Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.07.2010, 01:48   #1
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



Hallo,

nachdem ich letzte Woche erste Probleme an meinem PC feststellte, bin ich auf dieses Forum gestoßen, in dem User die gleichen Symptome schilderten. Ich hatte gehofft mit der entsprechenden Software das Problem zu lösen, aber ich bin wohl gescheitert.

Was war passiert? Seit Mittwoch letzter Woche öffneten sich im Explorer ohne mein Zutun neue Fenster mit Werbung. Quasi pro Explorer-Sitzung einmal. Die Seiten hießen, soweit ich mitprotokolliert habe:

h**p://iwbale.net/webhp/
h**p://iwbale.net/webhp/
h**p://tumaskate.com/nte/rfx.py
h**p://safe-monitoring-4.in/11/
h**p://www.edeka.de/EDEKA/Content/Unterhaltung/WMWelt/index.html
h**p://iwbale.net/img/
h**p://iwbale.net/img/
h**p://safe-monitoring-6.in/phpbb/image/index.php?ID=19834&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU1UWTFOelUySWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9p TVRBMk16WTVJanR6T2pRNkltdHdjR2tpTzA0N2ZYTTZNem9pYldRMUlqdHpPak15T2lJMk9XUmtNRFUyWm1VM05tTmhOMll4TlRNeVptSTNZVEptWkRNNU5USTFZeUk3ZlE9PQ%3D%3D


Das war zwar nervig und antivir wie auch spybot konnte die Ursache nicht finden, aber meine Zeit ließ einen Eintrag hier nicht zu. Am Samstag dann jedoch die nächste Eskalationsstufe. Nach dem Wegklicken der „safe-monitoring“ Seite stand der PC – nichts ging mehr. „Steckerziehen“, neu hochfahren, „Active Desktop wiederherstellen?“. Noch nie gehört. Die Viren und Malware-Programme funktionierten nicht mehr bzw. nach 30 Sekunden stand der ganze PC. Zig mal neugestartet, in einer konstatierten Rettungsaktion noch schnell alle wichtigen Daten auf den USB-Stick kopiert und dann noch mal hier nachgelesen.

Inzwischen habe ich mit Malwarebytes, SuperAntiSpy und AntiVir mehrere Durchläufe gemacht und dabei wohl den Trojaner cleansweep ausfindig gemacht und gelöscht. Seitdem scheinen die Fehler behoben.

So dachte ich bis eben. Nachdem ich Java neuinstalliert habe, dieses hatte ich genauso wie den AdobeReader erstmal deinstalliert, sind inzwischen schon zweimal neue Seiten aufgepoppt. Einmal die "safe-monitoring" Geschichte und einmal:

h**p://belgianlove.org/?xurl=hxxp://mfeed.in/XvU1HCXx5F5Xr7u1187e13ce704db17f341d30bfb3c2739738k&xref=hxxp://belgianlove.org/result.php?Keywords=Trojaner-Board&r=bd84c5462e98a52053896cc742b9c31a4644ed968c09b51f86f30cad46845690283aa0d900843c7fe8370176843fc4cb&Submit=Go

was ich merkwürdig finde, da ich von eurem Board da hin reffered werde.

Insegesamt fällt mir als Auslöser retrospektiv ein, dass ich anfang letzter Woche nach dem Neustart die Info erhielt, ich müsste mein Windows XP neuregistrieren, weil die Hardware sich wohl verändert hätte. Ich hatte eigentlich nichts neu installiert, aber klickte, vielleicht blöderweise, auf "jetzt neu aktivieren". Dann verschwand dieses Key-Symbol, was einen nach Windowsneuinstallation immer an die Registrierung erinnert, auch sofort.

Die LogDatei von Malwarebytes als der Trojaner eleminiert wurde, sah so aus:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4262

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.07.2010 12:37:10
mbam-log-2010-07-03 (12-37-10).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 126996
Laufzeit: 7 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
         
und kurz darauf nochmal

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4274

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.07.2010 17:35:15
mbam-log-2010-07-04 (17-35-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 245413
Laufzeit: 52 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDBIYMVE\update[1].exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP86\A0011748.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP86\A0013784.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
         

Die aktuellen, ganz frischen, Logs lauten:

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:43, on 05.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe
E:\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - Winlogon Notify: !SASWinLogon - E:\SuperAntiSpyware\SASWINLO.DLL
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: SoundMovieServer - SoundMovieServer - C:\WINDOWS\system32\snmvtsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Alcohol 120\StarWind\StarWindServiceAE.exe
--
End of file - 4614 bytes
         
--- --- ---


Malwarebytes

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4280

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.07.2010 23:38:09
mbam-log-2010-07-05 (23-38-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 249372
Laufzeit: 46 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
SuperAntiSpyware

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/06/2010 at 00:53 AM

Application Version : 4.40.1002

Core Rules Database Version : 5155
Trace Rules Database Version: 2967

Scan type       : Complete Scan
Total Scan Time : 00:28:21

Memory items scanned      : 512
Memory threats detected   : 0
Registry items scanned    : 7487
Registry threats detected : 3
File items scanned        : 22777
File threats detected     : 0

Disabled.SecurityCenterOption
	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY
         

Geändert von OSAS (06.07.2010 um 02:25 Uhr)

Alt 06.07.2010, 01:50   #2
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



Und, weil ich es in die Hilfe-Thrads auch schon als häufig verlangtes Tool gesehen habe, der OTL Log:

Code:
ATTFilter
OTL logfile created on: 06.07.2010 01:21:09 - Run 3
OTL by OldTimer - Version 3.2.7.0     Folder = E:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): D:\pagefile.sys 3072 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 12,97 Gb Free Space | 44,29% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 6,71 Gb Free Space | 68,75% Space Free | Partition Type: NTFS
Drive E: | 19,53 Gb Total Space | 14,94 Gb Free Space | 76,50% Space Free | Partition Type: NTFS
Drive F: | 537,57 Gb Total Space | 96,15 Gb Free Space | 17,89% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - E:\SuperAntiSpyware\66dee54b-fdb0-44d8-9096-4af3f7feb5dc.com (SUPERAntiSpyware.com)
PRC - E:\OTL.exe (OldTimer Tools)
PRC - E:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - E:\Microsoft Office 2003\OFFICE11\WINWORD.EXE (Microsoft Corporation)
PRC - E:\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - E:\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
PRC - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
 
