| |
| |||||||
Log-Analyse und Auswertung: Trojaner "Winserv.exe" eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
22.09.2010, 20:19
| #16 |
| /// Helfer-Team  |  Trojaner "Winserv.exe" eingefangen Ok, hauptsächlich Tracking Cookies. Bitte nochmals einen letzten Scan laufen lassen. Da ist noch was, das spühre ich. Nach Anleitung mit eScan scannen und anschließend Logfile posten. http://www.modernboard.de/viren-wuer...nd-tricks.html |
|
23.09.2010, 12:23
| #17 |
 | Trojaner "Winserv.exe" eingefangen Sehr eigenartig. Hab den Scan durchlaufen lassen und scheinbar findet er den gleichen Trojaner immer wieder in Antivir!? Ich kann leider nicht das ganze Logfile posten oder anhängen, weil es über 2 MB (!) groß ist...
__________________Code:
ATTFilter 23 Sep 2010 10:44:18 - **********************************************************
23 Sep 2010 10:44:18 - eScan Antivirus und Spyware Werkzeugsatz.
23 Sep 2010 10:44:18 - Copyright © MicroWorld
23 Sep 2010 10:44:18 - **********************************************************
23 Sep 2010 10:44:18 - Source: C:\Users\user\Desktop\mwav.exe
23 Sep 2010 10:44:18 - Version 12.0.49 (C:\USERS\USER\APPDATA\LOCAL\TEMP\MEXE.COM)
23 Sep 2010 10:44:18 - Logdatei: C:\Users\user\AppData\Local\Temp\MWAV.LOG
23 Sep 2010 10:44:18 - Datum und Uhrzeit des letzten Scannens: 23.09.2010 09:58:33
23 Sep 2010 10:44:18 - MWAV Registered: TRUE
23 Sep 2010 10:44:18 - User Account: user (Administrator Mode)
23 Sep 2010 10:44:18 - OS Type: Windows Workstation
23 Sep 2010 10:44:18 - OS: Windows Vista 64-Bit [OS Install Date: 07 Sep 2007 17:31:55]
23 Sep 2010 10:44:18 - Ver: Personal Service Pack 2 (Build 6002)
23 Sep 2010 10:44:18 - System Up Time: 1 Hour, 37 Minutes, 28 Seconds
23 Sep 2010 10:44:18 - Windows Root Folder: C:\Windows
23 Sep 2010 10:44:18 - Windows Sys32 Folder: C:\Windows\system32
23 Sep 2010 10:44:18 - DHCP NameServer: 85.199.0.12 192.168.0.1
23 Sep 2010 10:44:18 - Interface0 DHCPNameServer: 85.199.0.12 192.168.0.1
23 Sep 2010 10:44:18 - Local Fixed Drives: c:\
23 Sep 2010 10:44:18 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)
23 Sep 2010 10:44:18 - [CREATED ZIP FILE: C:\Users\user\AppData\Local\Temp\pinfect.zip]
23 Sep 2010 10:44:18 - ********** Die in den letzten 14 Tagen im Windows- und ROOT-Ordner erstellten/modifizierten Dateien **********
23 Sep 2010 10:44:19 - C:\Windows\system32\eEmpty.exe (34048), 23-Sep-2010, MicroWorld Technologies Inc., eScan For Windows
23 Sep 2010 10:44:19 - C:\Windows\system32\inetcomm.dll (739328), 15-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System
23 Sep 2010 10:44:19 - C:\Windows\system32\MP4SDECD.DLL (317952), 15-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System
23 Sep 2010 10:44:19 - C:\Windows\system32\usp10.dll (502272), 15-Sep-2010, Microsoft Corporation, Microsoft(R) Uniscribe Unicode script processor
23 Sep 2010 10:44:19 - C:\Windows\system32\vsdata.dll (112128), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service DLL
23 Sep 2010 10:44:19 - C:\Windows\system32\vsinit.dll (228864), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service
23 Sep 2010 10:44:19 - C:\Windows\system32\vsmonapi.dll (107520), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Client Interface
23 Sep 2010 10:44:19 - C:\Windows\system32\vspubapi.dll (302592), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service
23 Sep 2010 10:44:19 - C:\Windows\system32\vsregexp.dll (58368), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service
23 Sep 2010 10:44:19 - C:\Windows\system32\vsutil.dll (713728), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service
23 Sep 2010 10:44:19 - C:\Windows\system32\vsutil_loc0407.dll (46592), 21-Sep-2010, Zone Labs Inc., TrueVector Service
23 Sep 2010 10:44:19 - C:\Windows\system32\vswmi.dll (43008), 21-Sep-2010, Check Point Software Technologies LTD, vsmon component
23 Sep 2010 10:44:19 - C:\Windows\system32\vsxml.dll (110080), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service
23 Sep 2010 10:44:19 - C:\Windows\system32\zlcomm.dll (69120), 21-Sep-2010, Check Point Software Technologies LTD, ZLComm
23 Sep 2010 10:44:19 - C:\Windows\system32\zlcommdb.dll (103936), 21-Sep-2010, Check Point Software Technologies LTD, ZLCommDB
23 Sep 2010 10:44:19 - C:\Windows\system32\zpeng25.dll (1238528), 21-Sep-2010, Check Point Software Technologies LTD, Check Point Endpoint Security
23 Sep 2010 10:44:19 - C:\Windows\system32\drivers\mbamswissarmy.sys (38224), 21-Sep-2010, Malwarebytes Corporation, Malwarebytes' Anti-Malware
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\BACKUP.11712189.mexe.com (2505288), 23-Sep-2010, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\bdc.exe (91904), 23-Sep-2010, MicroWorld Tech, eScan
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\bdfltlib2k.dll (231944), 23-Sep-2010, MicroWorld Technologies Inc., eScan for Windows
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\clean.bat (11), 23-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\clean.bat to ZIP FILE]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\DEVCON.EXE (61184), 23-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\download.exe (785416), 23-Sep-2010, MicroWorld Technologies Inc., eScan
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\eEmpty.exe (34048), 23-Sep-2010, MicroWorld Technologies Inc., eScan For Windows
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\encdec.dll (162824), 23-Sep-2010, MicroWorld Technologies Inc., eScan/MailScan/eConceal
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\erootdrv.sys (13832), 23-Sep-2010, MicroWorld Technologies Inc., eScan/MWAV
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\mexe.com (2505288), 23-Sep-2010, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\msvclnt.dll (236040), 23-Sep-2010, MicroWorld Technologies Inc., MailScan
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\mwavdwnl.exe (785416), 23-Sep-2010, MicroWorld Technologies Inc., eScan
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\MWAVSCAN.COM (2505288), 23-Sep-2010, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\plugins.htm (3932), 23-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\plugins.htm to ZIP FILE]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\red32.dll (10248), 23-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\reload.exe (158728), 23-Sep-2010, MicroWorld Technologies Inc., eScan for Windows
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\setpriv.exe (64520), 23-Sep-2010, MicroWorld Technologies Inc, eScan AntiVirus Toolkit Utility
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\SSUPDATE64.EXE (411376), 23-Sep-2010, SUPERAntiSpyware.com, SUPERAntiSpyware Update Application
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\unregx.exe (76296), 23-Sep-2010, MicroWorld Technologies Inc, MicroWorld AntiVirus Toolkit Utility
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\UPDLL10.DLL (856584), 23-Sep-2010, MicroWorld Technologies Inc., eScan/MailScan/MWAV
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\viewtcp.exe (574472), 23-Sep-2010, MicroWorld Technologies Inc., ViewTCP
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\~DF2FC6.tmp (98304), 22-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\~DF2FC6.tmp to ZIP FILE]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\~DF7185.tmp (98304), 22-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\~DF7185.tmp to ZIP FILE]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\~DFC12E.tmp (98304), 23-Sep-2010 [Unable to Add C:\Users\user\AppData\Local\Temp\~DFC12E.tmp to ZIP FILE! ResultCode: 512]
23 Sep 2010 10:44:19 - C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\Fonts, 02-Nov-2006 [SR] [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\ftpcache, 12-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\Internet Logs, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\Media, 02-Nov-2006 [SR] [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\msdownld.tmp, 09-Jul-2009 [H] [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\usgwmt, 08-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\system32\svhost, 06-Jan-2010 [HSR] [Ordner]
