968,004,608 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 54,981,570,560 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - EF466C8D05AE8AFBCB4CA4EDFD6AE629
         
__________________

Alt 13.03.2010, 13:56   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
KILLALL::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
c:\windows\system32\drivers\NIS
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.03.2010, 14:56   #5
puntaara
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Während ich die Aktion durchgeführt habe, musste von ComboFix der Rechner neu gestartet werden.

Avira hatte ich vor der Aktion deaktiviert. Durch den Neustart wurde es jedoch wohl wieder aktiviert und ein Fenster mit einer Virusmeldung wurde geöffnet:

Code:
ATTFilter
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\atapi.sys.vir
Ist das Trojanische  Pferd TR/Patched.Gen
         
Mit den Optionen: Quarantäne, Löschen, Umbennen, Zugriff verweigern, Ignorieren

Im Hintergrund befindet sich noch das blaue Combofix-Fenster, läuft aber nicht weiter.

Jetzt weiß ich nicht, was ich machen soll. In der ComboFix-Anleitung steht ja, dass man weder Maus noch Tastatur verwenden soll.

Welche Aktion muss ich bei AntiVir wählen?

Habe bisher noch nichts angerührt und schreibe von einem anderen Rechner....


Alt 13.03.2010, 15:59   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Bitte bei Avira auf ignorieren klicken. CF hat die schädliche Datei bereits verschoben wo sie keinen Schaden anrichten kann, AntiVir stört da erstmal. Am besten eben schnell deaktivieren.
__________________
--> Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google

Alt 13.03.2010, 17:35   #7
puntaara
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Danke für deine schnelle Antwort!

CF lief nach dem Ignorieren der Avira-Meldung zu Ende und produzierte folgendes Log-File:

Code:
ATTFilter
ComboFix 10-03-12.04 - xxx 13/03/2010  14:41:04.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.684 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\U.exe
c:\windows\system32\2614473399.dat
c:\windows\system32\amcompatf.exe
c:\windows\system32\drivers\NIS
c:\windows\system32\drivers\NIS\1008000.029\Cat.DB

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert 
Kopie von - Kitty ate it :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSDPSRVLANMANSERVER
-------\Service_SSDPSRVLanmanServer


(((((((((((((((((((((((   Dateien erstellt von 2010-02-13 bis 2010-03-13  ))))))))))))))))))))))))))))))
.

2010-03-13 12:50 . 2010-03-13 12:50	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-03-13 10:36 . 2010-03-13 10:36	--------	d-----w-	c:\programme\CCleaner
2010-03-12 17:33 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-03-11 23:12 . 2010-03-11 23:12	--------	d-----w-	c:\dokumente und einstellungen\xxx\Tracing
2010-03-11 22:06 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-11 22:06 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-11 21:59 . 2010-03-11 21:59	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-03-11 20:21 . 2010-03-11 21:58	--------	d-----w-	c:\programme\trend micro
2010-03-11 20:21 . 2010-03-11 20:22	--------	d-----w-	C:\rsit
2010-03-11 18:21 . 2010-03-11 18:21	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-03-11 18:21 . 2010-03-11 18:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-11 18:21 . 2010-03-11 22:06	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-03-11 17:40 . 2010-03-11 17:40	388096	----a-r-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-02-22 21:27 . 2010-02-22 21:27	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-02-22 20:44 . 2010-02-22 20:44	--------	d-----w-	c:\windows\system32\config\systemprofile\IETldCache
2010-02-18 11:07 . 2010-02-18 11:07	--------	d-----w-	c:\windows\Sun
2010-02-14 08:31 . 2010-02-14 08:31	503808	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-597f0aac-n\msvcp71.dll
2010-02-14 08:31 . 2010-02-14 08:31	499712	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-597f0aac-n\jmc.dll
2010-02-14 08:31 . 2010-02-14 08:31	348160	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-597f0aac-n\msvcr71.dll
2010-02-14 08:31 . 2010-02-14 08:31	61440	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-64baf7ac-n\decora-sse.dll
2010-02-14 08:31 . 2010-02-14 08:31	12800	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-64baf7ac-n\decora-d3d.dll
2010-02-13 01:49 . 2010-03-11 17:02	1	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-13 01:49 . 2010-02-13 01:49	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org
2010-02-13 01:45 . 2010-02-13 01:45	--------	d-----w-	c:\programme\JRE
2010-02-13 01:44 . 2010-02-13 01:44	--------	d-----w-	c:\programme\OpenOffice.org 3
2010-02-13 01:44 . 2010-02-13 01:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-02-13 01:44 . 2010-02-13 01:43	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-02-13 01:43 . 2010-02-13 01:43	--------	d-----w-	c:\programme\Java
2010-02-13 00:44 . 2010-02-13 00:49	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-02-13 00:44 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-02-13 00:44 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-02-13 00:44 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-02-13 00:44 . 2010-02-13 00:44	--------	d-----w-	c:\programme\Avira
2010-02-13 00:44 . 2010-02-13 00:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-02-13 00:16 . 2010-02-13 00:16	--------	d-----w-	c:\programme\Windows Sidebar