 
========== Modules (SafeList) ==========
 
MOD - E:\OTL.exe (OldTimer Tools)
MOD - E:\SuperAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
MOD - C:\WINDOWS\system32\riched20.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvcr71.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvcp71.dll (Microsoft Corporation)
MOD - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\STARTUP\EN9CWYW.WordXP.wll (Thomson ResearchSoft)
MOD - C:\WINDOWS\system32\mfc71u.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\MFC71DEU.DLL (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (AntiVirService) -- E:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- E:\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (SoundMovieServer) -- C:\WINDOWS\System32\snmvtsvc.exe (SoundMovieServer)
SRV - (AdobeActiveFileMonitor7.0) -- E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG)
SRV - (StarWindServiceAE) -- E:\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
SRV - (IviRegMgr) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
SRV - (OpenVPNService) -- C:\Programme\OpenVPN\bin\openvpnserv.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SASKUTIL) -- E:\SuperAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASDIFSV) -- E:\SuperAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (tbhsd) -- C:\WINDOWS\system32\drivers\tbhsd.sys (RapidSolution Software AG)
DRV - (taphss) -- C:\WINDOWS\system32\drivers\taphss.sys (AnchorFree Inc)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (tap0901) -- C:\WINDOWS\system32\drivers\tap0901.sys (The OpenVPN Project)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (SndTAudio) -- C:\WINDOWS\system32\drivers\SndTAudio.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (ACEDRV07) -- C:\WINDOWS\system32\drivers\ACEDRV07.sys (Protect Software GmbH)
DRV - (avgio) -- E:\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (SndTVideo) -- C:\WINDOWS\system32\drivers\SndTVideo.sys (Windows (R) 2000 DDK provider)
DRV - (TotRec7) -- C:\WINDOWS\system32\drivers\TotRec7.sys (High Criteria inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (MovRVDrv32) -- C:\WINDOWS\system32\drivers\MovRVDrv32.sys (Windows (R) 2000 DDK provider)
DRV - (SndTDriverV32) -- C:\WINDOWS\system32\drivers\SndTDriverV32.sys (Windows (R) 2000/XP)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (tapvpn) -- C:\WINDOWS\system32\drivers\tapvpn.sys (The OpenVPN Project)
DRV - (s816mdm) -- C:\WINDOWS\system32\drivers\s816mdm.sys (MCCI Corporation)
DRV - (s816mgmt) Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s816mgmt.sys (MCCI Corporation)
DRV - (s816unic) Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM) -- C:\WINDOWS\system32\drivers\s816unic.sys (MCCI)
DRV - (s816obex) -- C:\WINDOWS\system32\drivers\s816obex.sys (MCCI Corporation)
DRV - (s816nd5) Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS) -- C:\WINDOWS\system32\drivers\s816nd5.sys (MCCI Corporation)
DRV - (s816mdfl) -- C:\WINDOWS\system32\drivers\s816mdfl.sys (MCCI Corporation)
DRV - (s816bus) Sony Ericsson Device 816 driver (WDM) -- C:\WINDOWS\system32\drivers\s816bus.sys (MCCI Corporation)
DRV - (acedrv09) -- C:\WINDOWS\system32\drivers\acedrv09.sys (Protect Software GmbH)
DRV - (acehlp09) -- C:\WINDOWS\system32\drivers\acehlp09.sys (Protect Software GmbH)
DRV - (tap0801) -- C:\WINDOWS\system32\drivers\tap0801.sys (The OpenVPN Project)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (ASPI) -- C:\WINDOWS\system32\drivers\ASPI32.SYS (Adaptec)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:1.9.9.97
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 5
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: {5B52016C-D097-4aec-BE61-9F129D8FDDBA}:2.0
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 9666
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: E:\Mozilla Firefox\components [2010.01.19 18:29:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: E:\Mozilla Firefox\plugins [2010.07.05 20:58:41 | 000,000,000 | ---D | M]
 
[2010.01.04 17:46:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.07.03 11:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions
[2010.07.03 11:49:36 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.01.15 20:40:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{5B52016C-D097-4aec-BE61-9F129D8FDDBA}
[2010.07.03 11:49:56 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.07.03 11:49:35 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.12 00:10:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\firefox@tvunetworks.com
 
O1 HOSTS File: ([2009.02.04 11:38:19 | 000,292,082 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 10056 more lines...
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found.
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - E:\Microsoft Office 2003\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - E:\SuperAntiSpyware\SASWINLO.DLL - E:\SuperAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - E:\SuperAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.06.06 17:50:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{aaa8564a-09fe-11df-8966-001fc61eba4b}\Shell\verb1\command - "" = desktop.exe
O33 - MountPoints2\{ccf2d0f0-db77-11de-88bd-001fc61eba4b}\Shell\AutoRun\command - "" = Feast\Ival\Feast.exe
O33 - MountPoints2\{ccf2d0f0-db77-11de-88bd-001fc61eba4b}\Shell\open\command - "" = Feast\Ival\Feast.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.05 20:58:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.07.05 20:58:51 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.07.05 20:58:41 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.05 20:58:41 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.05 20:58:41 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.05 20:58:41 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.05 20:58:41 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.05 20:58:30 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.07.05 20:57:23 | 000,922,400 | ---- | C] (Sun Microsystems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\jre-6u20-windows-i586-iftw-rv.exe
[2010.07.05 13:47:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
[2010.07.05 13:47:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.07.05 12:21:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.06.30 08:15:26 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.06.29 12:35:22 | 000,719,872 | ---- | C] (Abysmal Software) -- C:\WINDOWS\System32\devil.dll
[2010.06.29 12:35:22 | 000,369,152 | ---- | C] (The Public) -- C:\WINDOWS\System32\avisynth.dll
[2010.06.29 12:35:20 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll
[2010.06.29 12:35:20 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\i420vfw.dll
[2010.06.29 12:35:18 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5
[2010.06.29 12:35:11 | 000,216,064 | RHS- | C] (MONOGRAM Multimedia, s.r.o.) -- C:\WINDOWS\System32\nbDX.dll
[2010.06.29 12:35:11 | 000,186,880 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLOgg.ax
[2010.06.29 12:35:11 | 000,179,200 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\DiracSplitter.ax
[2010.06.29 12:35:11 | 000,169,472 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\MatroskaDX.ax
[2010.06.29 12:35:11 | 000,163,328 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\flvDX.dll
[2010.06.29 12:35:11 | 000,161,792 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\RealMediaDX.ax
[2010.06.29 12:35:11 | 000,123,904 | RHS- | C] (CoreCodec) -- C:\WINDOWS\System32\AVCDX.ax
[2010.06.29 12:35:11 | 000,092,672 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLVorbisDec.ax
[2010.06.29 12:35:11 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSSplitter.ax
[2010.06.29 12:35:11 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSDecoder.ax
[2010.06.29 12:35:11 | 000,067,584 | RHS- | C] (RadLight, LLC) -- C:\WINDOWS\System32\RLTheoraDec.ax
[2010.06.29 12:35:11 | 000,031,232 | RHS- | C] (Hans Mayerl) -- C:\WINDOWS\System32\msfDX.dll
[2010.06.28 10:38:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.06.28 10:37:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Real
[2010.06.20 14:19:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.06 01:13:01 | 000,000,482 | ---- | M] () -- C:\WINDOWS\tasks\Automatic troubleshooting.job
[2010.07.06 01:12:56 | 000,012,540 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.06 01:12:42 | 000,192,339 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.07.06 01:12:40 | 000,001,106 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.06 01:12:38 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.06 01:12:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.06 01:11:52 | 018,350,080 | ---- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.07.06 00:28:00 | 000,001,110 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.05 20:58:33 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.05 20:58:33 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.05 20:58:33 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.05 20:58:32 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.05 20:58:32 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.05 20:57:24 | 000,922,400 | ---- | M] (Sun Microsystems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\jre-6u20-windows-i586-iftw-rv.exe
[2010.07.04 09:28:56 | 000,000,619 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.04 09:28:56 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.07.04 09:28:56 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.07.03 12:15:09 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.06.30 23:41:59 | 000,521,484 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Zwischenablage01.jpg
[2010.06.30 14:37:31 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.06.30 14:34:31 | 000,173,568 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.30 08:15:26 | 000,001,710 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HijackThis.lnk