23 Sep 2010 10:44:19 - C:\Windows\system32\ZoneLabs, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Boot, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\Documents and Settings, 02-Nov-2006 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\Dokumente und Einstellungen, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData, 02-Nov-2006 [H] [Ordner]
23 Sep 2010 10:44:19 - C:\Programme, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\rsit, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\AVCBack, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\FtpTemp, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\FtpTempF, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\hsperfdata_user, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\IswTmp, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\LOCK, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\Log, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\Low, 22-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\MessengerCache, 22-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\plugins, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\plugtmp, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\SUPERSetup, 22-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\swtlib-32, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\tmp000063a5, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\UpdateWizard_37734, 22-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\UpdateWizard_47241, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\WPDNSE, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\Malwarebytes, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\Microsoft, 07-Sep-2007 [S] [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\SecuROM, 12-Sep-2007 [HR] [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\SUPERAntiSpyware.com, 22-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\Uniblue, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\vlc, 12-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\!SASCORE, 22-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Anwendungsdaten, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Application Data, 02-Nov-2006 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\CheckPoint, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Desktop, 02-Nov-2006 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Documents, 02-Nov-2006 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Dokumente, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Favoriten, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Malwarebytes, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Microsoft, 02-Nov-2006 [S] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\MicroWorld, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\SecuROM, 30-Jul-2010 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Start Menu, 02-Nov-2006 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Startmenü, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\SUPERAntiSpyware.com, 22-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Templates, 02-Nov-2006 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\Vorlagen, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\{55A29068-F2CE-456C-9148-C869879E2357}, 15-Nov-2008 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}, 31-Oct-2009 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\..\Boot, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\..\Documents and Settings, 02-Nov-2006 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\..\Dokumente und Einstellungen, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\..\ProgramData, 02-Nov-2006 [H] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\..\Programme, 07-Sep-2007 [HS] [Ordner]
23 Sep 2010 10:44:19 - C:\ProgramData\..\rsit, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Program Files (x86)\Amnesia - The Dark Descent Demo, 18-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Program Files (x86)\FastStone Image Viewer, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Program Files (x86)\JoWooD, 12-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Program Files (x86)\Malwarebytes' Anti-Malware, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Program Files (x86)\Trend Micro, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Program Files (x86)\Zone Labs, 21-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - C:\Program Files (x86)\Common Files\MicroWorld, 23-Sep-2010 [Ordner]
23 Sep 2010 10:44:19 - *********************************************************************************************
23 Sep 2010 10:44:43 - Aktuellstes Datum der in MWAV enthaltenen Dateien: Thu Sep 23 09:10:14 2010.
23 Sep 2010 10:44:43 - Plugins FileCount: 784 Sign Version: 7.34001
23 Sep 2010 10:44:43 - Loading/Creating FileScan Database C:\ProgramData\MicroWorld\MWAV\ESCANDBX.MDB [Log: C:\Users\user\AppData\Local\Temp\ESCANDB.LOG]
23 Sep 2010 10:44:43 - Loaded/Created FileScan Database...
23 Sep 2010 10:44:43 - Loading AV Library [DB]...
23 Sep 2010 10:44:44 - AV Library Loaded [DB-DIRECT].
23 Sep 2010 10:44:44 - MWAV doing self scanning...
23 Sep 2010 10:44:44 - MWAV files are clean.
23 Sep 2010 10:45:41 - Virendatenbankdatum: 23 Sep 2010
23 Sep 2010 10:45:41 - Virendatenbankzähler: 6436757
23 Sep 2010 10:45:43 - Antiviren- und Antispywaredatenbanken werden heruntergeladen...
23 Sep 2010 10:46:00 - Erfolgreich heruntergeladen...
23 Sep 2010 10:46:02 - Indexed Spyware Databases Successfully Created...
23 Sep 2010 10:46:02 - Old Sign Version: 7.34001 New Sign Version: 7.34002
23 Sep 2010 10:46:14 - Antiviren-Signaturen wurden erfolgreich nachgeladen.
23 Sep 2010 10:46:14 - Virendatenbankdatum: 23 Sep 2010
23 Sep 2010 10:46:14 - Virendatenbankzähler: 6437736
23 Sep 2010 10:46:57 - **********************************************************
23 Sep 2010 10:46:57 - eScan Antivirus und Spyware Werkzeugsatz.
23 Sep 2010 10:46:57 - Copyright © MicroWorld
23 Sep 2010 10:46:57 -
23 Sep 2010 10:46:57 - Support: support@escanav.com
23 Sep 2010 10:46:57 - Web: hxxp://www.escanav.com
23 Sep 2010 10:46:57 - **********************************************************
23 Sep 2010 10:46:57 - Version 12.0.49[DB] (C:\USERS\USER\APPDATA\LOCAL\TEMP\MEXE.COM)
23 Sep 2010 10:46:57 - Logdatei: C:\Users\user\AppData\Local\Temp\MWAV.LOG
23 Sep 2010 10:46:57 - User Account: user (Administrator Mode)
23 Sep 2010 10:46:57 - Windows Root Folder: C:\Windows
23 Sep 2010 10:46:57 - Windows Sys32 Folder: C:\Windows\system32
23 Sep 2010 10:46:57 - OS: Windows Vista 64-Bit [OS Install Date: 07 Sep 2007 17:31:55]
23 Sep 2010 10:46:57 - Ver: Personal Service Pack 2 (Build 6002)
23 Sep 2010 10:46:57 - Aktuellstes Datum der in MWAV enthaltenen Dateien: Thu Sep 23 09:10:14 2010.
23 Sep 2010 10:46:57 - Plugins FileCount: 785 Sign Version: 7.34002
23 Sep 2010 10:46:58 - Vom Benutzer gewählte Optionen:
23 Sep 2010 10:46:58 - Speicherüberprüfung: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Registrierungsdatenbank: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung des Startordners: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung des Systemordners: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Dienste: Aktiviert
23 Sep 2010 10:46:58 - Scannen Spyware: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Laufwerke: Deaktiviert
23 Sep 2010 10:46:58 - Überprüfung aller Laufwerke:Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Ordner: Aktiviert
23 Sep 2010 10:46:58 - Gewählter Ordner = C:\
23 Sep 2010 10:46:58 - SCAN: All_Files
23 Sep 2010 10:46:58 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)
23 Sep 2010 10:46:58 - ***** Speicherdateien werden gescannt *****
23 Sep 2010 10:47:07 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
23 Sep 2010 10:47:14 - ERROR(3)!!! Invalid Entry = "%1" %* (in key HKCR\htafile\shell\open\command). Action Taken: Removing it.