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-13 10:56 . 2009-10-19 21:02	44168	----a-w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-12 00:13 . 2009-04-13 12:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-03-11 22:55 . 2009-04-13 12:03	--------	d-----w-	c:\programme\Norton Internet Security
2010-02-12 23:06 . 2009-10-19 21:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-01-13 19:24 . 2009-10-20 10:45	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-12-31 16:50 . 2009-04-13 10:41	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2009-04-13 10:41	916480	------w-	c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2009-04-13 10:53	346624	----a-w-	c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2009-04-13 10:41	33280	----a-w-	c:\windows\system32\csrsrv.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-03-13_11.09.09   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-13 15:32 . 2010-03-13 15:32	16384              c:\windows\temp\Perflib_Perfdata_780.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2009-01-23 416768]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"DataCardMonitor"="c:\programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe" [2009-04-15 253952]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-13 17508864]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
HotSpot Manager.lnk - c:\programme\HotSpot Manager\HotSpotMgr.exe [2009-4-13 839680]

c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
HotSpot Manager.lnk - c:\programme\HotSpot Manager\HotSpotMgr.exe [2009-4-13 839680]

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-4-13 376832]

c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
HotSpot Manager.lnk - c:\programme\HotSpot Manager\HotSpotMgr.exe [2009-4-13 839680]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^HotSpot Manager.lnk]
path=c:\dokumente und einstellungen\xxx\Startmenü\Programme\Autostart\HotSpot Manager.lnk
backup=c:\windows\pss\HotSpot Manager.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13/02/2010 1:44 AM 108289]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13/04/2009 12:42 PM 1684736]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-mobile.de/
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\vwtv1q7q.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.au/ig
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "h**p://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-03-13 16:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  DataCardMonitor = c:\programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe?D\v????X???????rogramme\T-Mobile\web'n'walk Manager\?p.exe?????????E??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2436)
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\windows\RTHDCPL.EXE
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-13  16:36:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-03-13 15:36
ComboFix2.txt  2010-03-13 11:11

Vor Suchlauf: 8 Verzeichnis(se), 54,887,268,352 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 54,856,019,968 Bytes frei

- - End Of File - - 0E8EAF479F2ABC9848BA1033DAE73510
         

Geändert von puntaara (13.03.2010 um 17:37 Uhr) Grund: Schreibfehler

Alt 13.03.2010, 17:45   #8
puntaara
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Habe es jetzt mehrmals getestet und wie es aussieht, besteht das Redirecting-Problem bei Google nicht mehr

für die super Hilfe!

Alt 13.03.2010, 17:48   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



SIeht gut aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran, beide Tools vorher zu aktualisieren (Signaturupdates)!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.03.2010, 20:23   #10
puntaara
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Die Scans sehen wohl auch gut aus:


Malwarebytes-Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3863
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/03/2010 6:38:21 PM
mbam-log-2010-03-13 (18-38-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 157583
Laufzeit: 36 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
SuperAntiSpyware-Log:
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/13/2010 at 07:44 PM

Application Version : 4.34.1000

Core Rules Database Version : 4671
Trace Rules Database Version: 2483

Scan type       : Complete Scan
Total Scan Time : 00:53:50

Memory items scanned      : 515
Memory threats detected   : 0
Registry items scanned    : 5078
Registry threats detected : 0
File items scanned        : 46112
File threats detected     : 0
         
Allerdings gabs nochmal ne Meldung von Avira bzgl. der Datei in Qurantäne. Soll ich entsprechende Avira-Meldungen in Zukunft einfach ignorieren?

