Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.10.2010, 10:36   #1
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Icon27

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Hallo zusammen, mein PC ist seit 1,2 Tagen ziemlich lahm und zickig (z.B. lassen sich div. Browser - Chrome, Safari - nicht mehr starten). Ein Avira-Lauf hat meine Befürchtung bestätigt, dass ich mir irgendwo div. Ungeziefer eigefangen habe. Kann mir jemand sagen, ob und, wenn ja, wie ich das Zeug wieder los werden kann??? Schon jetzt vielen Dank für Eure Mühe!!!

Ich hänge hier mal das Avira-Protokoll an. Und eigentlich wollte ich auch gleich einen MBR mitliefern, aber ich scheitere schon am aktualisieren des Programmes; wenn ich auf die aktuelle Version upgraden will, krieg ich den Hinweis, dass meine (Windows-)Firewall das nicht zuläßt. Auch als ich über eine zusätzliche Regel für "C:\Program Files\Malwarebytes' Anti-Malware" den Zugriff zulassen wollte, hat das nicht geklappt! Weiß jemand Rat???

Aber hier erstmal das Avira-Ergebnis:

HTML-Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 20. Oktober 2010  07:48

Es wird nach 2953301 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HOME-PC

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 16:18:24
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 16:18:23
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 16:17:42
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 17:44:58
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 18:34:35
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 16:50:55
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 20:59:03
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 17:34:26
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 17:13:00
VBASE008.VDF   : 7.10.11.133   3454464 Bytes  13.09.2010 18:42:11
VBASE009.VDF   : 7.10.11.134      2048 Bytes  13.09.2010 18:42:11
VBASE010.VDF   : 7.10.11.135      2048 Bytes  13.09.2010 18:42:12
VBASE011.VDF   : 7.10.11.136      2048 Bytes  13.09.2010 18:42:12
VBASE012.VDF   : 7.10.11.137      2048 Bytes  13.09.2010 18:42:12
VBASE013.VDF   : 7.10.11.165    172032 Bytes  15.09.2010 04:30:04
VBASE014.VDF   : 7.10.11.202    144384 Bytes  18.09.2010 17:33:14
VBASE015.VDF   : 7.10.11.231    129024 Bytes  21.09.2010 17:33:14
VBASE016.VDF   : 7.10.12.4    126464 Bytes  23.09.2010 22:25:05
VBASE017.VDF   : 7.10.12.38    146944 Bytes  27.09.2010 16:48:03
VBASE018.VDF   : 7.10.12.64    133120 Bytes  29.09.2010 16:48:05
VBASE019.VDF   : 7.10.12.99    134144 Bytes  01.10.2010 16:48:10
VBASE020.VDF   : 7.10.12.122    131584 Bytes  05.10.2010 12:47:00
VBASE021.VDF   : 7.10.12.148    119296 Bytes  07.10.2010 16:08:35
VBASE022.VDF   : 7.10.12.175    142848 Bytes  11.10.2010 20:34:44
VBASE023.VDF   : 7.10.12.198    131584 Bytes  13.10.2010 21:02:33
VBASE024.VDF   : 7.10.12.216    133120 Bytes  14.10.2010 21:02:36
VBASE025.VDF   : 7.10.12.238    137728 Bytes  18.10.2010 21:24:13
VBASE026.VDF   : 7.10.12.239      2048 Bytes  18.10.2010 21:24:13
VBASE027.VDF   : 7.10.12.240      2048 Bytes  18.10.2010 21:24:13
VBASE028.VDF   : 7.10.12.241      2048 Bytes  18.10.2010 21:24:13
VBASE029.VDF   : 7.10.12.242      2048 Bytes  18.10.2010 21:24:13
VBASE030.VDF   : 7.10.12.243      2048 Bytes  18.10.2010 21:24:13
VBASE031.VDF   : 7.10.12.252    128000 Bytes  19.10.2010 22:01:50
Engineversion  : 8.2.4.82 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 09:23:29
AESCRIPT.DLL   : 8.1.3.45    1368443 Bytes  21.09.2010 17:33:20
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 15:39:04
AESBX.DLL      : 8.1.3.1      254324 Bytes  24.04.2010 09:54:45
AERDL.DLL      : 8.1.9.2      635252 Bytes  21.09.2010 17:33:19
AEPACK.DLL     : 8.2.3.11     471416 Bytes  11.10.2010 20:34:48
AEOFFICE.DLL   : 8.1.1.8      201081 Bytes  22.07.2010 13:53:26
AEHEUR.DLL     : 8.1.2.35    2961784 Bytes  15.10.2010 21:22:45
AEHELP.DLL     : 8.1.14.0     246134 Bytes  11.10.2010 20:34:45
AEGEN.DLL      : 8.1.3.23     401779 Bytes  01.10.2010 16:48:08
AEEMU.DLL      : 8.1.2.0      393588 Bytes  24.04.2010 09:54:44
AECORE.DLL     : 8.1.17.0     196982 Bytes  27.09.2010 16:48:04
AEBB.DLL       : 8.1.1.0       53618 Bytes  24.04.2010 09:54:43
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  08.09.2009 17:41:35
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 15:14:53
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 16:18:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 20. Oktober 2010  07:48