23 Sep 2010 10:47:14 - ***** Startordner werden gescannt *****
23 Sep 2010 10:50:53 - ***** Dateien bezüglich Dienste werden gescannt *****
23 Sep 2010 10:50:53 - ERROR(2)!!! Invalid Entry \SystemRoot\system32\drivers\blbdrive.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\blbdrive.
23 Sep 2010 10:50:54 - ERROR(2)!!! Invalid Entry \??\C:\Program Files (x86)\MediaCoder\SysInfoX64.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\CrystalSysInfo.
23 Sep 2010 10:50:54 - ERROR(2)!!! Invalid Entry \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\esgiguard.
23 Sep 2010 10:50:54 - ERROR(2)!!! Invalid Entry C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\HotspotShieldService.
23 Sep 2010 10:50:55 - ERROR(2)!!! Invalid Entry \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\Sandra.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\SANDRA.
23 Sep 2010 10:50:55 - ERROR(2)!!! Invalid Entry C:\Windows\System32\uxtuneup.dll. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\UxTuneUp.
23 Sep 2010 10:50:55 - ERROR(2)!!! Invalid Entry System32\drivers\vsdatant.win7.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\vsdatant7.
23 Sep 2010 10:50:56 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
23 Sep 2010 10:50:56 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: C:\Users\user\AppData\Local\Temp\spydb.avs, Größe: 953464]...
23 Sep 2010 10:50:56 - Indexed Spyware Databases Successfully Created...
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{205286E5-F5F2-4306-BDB1-864245E33227}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{6C815596-821F-40b3-8A84-643B73A8EB16}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{91CA4D38-EA2B-4f3c-94DE-36C1386182FC}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{AF698A5B-24D6-4f78-AE95-204B09EDC7B6}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{AFA7FF39-1DDF-4f70-A2D5-23FCFFF02E5F}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{D1A7F7E0-D4E9-49e8-BF2C-CEAA01D2E670}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{E91579C0-4EA9-4a2a-A9B2-04BEF1D6DC29}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:01 - Offending file found: C:\Users\user\AppData\Roaming\Ebner\Steig ein! 7.3\{5EE4D699-36AE-4C0D-ADCC-C874FB0BDAD1}\0
23 Sep 2010 10:51:01 - System found infected with PC Sweeper (0)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:01 - Objekt "PC Sweeper" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{205286E5-F5F2-4306-BDB1-864245E33227}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{6AD1A63B-AB60-439B-AD8E-F28CAE8C631D}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{6C815596-821F-40b3-8A84-643B73A8EB16}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{91CA4D38-EA2B-4f3c-94DE-36C1386182FC}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AF698A5B-24D6-4f78-AE95-204B09EDC7B6}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AFA7FF39-1DDF-4f70-A2D5-23FCFFF02E5F}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{D1A7F7E0-D4E9-49e8-BF2C-CEAA01D2E670}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{E91579C0-4EA9-4a2a-A9B2-04BEF1D6DC29}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:51:07 - Offending file found: C:\install.exe
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (C:\install.exe)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKCR\Licenses\7C35CA30-D112-11cf-8E72-00A0C90F26F8
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (HKCR\Licenses\7C35CA30-D112-11cf-8E72-00A0C90F26F8)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKCU\SOFTWARE\Ms
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (HKCU\SOFTWARE\Ms)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\VideoPlugin
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\VideoPlugin)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
23 Sep 2010 10:51:07 - System found infected with Orifice2K.plugin Trojan (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Objekt "Orifice2K.plugin Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
23 Sep 2010 10:51:07 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
23 Sep 2010 10:51:08 - Clearing Temporary sub-folders as Spyware/Adware found in system...
23 Sep 2010 10:51:09 - Few files will be deleted *ONLY* on reboot...
23 Sep 2010 10:51:09 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
23 Sep 2010 10:51:09 - ** Deleted Value of "NoActiveDesktop" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer". Its value was DWORD:1.
23 Sep 2010 10:51:09 - ** Deleted Value of "ForceActiveDesktopOn" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer". Its value was DWORD:0.
23 Sep 2010 10:51:09 - ** Deleted Value of "NoComponents" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop". Its value was DWORD:1.
23 Sep 2010 10:51:09 - ** Deleted Value of "NoAddingComponents" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop". Its value was DWORD:1.
23 Sep 2010 10:51:09 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://www.gamezone.de/
23 Sep 2010 10:51:09 - ***** System32-Ordner werden gescannt *****
23 Sep 2010 10:52:55 - ***** Alle Laufwerke werden gescannt *****
23 Sep 2010 10:52:55 - Laufwerk C:\ wird gescannt ...
23 Sep 2010 10:52:56 - C:\Boot\BCD konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 10:52:56 - C:\Boot\BCD.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreA.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreB.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreC.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreD.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreE.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesA.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesB.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesC.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesD.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesE.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreA.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreB.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreC.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreD.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreE.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreF.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreF.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreG.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreG.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreH.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreH.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreI.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreI.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreJ.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreJ.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchA.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchB.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchC.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchD.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchE.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.
23 Sep 2010 11:14:09 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4888c91b.qua wird gescannt
23 Sep 2010 11:14:09 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4888c91b.qua ist durch den Virus "Generic.Malware.SP!N!!VPk!.9037F4C2 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f32.qua wird gescannt
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f32.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f35.qua wird gescannt
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f35.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f37.qua wird gescannt
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f37.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f3d.qua wird gescannt
23 Sep 2010 11:14:14 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f3d.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
DIESER LETZTE EINTRAG KOMMT NUN STÄNDIG -> ausgelassen!
....
So gehts weiter:
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb1bfa4.qua wird gescannt
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb1bfa4.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb7bf97.qua wird gescannt
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb7bf97.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bbcbf93.qua wird gescannt
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bbcbf93.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.