[2010.06.20 23:21:16 | 000,012,540 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak

[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 

[2010.06.29 12:35:20 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2010.06.29 12:35:11 | 000,227,328 | RHS- | C] () -- C:\WINDOWS\System32\ac3DX.ax
[2010.06.29 12:35:11 | 000,175,104 | RHS- | C] () -- C:\WINDOWS\System32\CoreAAC.ax
[2010.06.29 12:35:11 | 000,120,832 | RHS- | C] () -- C:\WINDOWS\System32\MPCDx.ax
[2010.06.29 12:35:11 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\RLMPCDec.ax
[2010.06.29 12:35:11 | 000,097,280 | RHS- | C] () -- C:\WINDOWS\System32\FLACDX.ax
[2010.06.29 12:35:11 | 000,081,920 | RHS- | C] () -- C:\WINDOWS\System32\aac_parser.ax
[2010.06.29 12:35:11 | 000,070,656 | RHS- | C] () -- C:\WINDOWS\System32\RLAPEDec.ax
[2010.06.29 12:35:11 | 000,051,712 | RHS- | C] () -- C:\WINDOWS\System32\RLSpeexDec.ax
[2010.03.29 19:42:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asym.ini
[2010.01.03 13:59:12 | 000,000,168 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2009.12.02 19:38:37 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.03.24 17:29:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\PyWinTypes21.dll
[2009.03.24 17:29:47 | 000,290,919 | ---- | C] () -- C:\WINDOWS\System32\pythoncom21.dll
[2009.03.24 17:28:11 | 000,096,768 | ---- | C] () -- C:\WINDOWS\SlantAdj.dll
[2009.03.24 17:28:11 | 000,000,072 | ---- | C] () -- C:\WINDOWS\System32\epDPE.ini
[2009.03.19 13:41:05 | 000,000,015 | ---- | C] () -- C:\WINDOWS\smapanel.ini
[2009.03.02 12:33:32 | 000,067,584 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.03.02 12:33:32 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2009.02.04 10:14:35 | 000,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2008.07.09 14:48:45 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.06.26 20:51:35 | 000,000,029 | ---- | C] () -- C:\WINDOWS\DEBUGSM.INI
[2008.06.25 00:48:36 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS79.DLL
[2008.06.10 23:05:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.06.06 18:02:17 | 000,033,012 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2008.06.06 18:02:04 | 000,032,727 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.06.06 18:02:03 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008.06.06 18:01:53 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2007.04.19 07:26:00 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.04.19 07:26:00 | 001,503,232 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.04.19 07:26:00 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.04.19 07:26:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.04.19 07:26:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.04.19 07:26:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.09.13 13:06:10 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\gtapi.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
< End of report >
         
--- --- ---


OTL EXTRAS Logfile:

Code:
ATTFilter
OTL Extras logfile created on: 06.07.2010 01:21:09 - Run 3
OTL by OldTimer - Version 3.2.7.0     Folder = E:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): D:\pagefile.sys 3072 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 12,97 Gb Free Space | 44,29% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 6,71 Gb Free Space | 68,75% Space Free | Partition Type: NTFS
Drive E: | 19,53 Gb Total Space | 14,94 Gb Free Space | 76,50% Space Free | Partition Type: NTFS
Drive F: | 537,57 Gb Total Space | 96,15 Gb Free Space | 17,89% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "E:\Microsoft Office 2003\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "E:\Microsoft Office 2003\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "E:\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "E:\MediaMonkey3\MediaMonkey.exe" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "E:\MediaMonkey3\MediaMonkey.exe" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "E:\MediaMonkey3\MediaMonkey.exe" /ADD "%1" (Ventis Media Inc.)
Directory [PlayWithVLC] -- "E:\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [SCHLECKER Foto Digital Service] -- "E:\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\ICQ6.5\ICQ.exe" = E:\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{2A03B9F8-BE6D-43C6-A16A-B9998A194AF0}" = Garmin Training Center
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35B73650-6899-11DA-6784-00232A9018BE}" = GraphPad Prism 5 (Trial)
"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{53C020C2-8C1A-11D9-8BDE-F66BAD1E3F3A}" = EndNote 9 Volume License Edition
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{65F9E1F3-A2C1-4AA9-9F33-A3AEB0255F0E}" = Garmin USB Drivers
"{66A9D30D-1464-4C7F-B2F3-507DADAF2595}" = Microsoft IntelliPoint 6.3
"{6C11D561-620B-47DA-A693-4C597F3CDF40}" = EPSON Smart Panel
"{6CDC748B-47B0-45EB-B740-681E8429F7F9}" = Opera 10.01
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A3EABC0-CA06-11D4-BF77-00104B130C19}" = EPSON TWAIN 5
"{9C450606-ED24-4958-92BA-B8940C99D441}" = PixiePack Codec Pack
"{9EDBB857-8028-49CD-B9C9-0B4D10CD1031}" = Nero 8
"{A066194B-DC8F-449A-8E0F-B57BDD3A2072}" = SyncToy 2.1 (x86)
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B69CC1A5-0404-11D6-ABCB-005004C21D30}" = EPSON Copy Utility
"{BBBCAE4B-B416-4182-A6F2-438180894A81}" = Napster
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB6075D9-F912-40AE-BEA6-E590DA24F16B}" = Adobe Photoshop Elements 7.0
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{D3A80508-CD83-4CA3-8671-914A1BC78B61}" = Microsoft Sync Framework 2.0 Provider Services (x86) ENU 
"{D642E38E-0D24-486C-9A2D-E316DD696F4B}" = Microsoft XML Parser
"{DEAD07C6-D070-43AB-A60D-D9ABE55E296D}_is1" = JPEGCrops 0.7.5 beta
"{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}" = ScanToWeb
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FF63121D-91C6-42CC-B341-F1AA729728E7}" = Microsoft Sync Framework 2.0 Core Components (x86) ENU 
"49CF605F02C7954F4E139D18828DE298CD59217C" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (06/03/2009 2.3.0.0)
"7-Zip" = 7-Zip 4.64
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop Elements 7" = Adobe Photoshop Elements 7.0
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"dBpoweramp [Multi Encoder] Codec" = dBpoweramp [Multi Encoder] Codec
"dBpoweramp DSP Effects" = dBpoweramp DSP Effects
"dBpoweramp FLAC Codec" = dBpoweramp FLAC Codec
"dBpoweramp m4a Codec" = dBpoweramp m4a Codec
"dBpoweramp Midi Decoder" = dBpoweramp Midi Decoder
"dBpoweramp Monkeys Audio Codec" = dBpoweramp Monkeys Audio Codec
"dBpoweramp mp3 (Fraunhofer IIS) Codec" = dBpoweramp mp3 (Fraunhofer IIS) Codec
"dBpoweramp Musepack Codec" = dBpoweramp Musepack Codec
"dBpoweramp Music Converter" = dBpoweramp Music Converter
"dBpoweramp Ogg Vorbis Codec" = dBpoweramp Ogg Vorbis Codec
"dBpoweramp Windows Media Audio 10 Codec" = dBpoweramp Windows Media Audio 10 Codec
"EPSON Photo Print" = EPSON Photo Print
"Exifer_is1" = Exifer
"EZemailBackup_is1" = EZ eMail Backup 2.0
"Free Video to Mp3 Converter_is1" = Free Video to Mp3 Converter version 3.1
"HijackThis" = HijackThis 2.0.2
"HyperCam 2" = HyperCam 2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"IrfanView" = IrfanView (remove only)
"ISI ResearchSoft - Export Helper" = ISI ResearchSoft - Export Helper
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Marvell Miniport Driver" = Marvell Miniport Driver
"MediaMonkey_is1" = MediaMonkey 3.2
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"Mp3tag" = Mp3tag v2.41
"MPE" = MyPhoneExplorer
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"OpenVPN" = OpenVPN 2.0.9
"PartyPoker" = PartyPoker
"ProtectDisc Driver" = ProtectDisc Helper Driver
"RealPlayer 6.0" = RealPlayer
"Ruhe_is1" = Ruhe V 0.09c
"SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service
"SopCast" = SopCast 3.0.3
"SoundTaxi_is1" = SoundTaxi 3.8.3
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"Tippmaster_is1" = Tippmaster v3.4.0
"TotalRecorder" = Total Recorder 7.1
"Trillian" = Trillian
"TVUPlayer" = TVUPlayer 2.5.2.2
"VLC media player" = VLC media player 1.0.1
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.7
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Yahoo! Widget Engine" = Yahoo! Widgets
"YInstHelper" = Yahoo! Install Manager
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 03.07.2010 05:20:11 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 03.07.2010 18:00:27 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 03.07.2010 18:00:28 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 04.07.2010 03:45:07 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung AcroRd32.exe, Version 8.1.0.137, fehlgeschlagenes
 Modul EScript.api, Version 8.1.3.187, Fehleradresse 0x000eee1a.
 