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '120730' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wercon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nokiaaserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaOviSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEstSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'stacsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '82' Prozesse mit '82' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [WARNUNG]   Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!
Bootsektor 'D:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\******\AppData\Local\Temp\0.4083553838967652.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.PJW
C:\Users\******\AppData\Local\Temp\2773.tmp
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.kva.66
C:\Users\******\AppData\Local\Temp\jar_cache8769556405556324120.tmp
  [0] Archivtyp: ZIP
    --> Cz_0_CDKa__.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.A
    --> jWSyyv.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Remote.B
    --> M8PFGFzL.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.abj
    --> rsl__E2.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/SecureSet.A
    --> saCPvD8X.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.abk.5
    --> uwE_qu4.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoad.AK
C:\Windows\Temp\43A8.tmp
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.kva.66
Beginne mit der Suche in 'D:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Users\******\AppData\Local\Temp\0.4083553838967652.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.PJW
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf2a0c3.qua' verschoben!
C:\Users\******\AppData\Local\Temp\2773.tmp
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.kva.66
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf5a0cc.qua' verschoben!
C:\Users\******\AppData\Local\Temp\jar_cache8769556405556324120.tmp
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d30a0f6.qua' verschoben!
C:\Windows\Temp\43A8.tmp
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.kva.66
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cffa0c8.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 20. Oktober 2010  09:56
Benötigte Zeit:  1:55:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  45991 Verzeichnisse wurden überprüft
 900022 Dateien wurden geprüft
     12 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 900011 Dateien ohne Befall
   5503 Archive wurden durchsucht
      3 Warnungen
      8 Hinweise
 120730 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Alt 20.10.2010, 19:24   #2
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Hallo, ich habe natürlich Beiträge im Board gefunden, wo es auch um Probleme mit vom Bootsektor-Virus (?) Alureon befallene PCs ging. Aber es wird dort immer u.a. ein Malwarebytes-Report erstellt, was bei mir schon daran scheitert, dass meine Firewall eine Aktualisierung des Programms nicht zulässt. Die Firewall einfach abschalten will ich aber nicht. Ist es möglich, Malwarebytes' Anti Malware einfach noch mal neu down zu loaden?

Nachdem AVIRA jetzt bei jedem Lauf wieder Viren findet und anschließend 'repariert', bin ich ziemlich ohne Plan. Ist es vielleicht einfach so, dass gegen Alureon kein Kraut gewachsen ist und ich meine Kiste einfach wegschmeißen sollte???

Ich bitte um wenigstens eine KURZE Antwort!

ClearIce
__________________


Geändert von ClearIce (20.10.2010 um 19:30 Uhr)

Alt 20.10.2010, 20:31   #3
kira
/// Helfer-Team
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vB Code Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen
Zitat:
Zitat von ClearIce Beitrag anzeigen
...was bei mir schon daran scheitert, dass meine Firewall eine Aktualisierung des Programms nicht zulässt. Die Firewall einfach abschalten will ich aber nicht.
Musst erleuben! Welche Firewall verwendest du?

1.
- Lade dir RSIT - Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool "Ccleaner" herunter
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

6.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter
  • setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
  • "Stealth Objects" -> "Scan"-> Save Report"...
  • "Hidden Services" -> "Scan"-> Save Report"...
  • speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________

Geändert von kira (20.10.2010 um 20:36 Uhr)

Alt 20.10.2010, 23:55   #4
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Hallo Coverflow,

ertmal vielen Dank, dass du dich meiner annimmst!