23 Sep 2010 11:44:41 - C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:44:42 - C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:44:42 - C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:46:13 - C:\Users\user\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:50:55 - Datei C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p????????? wird gescannt
23 Sep 2010 11:50:55 - ERROR(3)!!! ScanFile fails for C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p?????????
23 Sep 2010 11:50:55 - Datei C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p????????? wird gescannt
23 Sep 2010 11:50:55 - ERROR(3)!!! ScanFile fails for C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p?????????
23 Sep 2010 11:52:35 - C:\Users\user\ntuser.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:52:35 - C:\Users\user\ntuser.dat.LOG2 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:26 - C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:26 - C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:27 - C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:43 - C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 12:02:07 - C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 12:02:07 - C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 12:02:07 - C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 12:54:20 - *****Auf bestimmte ITW-Viren wird geprüft *****
23 Sep 2010 12:54:21 - ***** Scannen abgeschlossen *****
23 Sep 2010 12:54:21 - Zahl der gescannten Objekte: 266840
23 Sep 2010 12:54:21 - Zahl der kritischen Objekte: 8025
23 Sep 2010 12:54:21 - Zahl der desinfizierten Objekte: 0
23 Sep 2010 12:54:21 - Zahl der umbenannten Objekte: 8004
23 Sep 2010 12:54:21 - Zahl der gelöschten Objekte: 46
23 Sep 2010 12:54:21 - Gesamtzahl der Fehler: 8
23 Sep 2010 12:54:21 - Zeit verstrichen: 02:05:35
23 Sep 2010 12:54:21 - Virendatenbankdatum: 23 Sep 2010
23 Sep 2010 12:54:21 - Virendatenbankzähler: 6437736
23 Sep 2010 12:54:21 - Scannen abgeschlossen.
|
|
23.09.2010, 12:46
| #18 |
| /// Helfer-Team | Trojaner "Winserv.exe" eingefangen Das hat wohl eScan versucht die Dateien in Quarantäne von Antivir umzubenennen. Kannst du mir nochmal RSIT Logs posten?
__________________Anschließend Combofix anwenden. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren Geändert von Leonixx (23.09.2010 um 13:39 Uhr) |
|
23.09.2010, 14:21
| #19 |
| | Trojaner "Winserv.exe" eingefangen Hier mal die RSIT Logs: RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.08 (written by random/random) Run by user at 2010-09-23 15:15:47 Microsoft® Windows Vista™ Home Premium Service Pack 2 System drive C: has 10 GB (4%) free of 238 GB Total RAM: 4094 MB (69% free) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 15:15:53, on 23.09.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18943) Boot mode: Normal Running processes: C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe C:\Users\user\Desktop\RSIT.exe C:\Program Files (x86)\trend micro\user.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://www.mustermann.com/ O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://www.mustermann.com/ O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.mustermann.com/ O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.31.0.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553525700} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: Google Update Service (gupdate1c98d47b52ad115) (gupdate1c98d47b52ad115) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 8380 bytes ======Scheduled tasks folder====== C:\Windows\tasks\GoogleUpdateTaskMachineCore.job C:\Windows\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2010-07-17 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] Hotspot Shield Class - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll [2010-06-23 230448] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792] "ZoneAlarm Client"=C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe [2010-06-28 1043968] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\!SASCORE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=0 "dontdisplaylastusername"=0 "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=153 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoActiveDesktopChanges"=1 "BindDirectlyToPropertySetStorage"=0 "NoDriveTypeAutoRun"=153 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======File associations====== .js - edit - C:\Windows\SysWOW64\Notepad.exe %1 .js - open - C:\Windows\SysWOW64\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2010-09-23 10:46:02 ----AD---- C:\Windows\VDLL.DLL 2010-09-23 10:46:02 ----AD---- C:\Windows\SysWOW64\runouce.exe 2010-09-23 10:46:02 ----AD---- C:\Windows\rundll16.exe 2010-09-23 10:46:02 ----AD---- C:\Windows\RUNDL132.EXE 2010-09-23 10:46:02 ----AD---- C:\Windows\logo1_.exe 2010-09-23 10:46:02 ----AD---- C:\Windows\logo_1.exe 2010-09-23 09:57:55 ----A---- C:\Windows\SysWOW64\msvcr80.dll 2010-09-23 09:57:54 ----A---- C:\Windows\SysWOW64\msvcp80.dll 2010-09-23 09:57:53 ----A---- C:\Windows\SysWOW64\eEmpty.exe 2010-09-23 09:57:50 ----D---- C:\Program Files (x86)\Common Files\MicroWorld 2010-09-23 09:57:48 ----D---- C:\ProgramData\MicroWorld 2010-09-22 17:37:23 ----D---- C:\Users\user\AppData\Roaming\SUPERAntiSpyware.com 2010-09-22 17:37:23 ----D---- C:\ProgramData\SUPERAntiSpyware.com 2010-09-22 17:37:20 ----D---- C:\ProgramData\!SASCORE 2010-09-21 22:21:48 ----D---- C:\rsit 2010-09-21 20:55:40 ----A---- C:\Windows\SysWOW64\drivers\mbamswissarmy.sys 2010-09-21 20:55:39 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware 2010-09-21 20:37:08 ----D---- C:\Program Files (x86)\FastStone Image Viewer 2010-09-21 19:34:45 ----A---- C:\Windows\SysWOW64\vsutil_loc0407.dll 2010-09-21 19:34:42 ----A---- C:\Windows\SysWOW64\vsregexp.dll 2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcommdb.dll 2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcomm.dll 2010-09-21 19:33:45 ----A---- C:\Windows\SysWOW64\vswmi.dll 2010-09-21 19:33:43 ----D---- C:\Windows\SysWOW64\ZoneLabs 2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\zpeng25.dll 2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsxml.dll 2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vspubapi.dll 2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsmonapi.dll 2010-09-21 19:33:42 ----A---- C:\Windows\SysWOW64\vsdata.dll 2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsutil.dll 2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsinit.dll 2010-09-21 18:55:19 ----D---- C:\Program Files (x86)\Zone Labs 2010-09-21 18:55:12 ----D---- C:\Windows\Internet Logs 2010-09-21 18:55:12 ----D---- C:\ProgramData\CheckPoint 2010-09-21 18:35:53 ----D---- C:\Program Files (x86)\Trend Micro 2010-09-21 16:02:48 ----D---- C:\Users\user\AppData\Roaming\Malwarebytes 2010-09-21 16:02:35 ----D---- C:\ProgramData\Malwarebytes 2010-09-21 15:54:17 ----N---- C:\autoexec.bat 2010-09-21 15:53:30 ----D---- C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP 2010-09-21 15:47:26 ----D---- C:\Users\user\AppData\Roaming\Uniblue 2010-09-18 11:15:29 ----D---- C:\Program Files (x86)\Amnesia - The Dark Descent Demo 2010-09-15 09:18:05 ----A---- C:\Windows\SysWOW64\MP4SDECD.DLL 2010-09-15 09:17:59 ----A---- C:\Windows\SysWOW64\inetcomm.dll 2010-09-15 09:17:58 ----A---- C:\Windows\SysWOW64\usp10.dll 2010-09-12 15:34:29 ----D---- C:\Users\user\AppData\Roaming\vlc 2010-09-12 10:53:13 ----D---- C:\Program Files (x86)\JoWooD 2010-09-08 13:19:33 ----D---- C:\Windows\usgwmt 2010-09-06 