Error - 05.07.2010 05:54:37 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 05.07.2010 05:54:37 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 05.07.2010 16:13:05 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 05.07.2010 16:13:05 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 05.07.2010 18:13:36 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
 abnormally  .
 
Error - 05.07.2010 18:13:36 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
[ System Events ]
Error - 01.05.2010 02:01:36 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.3 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 01.05.2010 20:17:25 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 02.05.2010 03:51:54 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 02.05.2010 15:19:04 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 03.05.2010 00:59:52 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 03.05.2010 16:09:20 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 04.05.2010 01:52:34 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.3 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 04.05.2010 17:12:18 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 05.05.2010 04:11:15 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 05.05.2010 16:32:04 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
 001FC61EBA4B wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
 
< End of report >
         
--- --- ---

Kann man anhand der Logs schon den Fehler sehen? Ist Java das respektive so ein Problem? Die Koinzidenz der Probleme mit Neuinstallation der Software ist ja deutlich, allerdings ging’s vorher auch lange gut.

Zusätzliches (oder vergesellschaftetes?) Problem: Das Windows-Update geht nicht. Der implementierte Windows Update Button liefert „Die Website kann nicht angezeigt werden“ und auch die Google Suche lässt mich die Seite „h**p://update.microsoft.com/windows update/v6/default.aspx?ln=de“ nicht öffnen.


Vielen Dank für die Hilfe,
OSAS

p.S. Sorry für die 2 Posts, aber euer Forum lässt das Wort "windows_update" (ohne unterstrich) nicht zu, sondern reagiert dann mit "die webseite konnte nicht angezeigt werden". das musste ich ersteinmal rausfinden.
__________________


Geändert von OSAS (06.07.2010 um 02:27 Uhr)

Alt 06.07.2010, 12:16   #3
markusg
/// Malware-holic
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________

Alt 06.07.2010, 20:13   #4
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



Hallo,

danke für die Antwort. Vor dem Combofix-Log noch eins vorneweg. Ich habe noch mit ESET und Kasparsky gescannt. ESET fand den von mir vermuteten Java-Trojaner, der, wie von mir beschrieben, weg war, als Java deinstalliert war und wieder auftauchte, als ich es neu drauf zog.

Blöderweise findet Kaspersky immernoch Java-Files, obwohl ESET diese nicht mehr sieht.

ESET
Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=6beca40cf0fa04458255a1704bd924ed
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-06 01:21:48
# local_time=2010-07-06 03:21:48 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 499229 499229 0 0
# compatibility_mode=1797 16775141 100 100 1021504 53893062 51448 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=58440
# found=4
# cleaned=4
# scan_time=1556
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\3eb5eadb-4d5e2e61	multiple threats (deleted - quarantined)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\a61e120-64015ea1	multiple threats (deleted - quarantined)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\14833d-62254409	probably a variant of Java/TrojanDownloader.Agent.AB trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Programme\Hotspot Shield\bin\openvpnas.exe	a variant of Win32/HotSpotShield application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=6beca40cf0fa04458255a1704bd924ed
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-07-06 09:26:01
# local_time=2010-07-06 11:26:01 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 523603 523603 0 0
# compatibility_mode=1797 16775125 100 100 1045878 53917436 75822 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=158288
# found=2
# cleaned=2
# scan_time=6235
E:\@Install-Links\HSS-1.12-install-anchorfree-76-conduit.zip	a variant of Win32/HotSpotShield application (deleted - quarantined)	00000000000000000000000000000000	C
E:\@Install-Links\HSS-1.37-install-anchorfree-76-conduit.exe	a variant of Win32/HotSpotShield application (deleted - quarantined)	00000000000000000000000000000000	C
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=6beca40cf0fa04458255a1704bd924ed
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-07-06 02:04:16
# local_time=2010-07-06 04:04:16 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 542489 542489 0 0
# compatibility_mode=1797 16775125 100 100 1064764 53936322 94708 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=97286
# found=0
# cleaned=0
# scan_time=4043
         
Kaspersky
Code:
ATTFilter
Tuesday, July 6, 2010
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Tuesday, July 06, 2010 05:12:04
Records in database: 4244456
 