Alt 14.03.2010, 21:45   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Die Quarantäne kannst Du leeren. Wenn nun wieder alles ok ist, bitte die Updates prüfen!

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.03.2010, 12:41   #12
puntaara
 
Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Standard

Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google



Alles läuft wieder einwandfrei und ist jetzt auf dem neuesten Stand.

Vielen, vielen Dank nochmal für deine Hilfe. Alleine hätten wir das Problem wohl nie gelöst bekommen.


Antwort

Themen zu Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google
0 bytes, antivir guard, avgnt.exe, avgntflt.sys, avira, bho, c:\windows\temp, content.ie5, desktop, diagnostics, disabled.securitycenter, document, eraser, flash player, fontcache, google, heuristics, hijack.searchpage, hijackthis, hkus\s-1-5-18, home, hotfix.exe, hotspot, installation, internet, intrusion prevention, jusched.exe, logfile, malwarebytes' anti-malware, moved, mozilla, msiexec.exe, nt.dll, office 2007, problem, prozesse, realtek, registry, rundll, searchscopes, security, security update, senden, skype.exe, software, starten, suchlauf, svchost.exe, symantec, t-mobile, usbvideo.sys, versteckte objekte, verweise, virus gefunden, warnung, windows, windows internet, windows internet explorer, windows-sicherheitscenterdienst, wireless lan



Ähnliche Themen: Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google


  1. Trojanerfunde durch Avira - was tun ?
    Plagegeister aller Art und deren Bekämpfung - 04.03.2015 (13)
  2. Windows 8.1: Dauernde Trojanerfunde - Crypt.Xpack / Z.pack /..
    Log-Analyse und Auswertung - 28.02.2015 (15)
  3. PC ungewöhnlich langsam, mehrere Viren-/Trojanerfunde!
    Log-Analyse und Auswertung - 12.01.2015 (23)
  4. Cross Scripting Verdacht und Trojanerfunde
    Plagegeister aller Art und deren Bekämpfung - 13.08.2014 (37)
  5. Redirecting Virus?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (21)
  6. Mehrere Trojanerfunde nach Fake Facebook Nachricht
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (11)
  7. Mehrfach Trojanerfunde, kann keine Programme downloaden
    Plagegeister aller Art und deren Bekämpfung - 10.12.2012 (39)
  8. 73 Trojanerfunde in C:\WINDOWS\Driver Cache
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (1)
  9. Mehrere Plagegeister die nicht tot zu kriegen sind CI.A Sasfis.A etc
    Log-Analyse und Auswertung - 18.04.2012 (9)
  10. Google Redirecting Virus
    Plagegeister aller Art und deren Bekämpfung - 25.03.2012 (40)
  11. HTML/FakeAlert.AP - Google Redirecting
    Log-Analyse und Auswertung - 22.03.2012 (24)
  12. Google und der Virus: JS/Obfuscated.ZX
    Diskussionsforum - 24.02.2012 (3)
  13. Exploit:Win32/CVE-2011-0658 heute erkannt, vorgestern Trj/Sasfis.A , uvm.
    Log-Analyse und Auswertung - 20.06.2011 (1)
  14. Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (27)
  15. Avira Trojanerfunde TR/Inject.117248, TR/Sasfis.awel, TR/Trash.Gen
    Plagegeister aller Art und deren Bekämpfung - 30.12.2010 (19)
  16. 'WORM/Agent.XO' und TR/Sasfis.zzu.19' [trojan]
    Log-Analyse und Auswertung - 02.02.2010 (8)
  17. redirecting auf IP 69.50.190.131
    Log-Analyse und Auswertung - 15.04.2005 (1)

Zum Thema Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google - Hallo, vor kurzem habe ich festgestellt, dass ich bei Klicks auf "sponsored links", also die ersten Treffer bei Google-Suchergebnissen, nicht zu der richtigen Webseite geleitet werde. Zunächst erscheint eine Seite - Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google...
Archiv
Du betrachtest: Trojanerfunde (TR/Sasfis.agpw.8, TR/Obfuscated.CW.4...) und Redirecting bei Google auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.