15:39:41 ----D---- C:\Hotspot Shield 2010-09-06 15:39:39 ----D---- C:\Program Files (x86)\Hotspot Shield 2010-08-29 18:02:35 ----D---- C:\Fraps 2010-08-27 11:33:29 ----A---- C:\Windows\SysWOW64\uxtuneup.dll 2010-08-27 11:33:24 ----A---- C:\Windows\SysWOW64\authuitu.dll 2010-08-26 22:45:40 ----D---- C:\Program Files (x86)\QuickTime ======List of files/folders modified in the last 1 months====== 2010-09-23 15:15:40 ----D---- C:\Windows\Temp 2010-09-23 15:14:11 ----D---- C:\ProgramData\NVIDIA 2010-09-23 13:27:48 ----D---- C:\Users\user\AppData\Roaming\Azureus 2010-09-23 13:08:03 ----A---- C:\Windows\NeroDigital.ini 2010-09-23 13:03:08 ----D---- C:\Windows\Prefetch 2010-09-23 10:46:02 ----D---- C:\Windows\SysWOW64 2010-09-23 10:46:02 ----D---- C:\Windows 2010-09-23 09:57:50 ----D---- C:\Program Files (x86)\Common Files 2010-09-23 09:57:48 ----HD---- C:\ProgramData 2010-09-22 17:37:19 ----RD---- C:\Program Files 2010-09-22 16:28:09 ----SHD---- C:\System Volume Information 2010-09-22 15:41:52 ----SHD---- C:\Boot 2010-09-22 12:16:19 ----D---- C:\Program Files (x86) 2010-09-21 20:55:40 ----D---- C:\Windows\SysWOW64\drivers 2010-09-21 20:02:48 ----D---- C:\Windows\System32 2010-09-21 20:02:48 ----D---- C:\Windows\inf 2010-09-21 19:34:28 ----D---- C:\Windows\winsxs 2010-09-21 18:35:54 ----SHD---- C:\Windows\Installer 2010-09-21 18:22:14 ----D---- C:\Users\user\AppData\Roaming\Desktopicon 2010-09-21 16:07:40 ----D---- C:\Users\user\AppData\Roaming\uTorrent 2010-09-21 15:53:29 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard 2010-09-21 15:51:43 ----D---- C:\Windows\Tasks 2010-09-21 11:57:12 ----D---- C:\Windows\registration 2010-09-21 11:57:12 ----D---- C:\Users\user\AppData\Roaming\dvdcss 2010-09-21 11:57:12 ----D---- C:\Program Files (x86)\MyMicroBalance 2010-09-21 09:32:50 ----D---- C:\Users\user\AppData\Roaming\Skype 2010-09-21 09:08:50 ----D---- C:\Users\user\AppData\Roaming\skypePM 2010-09-20 15:20:20 ----RD---- C:\Users 2010-09-19 14:19:44 ----RSD---- C:\Windows\assembly 2010-09-17 09:31:33 ----D---- C:\Program Files (x86)\Mozilla Firefox 2010-09-15 09:24:15 ----D---- C:\Program Files (x86)\Windows Mail 2010-09-15 09:23:44 ----A---- C:\Windows\win.ini 2010-09-11 21:07:53 ----D---- C:\ProgramData\Tunngle 2010-09-11 21:07:52 ----D---- C:\Users\user\AppData\Roaming\Tunngle 2010-09-08 11:34:11 ----D---- C:\Program Files (x86)\iTunes 2010-09-08 11:33:37 ----D---- C:\Program Files (x86)\Common Files\Apple 2010-09-08 11:32:55 ----D---- C:\Program Files (x86)\JDownloader 2010-09-06 14:42:13 ----D---- C:\Windows\AppPatch 2010-09-06 14:12:50 ----D---- C:\ProgramData\NOS 2010-09-03 06:41:17 ----D---- C:\Program Files (x86)\Microsoft Silverlight 2010-08-29 20:34:11 ----A---- C:\Windows\SysWOW64\PnkBstrB.exe 2010-08-27 11:33:20 ----D---- C:\Program Files (x86)\TuneUp Utilities 2010 2010-08-26 16:52:59 ----A---- C:\Windows\SysWOW64\PerfStringBackup.INI 2010-08-25 21:40:07 ----SD---- C:\Windows\Downloaded Program Files ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R0 JGOGO;JMicron Hot-Plug Driver; C:\Windows\system32\DRIVERS\JGOGO.sys [] R0 JRAID;JRAID; C:\Windows\system32\DRIVERS\jraid.sys [] R0 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys [] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [] R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [2010-02-17 14920] R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [2010-02-17 12360] R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys [] R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [] R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\Drivers\GEARAspiWDM.sys [] R3 HssDrv;Hotspot Shield Helper Miniport; C:\Windows\system32\DRIVERS\HssDrv.sys [] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys [] R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys [] R3 tap0901t;TAP-Win32 Adapter V9 (Tunngle); C:\Windows\system32\DRIVERS\tap0901t.sys [] R3 taphss;Anchorfree HSS Adapter; C:\Windows\system32\DRIVERS\taphss.sys [] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys [2009-10-14 11856] R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\Windows\system32\drivers\WmBEnum.sys [] R3 WmXlCore;Logitech Translation Layer Driver; C:\Windows\system32\drivers\WmXlCore.sys [] S3 ass4xu5i;ass4xu5i; C:\Windows\SysWOW64\drivers\ass4xu5i.sys [] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [] S3 ENTECH64;ENTECH64; \??\C:\Windows\system32\DRIVERS\ENTECH64.sys [] S3 gdrv;gdrv; \??\C:\Windows\gdrv.sys [2007-09-10 22336] S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys [] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [] S3 USBAAPL64;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl64.sys [] S3 WmFilter;Logitech Gaming HID Filter Driver; C:\Windows\system32\drivers\WmFilter.sys [] S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\Windows\system32\drivers\WmVirHid.sys [] S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [] S3 xusb21;Xbox 360 Wireless Receiver Driver Service 21; C:\Windows\system32\DRIVERS\xusb21.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 !SASCORE;SAS Core Service; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [2010-06-29 128752] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2010-04-19 267432] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-08-13 144672] R2 Bonjour Service;Dienst "Bonjour"; C:\Program Files (x86)\Bonjour\mDNSResponder.exe [2010-05-18 345376] R2 HssSrv;Hotspot Shield Routing Service; C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe [2010-06-23 348208] R2 HssWd;Hotspot Shield Monitoring Service; C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe [2010-06-23 322608] R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [] R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2010-07-29 75064] R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936] R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe [2010-08-26 1403200] R2 TunngleService;TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [2010-06-24 715512] R2 vsmon;TrueVector Internet Monitor; C:\Windows\SysWOW64\ZoneLabs\vsmon.exe [2010-06-28 2435592] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] S2 gupdate1c98d47b52ad115;Google Update Service (gupdate1c98d47b52ad115); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-02-12 133104] S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504] S3 HssTrayService;Hotspot Shield Tray Service; C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE [2010-07-27 57640] S3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2010-09-01 932640] S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-19 19968] S3 Steam Client Service;Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe [2010-03-03 332720] S3 TuneUp.Defrag;@C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe [2010-08-27 607040] S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768] S4 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE [2006-04-18 102400] S4 IDriverT;InstallDriver Table Manager; C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S4 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672] S4 NMIndexingService;NMIndexingService; C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe [2007-12-13 447784] S4 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe [2005-08-08 167936] -----------------EOF----------------- [code]info.txtRSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.08 2010-09-23 15:15:55
======Uninstall list======
-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files (x86)\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