 
Scan settings 
scan using the following database extended 
Scan archives yes 
Scan e-mail databases yes 
 
Scan area My Computer 
A:\
C:\
D:\
E:\
F:\
G:\
H:\  
 
Scan statistics 
Objects scanned 158297 
Threats found 2 
Infected objects found 3 
Suspicious objects found 1 
Scan duration 01:51:50 

File name Threat Threats count 
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\45325901-55b9924c Infected: Trojan-Downloader.Java.Agent.ff 1  
 
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\1960d6f8-10e2868c Infected: Trojan-Downloader.Java.Agent.ff 1  
 
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\5faeeec7-4c9203a4 Infected: Trojan-Downloader.Java.Agent.ff 1  
 
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst Suspicious: Trojan-Spy.HTML.Fraud.gen 1  
 
Selected area has been scanned.
         
und nochmal, geht nicht weg:
Code:
ATTFilter
Tuesday, July 6, 2010
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Tuesday, July 06, 2010 05:12:04
Records in database: 4244456
 
 
Scan settings 
scan using the following database extended 
Scan archives yes 
Scan e-mail databases yes 
 
Scan area My Computer 
A:\
C:\
D:\
E:\
F:\
G:\
H:\  
 
Scan statistics 
Objects scanned 155447 
Threats found 2 
Infected objects found 3 
Suspicious objects found 1 
Scan duration 02:08:42 

File name Threat Threats count 
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\45325901-55b9924c Infected: Trojan-Downloader.Java.Agent.ff 1  
 
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\1960d6f8-10e2868c Infected: Trojan-Downloader.Java.Agent.ff 1  
 
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\5faeeec7-4c9203a4 Infected: Trojan-Downloader.Java.Agent.ff 1  
 
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst Suspicious: Trojan-Spy.HTML.Fraud.gen 1  
 
Selected area has been scanned.
         
So, jetzt das Logfile von Combofix.

[code]
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-07-05.03 - *** 06.07.2010  19:07:21.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1616 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AVSredirect.dll

Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-06 bis 2010-07-06  ))))))))))))))))))))))))))))))
.

2010-07-06 00:47 . 2010-07-06 00:47	--------	d-----w-	c:\programme\ESET
2010-07-05 18:58 . 2010-07-05 18:58	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-sse.dll
2010-07-05 18:58 . 2010-07-05 18:58	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcp71.dll
2010-07-05 18:58 . 2010-07-05 18:58	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\jmc.dll
2010-07-05 18:58 . 2010-07-05 18:58	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcr71.dll
2010-07-05 18:58 . 2010-07-05 18:58	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-d3d.dll
2010-07-05 18:58 . 2010-07-05 18:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-07-05 18:58 . 2010-07-05 18:58	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-05 18:58 . 2010-07-05 18:58	--------	d-----w-	c:\programme\Java
2010-07-05 11:48 . 2010-07-05 11:48	63488	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-07-05 11:48 . 2010-07-05 11:48	52224	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-07-05 11:48 . 2010-07-05 11:48	117760	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-07-05 11:47 . 2010-07-05 11:47	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2010-07-05 11:47 . 2010-07-05 11:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-06-30 06:15 . 2010-06-30 06:15	--------	d-----w-	c:\programme\Trend Micro
2010-06-29 10:35 . 2009-09-27 07:39	369152	----a-w-	c:\windows\system32\avisynth.dll
2010-06-29 10:35 . 2004-02-22 08:11	719872	----a-w-	c:\windows\system32\devil.dll
2010-06-29 10:35 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2010-06-29 10:35 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2010-06-29 10:35 . 2010-06-29 10:35	--------	d-----w-	c:\programme\AviSynth 2.5
2010-06-29 10:35 . 2008-03-16 13:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
2010-06-29 10:35 . 2007-02-21 11:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2010-06-29 10:35 . 2006-05-03 10:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2010-06-28 08:38 . 2010-06-28 08:38	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-06-28 08:38 . 2010-06-28 08:38	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 01:16 . 2009-02-03 12:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-04 07:46 . 2008-06-17 19:56	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-06-30 12:24 . 2009-12-29 08:32	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2010-06-23 17:29 . 2009-09-29 10:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Udso
2010-06-23 16:56 . 2010-03-22 12:36	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Unwyi
2010-05-18 19:42 . 2009-11-19 10:49	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-05-17 21:24 . 2010-04-24 20:18	--------	d-----w-	c:\programme\Google
2010-04-29 13:39 . 2010-01-03 12:08	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-01-03 12:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2008-04-14 02:23 . 2010-01-14 11:24	73728	--sha-w-	c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
2006-05-03 10:06 . 2010-06-29 10:35	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-06-29 10:35	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-06-29 10:35	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2009-02-04 24064]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\superantispyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	e:\superantispyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave"=DrvTrNTm.dll
"mixer"=DrvTrNTm.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Yahoo! Widgets.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Yahoo! Widgets.lnk
backup=c:\windows\pss\Yahoo! Widgets.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 15:20	57344	----a-w-	c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-02-04 09:04	4608	----a-w-	e:\alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08	209153	----a-w-	e:\avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2009-02-04 12:45	24064	----a-w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gStart]
2008-08-13 13:34	1891416	----a-w-	c:\garmin\gStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
2006-03-20 15:34	213936	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 12:57	153136	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-09-17 22:55	13574144	----a-w-	c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-09-17 22:55	86016	----a-w-	c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-09-17 22:55	1657376	----a-w-	c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-03-07 17:15	413696	----a-w-	c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-12-26 15:20	18081280	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UniblueSpeedUpMyPC]
2009-04-29 09:45	614696	----a-w-	e:\uniblue\SpeedUpMyPC\Uniblue\SpeedUpMyPC\Launcher.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Skype\\Phone\\Skype.exe"=

R1 SASDIFSV;SASDIFSV;e:\superantispyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;e:\superantispyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 acedrv09;acedrv09;c:\windows\system32\drivers\acedrv09.sys [18.06.2007 15:10 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [30.05.2007 18:54 201696]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;e:\adobe photo shop\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\avira\AntiVir Desktop\sched.exe [19.03.2009 13:45 108289]
R3 SndTAudio;SndTAudio;c:\windows\system32\drivers\SndTAudio.sys [29.12.2009 10:03 23096]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 14:37 26624]
R3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [26.03.2009 20:27 127496]
S1 SABKUTIL;SABKUTIL;\??\e:\sabkutil.sys --> e:\SABKUTIL.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.04.2010 22:18 136176]
                                                                                                    SPI32.SYS [10.12.2008 16:02 16512]
S3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [16.11.2009 14:58 3768]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [03.10.2008 01:07 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [03.10.2008 01:20 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [03.10.2008 01:20 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [03.10.2008 01:56 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [03.10.2008 01:20 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [03.10.2008 01:55 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [03.10.2008 01:19 97704]
S3 SndTVideo;SndTVideo;c:\windows\system32\drivers\SndTVideo.sys [28.12.2009 20:20 3768]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [28.12.2009 20:20 200704]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.02.2009 10:14 717296]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32	8192	----a-w-	c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
IE: Nach Microsoft &Excel exportieren - e:\micros~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: e:\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: e:\mozilla firefox\plugins\npstrlnk.dll
FF - plugin: e:\opera\program\plugins\npdsplay.dll
FF - plugin: e:\opera\program\plugins\NPOFFICE.DLL
FF - plugin: e:\opera\program\plugins\npwmsdrm.dll
FF - plugin: e:\real player\Netscape6\nppl3260.dll
FF - plugin: e:\real player\Netscape6\nprjplug.dll
FF - plugin: e:\real player\Netscape6\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - e:\adobe acrobat reader\Reader\Reader_sl.exe
MSConfigStartUp-SunJavaUpdateSched - e:\java\bin\jusched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-06 19:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(604)
e:\superantispyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2010-07-06  19:12:32
ComboFix-quarantined-files.txt  2010-07-06 17:12