µTorrent-->"C:\Program Files (x86)\uTorrent\uTorrent.exe" /UNINSTALL
7-Zip 9.15 beta-->"C:\Program Files (x86)\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10i_Plugin.exe -maintain plugin
Adobe Reader 9.3.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Amnesia - The Dark Descent Demo-->"C:\Program Files (x86)\Amnesia - The Dark Descent Demo\unins000.exe"
Apple Application Support-->MsiExec.exe /I{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Ashampoo Magical Optimizer-->"C:\Program Files (x86)\Ashampoo\Ashampoo Magical Optimizer\Uninstall\1406_Uninstall.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E5141379-B2D9-4BBC-BB2A-5805541571DD}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}\setup.exe -runfromtemp -l0x0409
Citrix XenApp Web Plugin-->MsiExec.exe /X{EBFEEB3F-3E3B-4725-A4E0-376144CE4F76}
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Counter-Strike: Source-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/240
DivX Converter-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files (x86)\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files (x86)\DivX\DivXWebPlayerUninstall.exe /PLUGIN
FastStone Image Viewer 4.2-->C:\Program Files (x86)\FastStone Image Viewer\uninst.exe
Fraps-->"C:\Fraps\uninstall.exe"
Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x7 -removeonly
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Gothic II - Die Nacht des Raben-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Gothic II-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Grand Theft Auto IV-->"C:\Program Files (x86)\InstallShield Installation Information\{579BA58C-F33D-4970-9953-B94B43768AC3}\setup.exe" -runfromtemp -l0x0007 -removeonly
Grand Theft Auto IV-->MsiExec.exe /I{5454083B-1308-4485-BF17-1110000D8301}
Half-Life(R) 2-->MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
HiJackThis-->MsiExec.exe /X{45A66726-69BC-466B-A7A4-12FCBA4883D7}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
Hotspot Shield 1.49-->C:\Program Files (x86)\Hotspot Shield\Uninstall.exe
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
JDownloader-->C:\Program Files (x86)\JDownloader\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Medieval II Total War-->C:\Program Files (x86)\InstallShield Installation Information\{C0698BDA-0D29-40EE-8570-A31106DF9AB1}\setup.exe -runfromtemp -l0x0007 -removeonly
Microsoft AppLocale-->MsiExec.exe /I{394BE3D9-7F57-4638-A8D1-1D88671913B7}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{8FB1B528-E260-451E-9B55-E9152F94B80B}
Microsoft Games for Windows - LIVE-->MsiExec.exe /X{F97E3841-CA9D-4964-9D64-26066241D26F}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{6AFCA4E1-9B78-3640-8F72-A7BF33448200}
Microsoft XNA Framework Redistributable 3.0-->MsiExec.exe /I{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}
Mozilla Firefox (3.6.10)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MyMicroBalance-->MsiExec.exe /I{9B219133-CA46-47EF-98E1-AB12E32D53F9}
Nero 8-->MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA PhysX-->MsiExec.exe /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
ODF Add-in for Microsoft Office-->MsiExec.exe /I{59D1195A-7E64-4120-BB37-F053D9FD45FB}
OpenAL-->"C:\Program Files (x86)\OpenAL\oalinst.exe" /U
PDF24 Creator-->"C:\Program Files (x86)\pdf24\unins000.exe"
Portal-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/400
PowerDVD-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
QuickTime-->MsiExec.exe /I{EB900AF8-CC61-4E15-871B-98D1EA3E8025}
Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Shared Add-in Extensibility Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{09959E11-AD5D-408E-96AF-E3346954D6B8}
Shared Add-in Support Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{64F3B15C-24C7-4B2B-9B72-65CCBBD7F06B}
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~2\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~2\Install.log
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Source SDK Base - Orange Box-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/218
Source SDK Base-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/215
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Total Commander (Remove or Repair)-->c:\totalcmd\tcuninst.exe
TuneUp Utilities-->C:\Program Files (x86)\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
Tunngle beta-->"C:\Program Files (x86)\Tunngle\unins000.exe"
TweakNow RegCleaner Standard-->"C:\Program Files (x86)\TweakNow RegCleaner Std\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 1.1.4-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Vuze-->C:\Program Files (x86)\Vuze\uninstall.exe
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe
WinSCP 4.0.7-->"C:\Program Files (x86)\WinSCP\unins000.exe"
WinZip 11.1-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}
Wolfenstein(TM) 1.1 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E03B44A3-9237-4B55-B7A5-DB1DD46920D3}\setup.exe -runfromtemp -l0x0409
ZoneAlarm-->C:\Program Files (x86)\Zone Labs\ZoneAlarm\zauninst.exe
======Security center information======
AS: Avira AntiVir PersonalEdition
AS: Windows-Defender
AS: SUPERAntiSpyware (disabled)
======System event log======
Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Benachrichtigungsdienst für Systemereignisse" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244712
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:
Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "COM+-Ereignissystem" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244711
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:
Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "TuneUp Designerweiterung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244710
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:
Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Softwarelizenzierung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244709
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:
Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Designs" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244708
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:
=====Application event log=====
Computer Name: MUSTERMANN
Event Code: 900
Message: Der Softwarelizenzierungsdienst wird gestartet.
Record Number: 43101
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090716155041.000000-000
Event Type: Informationen
User:
Computer Name: MUSTERMANN
Event Code: 1531
Message: Der Benutzerprofildienst wurde erfolgreich gestartet.
Record Number: 43100
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090716155041.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: MUSTERMANN
Event Code: 2
Message: Der Zertifikatdiensteclient wurde angehalten.
Record Number: 43099
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090716154945.883996-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: MUSTERMANN
Event Code: 1530
Message: Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.
DETAIL -
2 user registry handles leaked from \Registry\User\S-1-5-21-3249559707-4023531275-2317400115-1000_Classes:
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000_CLASSES
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000_CLASSES
Record Number: 43098
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090716154939.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM
Computer Name: MUSTERMANN
Event Code: 1530
Message: Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.
DETAIL -
19 user registry handles leaked from \Registry\User\S-1-5-21-3249559707-4023531275-2317400115-1000:
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\trust
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\Root
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\My
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\CA
Record Number: 43097
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090716154939.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM
=====Security event log=====
Computer Name: MUSTERMANN
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: MUSTERMANN$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x280
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 84200
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.885139-000
Event Type: Überwachung erfolgreich
User:
Computer Name: MUSTERMANN
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: MUSTERMANN$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0x280
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Netzwerkadresse: -
Port: -
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 84199
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.885139-000
Event Type: Überwachung erfolgreich
User:
Computer Name: MUSTERMANN
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 84198
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.876139-000
Event Type: Überwachung erfolgreich
User:
Computer Name: MUSTERMANN
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: MUSTERMANN$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x280
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 84197
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.876139-000
Event Type: Überwachung erfolgreich
User:
Computer Name: MUSTERMANN
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: MUSTERMANN$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0x280
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Netzwerkadresse: -
Port: -
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 84196
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.876139-000
Event Type: Überwachung erfolgreich
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\Wbem;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"asl.log"=Destination=file;OnFirstLog=command,environment
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"CLASSPATH"=.;C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"tvdumpflags"=8
-----------------EOF-----------------
|
|
23.09.2010, 14:38
| #20 | |
| | Trojaner "Winserv.exe" eingefangenZitat:
|
|
23.09.2010, 18:50
| #21 |
| /// Helfer-Team | Trojaner "Winserv.exe" eingefangen Sorry, mein Fehler. Vergiss CB. Diese Datei bei Virustotal prüfen und Ergebnis posten. C:\Windows\logo1_.exe |
|
23.09.2010, 21:20
| #22 | |
| | Trojaner "Winserv.exe" eingefangenZitat:
|
|
24.09.2010, 09:30
| #23 |
| /// Helfer-Team | Trojaner "Winserv.exe" eingefangen Geschützte Systemdateien eingeblendet bzw. versteckte Dateien und Ordner eingeschaltet? |
|
24.09.2010, 10:23
| #24 |
| | Trojaner "Winserv.exe" eingefangen Also ich hab jetzt unter "Ordneroptionen" im Reiter "Ansicht" unter "Versteckte Dateien und Ordner" auf "Alle Dateien und Ordner anzeigen" geklickt. Der Ordner logo1_.exe enthält aber nach wie vor keine Datei... |
|
24.09.2010, 10:25
| #25 |
| /// Helfer-Team | Trojaner "Winserv.exe" eingefangen Ok, dann bin ich erstmal mit meinem Latein am Ende. Bitte den Rechner in den nächsten Tagen mit Malwarebytes scannen. Wenn noch Probleme auftreten, dann hier wieder melden. |
|
28.09.2010, 14:56
| #26 |
| | Trojaner "Winserv.exe" eingefangen Jetzt muss ich den Thread leider doch noch mal hervorholen. Zwar ist mir "Winserv.exe" nicht mehr untergekommen, allerdings taucht nun seit gestern hin und wieder der Prozess "i4jdel0.exe" auf. Wenn der Prozess läuft, lassen sich weder Firefox noch IE starten. Wenn ich ihn beende, normalisiert sich das System wieder. Hab keine Ahnung was das soll... Irgendwelche Tipps? |
|
28.09.2010, 15:12
| #27 |
| /// Helfer-Team | Trojaner "Winserv.exe" eingefangen Hast du den Pfad du dieser exe Datei? Wenn ja, dann bei virustotal www.virustotal.com hochladen und auswerten. |
|
28.09.2010, 15:16
| #28 |
  | Trojaner "Winserv.exe" eingefangen Hallo Bresch Ich möchte da nicht meinem Vorredner ins Gehege kommen, dennoch die Frage nach der vollständigen Pfadangabe dieses Files. Bitte lade dieses File auch mal bei Virustotal hoch und lasse es analysieren... Poste dann bitte das Ergebnis hier....
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
28.09.2010, 15:53
| #29 | |
| | Trojaner "Winserv.exe" eingefangenZitat:
Unter dem Pfad "C:/users/user/appdata/local/temp" gibt es sowohl das File "i4jdel0.exe" als auch einen Ordner namens "e4j21D2.tmp_dir31596" in dem sich (ohne 0) nochmals "i4jdel.exe" sowie eine Datei mit dem Namen "exe4jlib.jar" befinden. Ich habe alle drei Dateien bei Virustotal checken lassen und es wurde nichts gefunden! "exe4jlib.jar" --> Code:
ATTFilter Antivirus results
AhnLab-V3 - 2010.09.28.03 - 2010.09.28 - -
AntiVir - 7.10.12.59 - 2010.09.28 - -
Antiy-AVL - 2.0.3.7 - 2010.09.28 - -
Authentium - 5.2.0.5 - 2010.09.28 - -
Avast - 4.8.1351.0 - 2010.09.28 - -
Avast5 - 5.0.594.0 - 2010.09.28 - -
AVG - 9.0.0.851 - 2010.09.27 - -
BitDefender - 7.2 - 2010.09.28 - -
CAT-QuickHeal - 11.00 - 2010.09.28 - -
ClamAV - 0.96.2.0-git - 2010.09.28 - -
Comodo - 6224 - 2010.09.28 - -
DrWeb - 5.0.2.03300 - 2010.09.28 - -
eSafe - 7.0.17.0 - 2010.09.26 - -
eTrust-Vet - 36.1.7880 - 2010.09.28 - -
F-Prot - 4.6.2.117 - 2010.09.28 - -
F-Secure - 9.0.15370.0 - 2010.09.28 - -
Fortinet - 4.1.143.0 - 2010.09.28 - -
GData - 21 - 2010.09.28 - -