Vor Suchlauf: 10 Verzeichnis(se), 13.487.841.280 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 13.594.722.304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - F45B3561A2B275C983B651A259B315CC
         
--- --- ---


Dazu muss ich sagen, dass ich wie in der Anleitung stand den AV-Guard beendete und alle Fenster schloss. Combofix starte wie beschrieben und installierte die Systemwiederherstellungskomponente. Dann kam aber sofort der Rootkit-Hinweis und das System fuhr runter um im abgesicherten Modus wieder hochzufahren. Ich hatte ja nun keine Möglichkeit den AV-Guard zu beenden (ich hatte vorher die Konfiguration durchgesehen, aber keine längerfristige Ausschaltemöglichkeit gefunden - es ging immer nur das Deaktivieren nach dem Hochfahren), so dass sofort zwei AV Meldungen kamen:

In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\redbook.sys.vir'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\Qoobox\32788R22FWJFW\redbook.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Ich habe beide Zugriffe erlaubt, weil ich dachte, dass wird wohl Combofix sein. Richtig gehandelt? Oder soll ich Antivir deinstallieren und Combofix nochmal drüberjagen?

Erster positiver Aspekt jetzt wenigstens: Windows Update geht wieder. Hab sofort mal die neuen fehlenden Updates gezogen und werde fortan das automatische Update zulassen.

Alt 06.07.2010, 20:31   #5
markusg
/// Malware-holic
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



ja combofix löschen wir gleich.

start programme zubehör, editor kopiere rein.

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:5555


datei speichern unter, typ, alle, name,
cfscript.txt
speicherort, dort wo combofix.exe gespeichert ist, ziehe cfscript auf combofix, programm startet, log posten.
einfach den avira guard mit rechtsklick auf den schirm deaktiviren. falls combofix ne meldung zeigt das er noch läuft, einfach ok wählen um die meldung zu ignorieren.


Alt 06.07.2010, 21:22   #6
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



ich weiß nicht, wo das logfile sein soll.

ich habe die txt datei draufgeschoben, dann kam die Frage, ob ich als Benutzer oder Admin ausführen will, dann bin ich auf Benutzer geblieben und dann hab ich kurz nicht hingeschaut und es lief kein Prozess mehr.

jetzt hab ichs wiederholt und es kommt: some files could not be created. Please close all applications, reboot Windows and restart this installation.


Alt 06.07.2010, 21:25   #7
markusg
/// Malware-holic
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



warum nicht als admin...?
dann starte halt noch mal neu, erstelle die txt neu und versuchs noch mal. wenns nicht hilft lösche combofix.exe und lad sie erneut.

Alt 06.07.2010, 21:28   #8
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



weil ich in den Benutzerkonten nur mein Profil und ein gastprofil sehen kann. Bei mir steht zwar "Computeradministrator" drunter, aber ich habe/hatte kein Passwort und der Prozess hat kein "weiterklicken ohne Passworteingabe" akzeptiert. was hätte ich eingeben sollen?

Alt 06.07.2010, 21:33   #9
markusg
/// Malware-holic
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



ok dann versuche es wie beschrieben bitte

Alt 06.07.2010, 22:27   #10
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



jetzt hats geklappt. hab combofix nochmal laufen lassen. dann die datei erstellt, dann draufgezogen.

ist jetzt nochmal alles durchgelaufen. sollte das so sein? wozu war das jetzt gut?


Combofix Logfile:
Code:
ATTFilter
ComboFix 10-07-06.01 - *** 06.07.2010  22:16:21.4.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1597 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: COMODO Antivirus *On-access scanning enabled* (Outdated) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-06 bis 2010-07-06  ))))))))))))))))))))))))))))))
.

2010-07-06 19:01 . 2010-07-06 19:01	--------	d-----w-	C:\VritualRoot
2010-07-06 19:01 . 2010-07-06 19:43	874784	----a-w-	c:\windows\system32\drivers\sfi.dat
2010-07-06 18:40 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-07-06 18:33 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-07-06 18:33 . 2009-10-23 15:28	3558912	-c----w-	c:\windows\system32\dllcache\moviemk.exe
2010-07-06 18:30 . 2010-07-06 18:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-07-06 18:24 . 2009-08-06 17:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-07-06 00:47 . 2010-07-06 00:47	--------	d-----w-	c:\programme\ESET
2010-07-05 18:58 . 2010-07-05 18:58	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-sse.dll
2010-07-05 18:58 . 2010-07-05 18:58	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcp71.dll
2010-07-05 18:58 . 2010-07-05 18:58	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\jmc.dll
2010-07-05 18:58 . 2010-07-05 18:58	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcr71.dll
2010-07-05 18:58 . 2010-07-05 18:58	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-d3d.dll
2010-07-05 18:58 . 2010-07-05 18:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-07-05 18:58 . 2010-07-05 18:58	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-05 18:58 . 2010-07-05 18:58	--------	d-----w-	c:\programme\Java
2010-07-05 11:48 . 2010-07-05 11:48	63488	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-07-05 11:48 . 2010-07-05 11:48	52224	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-07-05 11:48 . 2010-07-05 11:48	117760	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-07-05 11:47 . 2010-07-05 11:47	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2010-07-05 11:47 . 2010-07-05 11:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-06-30 06:15 . 2010-06-30 06:15	--------	d-----w-	c:\programme\Trend Micro
2010-06-29 10:35 . 2009-09-27 07:39	369152	----a-w-	c:\windows\system32\avisynth.dll
2010-06-29 10:35 . 2004-02-22 08:11	719872	----a-w-	c:\windows\system32\devil.dll
2010-06-29 10:35 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2010-06-29 10:35 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2010-06-29 10:35 . 2010-06-29 10:35	--------	d-----w-	c:\programme\AviSynth 2.5
2010-06-29 10:35 . 2008-03-16 13:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
2010-06-29 10:35 . 2007-02-21 11:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2010-06-29 10:35 . 2006-05-03 10:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2010-06-28 08:38 . 2010-06-28 08:38	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-06-28 08:38 . 2010-06-28 08:38	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-11 14:18 . 2010-06-11 14:18	5642000	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\TVU Networks\AutoUpgrade\TVUPlayer2.5.3.1.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 19:01 . 2008-09-07 20:24	--------	d-----w-	c:\programme\Microsoft Silverlight
2010-07-06 18:57 . 2001-08-18 12:00	78642	----a-w-	c:\windows\system32\perfc007.dat
2010-07-06 18:57 . 2001-08-18 12:00	445516	----a-w-	c:\windows\system32\perfh007.dat
2010-07-06 01:16 . 2009-02-03 12:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-04 07:46 . 2008-06-17 19:56	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-06-30 12:24 . 2009-12-29 08:32	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2010-06-23 17:29 . 2009-09-29 10:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Udso
2010-06-23 16:56 . 2010-03-22 12:36	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Unwyi
2010-05-18 19:42 . 2009-11-19 10:49	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-05-17 21:24 . 2010-04-24 20:18	--------	d-----w-	c:\programme\Google
2010-05-06 10:31 . 2001-08-18 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2001-08-18 12:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2010-01-03 12:08	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-01-03 12:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-20 05:29 . 2001-08-18 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2008-04-14 02:23 . 2010-01-14 11:24	73728	--sha-w-	c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
2006-05-03 10:06 . 2010-06-29 10:35	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-06-29 10:35	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-06-29 10:35	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((((   SnapShot_2010-07-06_19.51.41   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-06 19:52 . 2010-07-06 19:52	756736              c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Entity.#\d4990681ce373d81a52b231ee4c4afea\System.Data.Entity.Design.ni.dll
+ 2010-07-06 19:52 . 2010-07-06 19:52	9924096              c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Entity\6abf820d8ec57a0561c3367727d274df\System.Data.Entity.ni.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2009-02-04 24064]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\superantispyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	e:\superantispyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave"=DrvTrNTm.dll
"mixer"=DrvTrNTm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Skype\\Phone\\Skype.exe"=

R1 SASDIFSV;SASDIFSV;e:\superantispyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;e:\superantispyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 acedrv09;acedrv09;c:\windows\system32\drivers\acedrv09.sys [18.06.2007 15:10 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [30.05.2007 18:54 201696]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;e:\adobe photo shop\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\avira\AntiVir Desktop\sched.exe [19.03.2009 13:45 108289]
R3 SndTAudio;SndTAudio;c:\windows\system32\drivers\SndTAudio.sys [29.12.2009 10:03 23096]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 14:37 26624]
R3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [26.03.2009 20:27 127496]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.02.2009 10:14 717296]
S1 SABKUTIL;SABKUTIL;\??\e:\sabkutil.sys --> e:\SABKUTIL.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.04.2010 22:18 136176]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [10.12.2008 16:02 16512]
S3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [16.11.2009 14:58 3768]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [03.10.2008 01:07 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [03.10.2008 01:20 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [03.10.2008 01:20 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [03.10.2008 01:56 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [03.10.2008 01:20 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [03.10.2008 01:55 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [03.10.2008 01:19 97704]
S3 SndTVideo;SndTVideo;c:\windows\system32\drivers\SndTVideo.sys [28.12.2009 20:20 3768]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [28.12.2009 20:20 200704]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32	8192	----a-w-	c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - e:\micros~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-06 22:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(604)
e:\superantispyware\SASWINLO.DLL

- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-07-06  22:19:28
ComboFix-quarantined-files.txt  2010-07-06 20:19
ComboFix2.txt  2010-07-06 20:12
ComboFix3.txt  2010-07-06 19:53
ComboFix4.txt  2010-07-06 17:12

Vor Suchlauf: 12 Verzeichnis(se), 12.823.101.440 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 12.807.069.696 Bytes frei

- - End Of File - - 15A3EED42E3FF0EED8BEEDCEB44DDD12
         
--- --- ---

Alt 07.07.2010, 12:36   #11
markusg
/// Malware-holic
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



bei dir war ein proxy server eingetragen, der dort nicht hingehört, den haben wir damit gelöscht.
avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Alt 07.07.2010, 14:18   #12
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



Haben wir jetzt die Datei aus der einen Quarantäne (COMBOFIX) in die andere (AVirus) geschoben?

Code:
ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 7. Juli 2010  12:56

Es wird nach 2301243 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : ***
Computername   : ***

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 06:53:08
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 06:53:16
VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 06:53:16
VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 06:53:16
VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 06:53:16
VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 06:53:16
VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 06:53:16
VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 06:53:16
VBASE013.VDF   : 7.10.8.37     270336 Bytes  10.06.2010 06:53:17
VBASE014.VDF   : 7.10.8.69     138752 Bytes  14.06.2010 06:53:18
VBASE015.VDF   : 7.10.8.102    130560 Bytes  16.06.2010 06:53:18
VBASE016.VDF   : 7.10.8.135    152064 Bytes  21.06.2010 06:53:19
VBASE017.VDF   : 7.10.8.163    432128 Bytes  23.06.2010 06:53:20
VBASE018.VDF   : 7.10.8.194    133632 Bytes  27.06.2010 06:53:21
VBASE019.VDF   : 7.10.8.220    134656 Bytes  29.06.2010 06:53:21
VBASE020.VDF   : 7.10.8.252    171520 Bytes  04.07.2010 06:53:22
VBASE021.VDF   : 7.10.9.19     131072 Bytes  06.07.2010 10:55:58
VBASE022.VDF   : 7.10.9.20       2048 Bytes  06.07.2010 10:55:58
VBASE023.VDF   : 7.10.9.21       2048 Bytes  06.07.2010 10:55:58
VBASE024.VDF   : 7.10.9.22       2048 Bytes  06.07.2010 10:55:58
VBASE025.VDF   : 7.10.9.23       2048 Bytes  06.07.2010 10:55:58
VBASE026.VDF   : 7.10.9.24       2048 Bytes  06.07.2010 10:55:58
VBASE027.VDF   : 7.10.9.25       2048 Bytes  06.07.2010 10:55:58
VBASE028.VDF   : 7.10.9.26       2048 Bytes  06.07.2010 10:55:59
VBASE029.VDF   : 7.10.9.27       2048 Bytes  06.07.2010 10:55:59
VBASE030.VDF   : 7.10.9.28       2048 Bytes  06.07.2010 10:55:59
VBASE031.VDF   : 7.10.9.30      11776 Bytes  07.07.2010 10:55:59
Engineversion  : 8.2.4.10  
AEVDF.DLL      : 8.1.2.0       106868 Bytes  07.07.2010 06:53:34
AESCRIPT.DLL   : 8.1.3.39     1335674 Bytes  07.07.2010 06:53:34
AESCN.DLL      : 8.1.6.1       127347 Bytes  07.07.2010 06:53:32
AESBX.DLL      : 8.1.3.1       254324 Bytes  07.07.2010 06:53:34
AERDL.DLL      : 8.1.4.6       541043 Bytes  07.07.2010 06:53:32
AEPACK.DLL     : 8.2.2.5       430453 Bytes  07.07.2010 06:53:31
AEOFFICE.DLL   : 8.1.1.6       201081 Bytes  07.07.2010 06:53:30
AEHEUR.DLL     : 8.1.1.38     2724214 Bytes  07.07.2010 06:53:30
AEHELP.DLL     : 8.1.11.6      242038 Bytes  07.07.2010 06:53:26
AEGEN.DLL      : 8.1.3.13      381300 Bytes  07.07.2010 06:53:25
AEEMU.DLL      : 8.1.2.0       393588 Bytes  07.07.2010 06:53:25
AECORE.DLL     : 8.1.15.3      192886 Bytes  07.07.2010 06:53:24
AEBB.DLL       : 8.1.1.0        53618 Bytes  07.07.2010 06:53:24
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: E:\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, A:, I:, G:, H:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 7. Juli 2010  12:56