Ikarus - T3.1.1.90.0 - 2010.09.28 - -
Jiangmin - 13.0.900 - 2010.09.28 - -
K7AntiVirus - 9.63.2618 - 2010.09.27 - -
Kaspersky - 7.0.0.125 - 2010.09.28 - -
McAfee - 5.400.0.1158 - 2010.09.28 - -
McAfee-GW-Edition - 2010.1C - 2010.09.28 - -
Microsoft - 1.6201 - 2010.09.28 - -
NOD32 - 5486 - 2010.09.28 - -
Norman - 6.06.06 - 2010.09.28 - -
nProtect - 2010-09-28.01 - 2010.09.28 - -
Panda - 10.0.2.7 - 2010.09.27 - -
PCTools - 7.0.3.5 - 2010.09.28 - -
Prevx - 3.0 - 2010.09.28 - -
Rising - 22.66.06.01 - 2010.09.27 - -
Sophos - 4.58.0 - 2010.09.28 - -
Sunbelt - 6938 - 2010.09.28 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.28 - -
Symantec - 20101.1.1.7 - 2010.09.28 - -
TheHacker - 6.7.0.0.038 - 2010.09.28 - -
TrendMicro - 9.120.0.1004 - 2010.09.28 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.28 - -
VBA32 - 3.12.14.1 - 2010.09.27 - -
ViRobot - 2010.8.31.4017 - 2010.09.28 - -
VirusBuster - 12.66.3.0 - 2010.09.28 - -
File info:
MD5: 175af9881da79a20c6b871be65887f18
SHA1: 63be5f293added67991921f82076405129628ff6
SHA256: 8701e6cb23498ef3c75500fff2c5274693e20b2cd3c4f06a9599842842b93d72
File size: 27329 bytes
Scan date: 2010-09-28 14:41:39 (UTC)
Code:
ATTFilter Antivirus results
AhnLab-V3 - 2010.09.28.03 - 2010.09.28 - -
AntiVir - 7.10.12.59 - 2010.09.28 - -
Antiy-AVL - 2.0.3.7 - 2010.09.28 - -
Authentium - 5.2.0.5 - 2010.09.28 - -
Avast - 4.8.1351.0 - 2010.09.28 - -
Avast5 - 5.0.594.0 - 2010.09.28 - -
AVG - 9.0.0.851 - 2010.09.27 - -
BitDefender - 7.2 - 2010.09.28 - -
CAT-QuickHeal - 11.00 - 2010.09.28 - -
ClamAV - 0.96.2.0-git - 2010.09.28 - -
Comodo - 6224 - 2010.09.28 - -
DrWeb - 5.0.2.03300 - 2010.09.28 - -
Emsisoft - 5.0.0.50 - 2010.09.28 - -
eSafe - 7.0.17.0 - 2010.09.26 - -
eTrust-Vet - 36.1.7880 - 2010.09.28 - -
F-Prot - 4.6.2.117 - 2010.09.28 - -
F-Secure - 9.0.15370.0 - 2010.09.28 - -
Fortinet - 4.1.143.0 - 2010.09.28 - -
GData - 21 - 2010.09.28 - -
Ikarus - T3.1.1.90.0 - 2010.09.28 - -
Jiangmin - 13.0.900 - 2010.09.28 - -
K7AntiVirus - 9.63.2618 - 2010.09.27 - -
Kaspersky - 7.0.0.125 - 2010.09.28 - -
McAfee - 5.400.0.1158 - 2010.09.28 - -
McAfee-GW-Edition - 2010.1C - 2010.09.28 - -
Microsoft - 1.6201 - 2010.09.28 - -
NOD32 - 5486 - 2010.09.28 - -
Norman - 6.06.06 - 2010.09.28 - -
nProtect - 2010-09-28.01 - 2010.09.28 - -
Panda - 10.0.2.7 - 2010.09.27 - -
PCTools - 7.0.3.5 - 2010.09.28 - -
Prevx - 3.0 - 2010.09.28 - -
Rising - 22.66.06.01 - 2010.09.27 - -
Sophos - 4.58.0 - 2010.09.28 - -
Sunbelt - 6938 - 2010.09.28 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.28 - -
Symantec - 20101.1.1.7 - 2010.09.28 - -
TheHacker - 6.7.0.0.038 - 2010.09.28 - -
TrendMicro - 9.120.0.1004 - 2010.09.28 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.28 - -
VBA32 - 3.12.14.1 - 2010.09.27 - -
ViRobot - 2010.8.31.4017 - 2010.09.28 - -
VirusBuster - 12.66.3.0 - 2010.09.28 - -
File info:
MD5: 08af557c8e6e74d7d92314f6b2c86273
SHA1: 58a84133704750fabf75db76b471f976790d7a09
SHA256: d7eeb1357b85be3d88e1841932d3b0ba911b2f33b5801e0b7ddd1a3e954b405d
File size: 4608 bytes
Scan date: 2010-09-28 14:47:04 (UTC)
Code:
ATTFilter Antivirus results
AhnLab-V3 - 2010.09.28.03 - 2010.09.28 - -
AntiVir - 7.10.12.59 - 2010.09.28 - -
Antiy-AVL - 2.0.3.7 - 2010.09.28 - -
Authentium - 5.2.0.5 - 2010.09.28 - -
Avast - 4.8.1351.0 - 2010.09.28 - -
Avast5 - 5.0.594.0 - 2010.09.28 - -
AVG - 9.0.0.851 - 2010.09.27 - -
BitDefender - 7.2 - 2010.09.28 - -
CAT-QuickHeal - 11.00 - 2010.09.28 - -
ClamAV - 0.96.2.0-git - 2010.09.28 - -
Comodo - 6224 - 2010.09.28 - -
DrWeb - 5.0.2.03300 - 2010.09.28 - -
Emsisoft - 5.0.0.50 - 2010.09.28 - -
eSafe - 7.0.17.0 - 2010.09.28 - -
eTrust-Vet - 36.1.7880 - 2010.09.28 - -
F-Prot - 4.6.2.117 - 2010.09.28 - -
F-Secure - 9.0.15370.0 - 2010.09.28 - -
Fortinet - 4.1.143.0 - 2010.09.28 - -
GData - 21 - 2010.09.28 - -
Ikarus - T3.1.1.90.0 - 2010.09.28 - -
Jiangmin - 13.0.900 - 2010.09.28 - -
K7AntiVirus - 9.63.2618 - 2010.09.27 - -
Kaspersky - 7.0.0.125 - 2010.09.28 - -
McAfee - 5.400.0.1158 - 2010.09.28 - -
McAfee-GW-Edition - 2010.1C - 2010.09.28 - -
Microsoft - 1.6201 - 2010.09.28 - -
NOD32 - 5486 - 2010.09.28 - -
Norman - 6.06.06 - 2010.09.28 - -
nProtect - 2010-09-28.01 - 2010.09.28 - -
Panda - 10.0.2.7 - 2010.09.27 - -
PCTools - 7.0.3.5 - 2010.09.28 - -
Prevx - 3.0 - 2010.09.28 - -
Rising - 22.66.06.01 - 2010.09.27 - -
Sophos - 4.58.0 - 2010.09.28 - -
Sunbelt - 6938 - 2010.09.28 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.28 - -
Symantec - 20101.1.1.7 - 2010.09.28 - -
TheHacker - 6.7.0.0.038 - 2010.09.28 - -
TrendMicro - 9.120.0.1004 - 2010.09.28 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.28 - -
VBA32 - 3.12.14.1 - 2010.09.27 - -
ViRobot - 2010.8.31.4017 - 2010.09.28 - -
VirusBuster - 12.66.3.0 - 2010.09.28 - -
File info:
MD5: 8c800f6bfe1323cbb2741af23ed2cf68
SHA1: b5281cafb52035502feae43a31ebd9ebd4b3f7b7
SHA256: fd9bfb8e7ec268e610ec0ed06c669a83208256fda391ef5df5ccb31e0d07880c
File size: 4608 bytes
Scan date: 2010-09-28 14:50:09 (UTC)
|
|
28.09.2010, 17:29
| #30 |
| /// Helfer-Team | Trojaner "Winserv.exe" eingefangen Finde selbst nichts über diese .exe Datei. Scheinbar handelt es sich aber nicht um einen Schädling. Welches Programm das verursacht ist mir noch schleierhaft. Im Prinzip kannst nichts anders tun als den Prozess bzw. die Dateien zu löschen. Vielleicht gehört das auch zu einem Browseradd-on ? |
|
| Themen zu Trojaner "Winserv.exe" eingefangen |
| adobe, antivir, antivir guard, avg, avira, bho, bonjour, defender, desktop, excel, firefox, frage, hijack, hotspot, hotspot shield, infizierte datei, internet, internet explorer, logfile, mozilla, plug-in, prozesse, rundll, scan, software, system, syswow64, trojaner, vista |
Linear-Darstellung