Der Suchlauf nach versteckten Objekten wird begonnen.
ctfmon.exe
    [HINWEIS]   Der Prozess ist nicht sichtbar.
ctfmon.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'A:\'
    [INFO]      Im  Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '462' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\redbook.sys.vir
    [FUND]      Ist das Trojanische Pferd TR/Patched.Gen
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP92\A0014821.sys
    [FUND]      Ist das Trojanische Pferd TR/Patched.Gen
Beginne mit der Suche in 'D:\' <Auslagerung>
Beginne mit der Suche in 'E:\' <Programme>
E:\7-Zip\Uninstall.exe
    [WARNUNG]   Zu wenig Speicher! Die Datei wurde nicht durchsucht!
E:\@Install-Links\7z464.exe
    [WARNUNG]   Zu wenig Speicher! Die Datei wurde nicht durchsucht!
Beginne mit der Suche in 'F:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP92\A0014821.sys
    [FUND]      Ist das Trojanische Pferd TR/Patched.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f23cd2f.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\redbook.sys.vir
    [FUND]      Ist das Trojanische Pferd TR/Patched.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5748e2dd.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 7. Juli 2010  13:48
Benötigte Zeit: 51:22 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  12616 Verzeichnisse wurden überprüft
 320052 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 320050 Dateien ohne Befall
   1588 Archive wurden durchsucht
      3 Warnungen
      2 Hinweise
  35334 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden
         

Alt 07.07.2010, 14:44   #13
markusg
/// Malware-holic
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



das macht überhaupt nichts :-)
gib mal nen zwischenstand, wie der pc läuft, ob noch probs auftreten /traten, etc

Alt 07.07.2010, 15:13   #14
OSAS
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



Also so weit ist alles gut. PC läuft gut, ich schreibe ungetrübt an der Diss, keine sich selbst öffnenden Fenster mehr. Bevor ich auf deine Ansage hin das AntiVir hab laufen lassen, hatte ich schon einen komplett Scan mit Malwarebytes und SUPERAntiSpyware gemacht, beide ohne Befund.

Ich hätte da noch so einige Fragen bezüglich der installierten und weiter zu verwendenden oder zu deinstallierenden Programme (ESET? Combofix?) und noch so ein, zwei generelle Fragen (Java, Firewall, Antivirus), falls du soweit zufrieden bist und den Rückzug antrittst.

Alt 07.07.2010, 15:48   #15
markusg
/// Malware-holic
 
Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Standard

Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht



wir löschen die entfernungstools gleich. desweiteren sollst du dann ein programm instalieren, secunia, welches dir hilft, die programme aktuell zu halten. dann stell mal deine fragen :-)

Antwort

Themen zu Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht
active desktop, anfang, antivir, antivir guard, avira, bho, desktop, einstellungen, excel, explorer, fehler, gupdate, hijack, hijackthis, hkus\s-1-5-18, logfile, malwarebytes' anti-malware, neue seite, neustart, rundll, sekunden, sich automatisch, software, superantispyware, symantec, system, temp, trojaner, trojaner-board, viren, werbung, windows, windows xp, öffnet sich automatisch



Ähnliche Themen: Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht


  1. Chrome öffnet sich automatisch, kommt Werbung (adnxs)
    Plagegeister aller Art und deren Bekämpfung - 17.07.2015 (15)
  2. Werbung in Firefox, Fenster mit PC Optimierung Werbung öffnet sich automatisch
    Log-Analyse und Auswertung - 10.04.2015 (11)
  3. Überall Werbung... Fenster öffnen sich automatisch mit werbung HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 07.02.2015 (5)
  4. Werbung öffnet sich im Browser automatisch - Maleware gefunden
    Log-Analyse und Auswertung - 05.01.2015 (3)
  5. Win Exploert stürtzt unter Win 7 ständig ab/cleansweep.exe?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2011 (12)
  6. IE Explorer öffnet sich automatisch mit Werbung, verdacht auf Swizzor
    Log-Analyse und Auswertung - 30.08.2010 (5)
  7. Firefox öffnet Tabs mit Werbung / Anstelle einer verlinkten URL öffnet sich Werbung
    Plagegeister aller Art und deren Bekämpfung - 08.08.2010 (4)
  8. IE öffnet sich automatisch und zeigt Werbung
    Log-Analyse und Auswertung - 23.06.2010 (6)
  9. Firefox öffnet automatisch neue Tabs (Werbung) NIS meldet sich auch
    Log-Analyse und Auswertung - 30.04.2010 (9)
  10. IE öffnet sich automatisch mit Werbung
    Plagegeister aller Art und deren Bekämpfung - 24.02.2010 (8)
  11. Hjack This. Werbung im IE öffnet sich automatisch
    Log-Analyse und Auswertung - 29.09.2009 (6)
  12. Internet Explorer öffnet automatisch und öffnet Werbung
    Log-Analyse und Auswertung - 28.08.2009 (18)
  13. Internet Explorer öffnet sich automatisch mit Werbung
    Log-Analyse und Auswertung - 24.04.2009 (0)
  14. IE7 öffnet sich immer Automatisch mit Werbung
    Log-Analyse und Auswertung - 09.09.2008 (17)
  15. Registerkarte im IE7 öffnet sich automatisch mit Spam-Werbung
    Log-Analyse und Auswertung - 25.08.2008 (16)
  16. IE7 öffnet sich immer Automatisch mit Werbung
    Log-Analyse und Auswertung - 13.07.2008 (1)
  17. Firefox öffnet sich automatisch mit werbung
    Log-Analyse und Auswertung - 11.12.2007 (3)

Zum Thema Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht - Hallo, nachdem ich letzte Woche erste Probleme an meinem PC feststellte, bin ich auf dieses Forum gestoßen, in dem User die gleichen Symptome schilderten. Ich hatte gehofft mit der entsprechenden - Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht...
Archiv
Du betrachtest: Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.