Zitat:
Welche Firewall verwendest du?
Windows-Firewall

Zitat:
1. Lade dir RSIT:
Code:
ATTFilter
info.txtRSIT Logfile:
ogfile of random's system information tool 1.06 2010-02-28 18:55:00

======Uninstall list======

-->"C:\Program Files\HP Games\Bejeweled 2 Deluxe\Uninstall.exe"
-->"C:\Program Files\HP Games\Blasterball 3\Uninstall.exe"
-->"C:\Program Files\HP Games\Bricks of Egypt\Uninstall.exe"
-->"C:\Program Files\HP Games\Chuzzle Deluxe\Uninstall.exe"
-->"C:\Program Files\HP Games\Crystal Maze\Uninstall.exe"
-->"C:\Program Files\HP Games\Digby's Donuts\Uninstall.exe"
-->"C:\Program Files\HP Games\Diner Dash 2 Restaurant Rescue\Uninstall.exe"
-->"C:\Program Files\HP Games\Diner Dash\Uninstall.exe"
-->"C:\Program Files\HP Games\FATE\Uninstall.exe"
-->"C:\Program Files\HP Games\Fish Tycoon\Uninstall.exe"
-->"C:\Program Files\HP Games\Gem Shop\Uninstall.exe"
-->"C:\Program Files\HP Games\Insaniquarium Deluxe\Uninstall.exe"
-->"C:\Program Files\HP Games\Magic Academy\Uninstall.exe"
-->"C:\Program Files\HP Games\Mah Jong Quest\Uninstall.exe"
-->"C:\Program Files\HP Games\My HP Game Console\Uninstall.exe"
-->"C:\Program Files\HP Games\Ocean Express\Uninstall.exe"
-->"C:\Program Files\HP Games\Peggle\Uninstall.exe"
-->"C:\Program Files\HP Games\Penguins!\Uninstall.exe"
-->"C:\Program Files\HP Games\Polar Bowler\Uninstall.exe"
-->"C:\Program Files\HP Games\Polar Golfer Pineapple Cup\Uninstall.exe"
-->"C:\Program Files\HP Games\Polar Golfer\Uninstall.exe"
-->"C:\Program Files\HP Games\Puzzle Express\Uninstall.exe"
-->"C:\Program Files\HP Games\Ricochet Lost Worlds\Uninstall.exe"
-->"C:\Program Files\HP Games\Slingo Deluxe\Uninstall.exe"
-->"C:\Program Files\HP Games\Sudoku Quest\Uninstall.exe"
-->"C:\Program Files\HP Games\Super Granny\Uninstall.exe"
-->"C:\Program Files\HP Games\Tradewinds\Uninstall.exe"
-->"C:\Program Files\HP Games\Treasure Island\Uninstall.exe"
-->"C:\Program Files\HP Games\Virtual Villagers - A New Home\Uninstall.exe"
-->"C:\Program Files\HP Games\Zuma Deluxe\Uninstall.exe"
2007 Microsoft Office Suite Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
2007 Microsoft Office Suite Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
2007 Microsoft Office Suite Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
2007 Microsoft Office Suite Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0410-0000-0000000FF1CE} /uninstall {322296D4-1EAE-4030-9FBC-D2787EB25FA2}
32 Bit HP CIO Components Installer-->MsiExec.exe /I{2614F54E-A828-49FA-93BA-45A3F756BFAA}
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
ActiveCheck component for HP Active Support Library-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
Adobe Shockwave Player-->MsiExec.exe /X{1BDC9633-895B-4842-BCB6-8FA1EC2A3C5A}
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
CyberLink DVD Suite-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe"  -uninstall
CyberLink YouCam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\setup.exe" /z-uninstall
CyberLink YouCam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\setup.exe" /z-uninstall
Favorit-->c:\users\******\appdata\local\eqmawoa.bat
Google Chrome-->"C:\Program Files\Google\Chrome\Application\4.0.249.89\Installer\setup.exe" --uninstall --system-level
Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466}
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E85CDE7661A53A6A.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Haufe iDesk-Browser-->MsiExec.exe /X{56FDB311-6511-11DE-832F-0050560400B1}
Haufe iDesk-Service-->MsiExec.exe /X{EB5AE940-8E5D-11DE-992A-005056B12123}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Active Support Library-->"C:\Program Files\InstallShield Installation Information\{CE7E3BE0-2DD3-4416-A690-F9E4A99A8CFF}\setup.exe" -runfromtemp -l0x0409 -removeonly
HP Customer Participation Program 10.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Doc Viewer-->MsiExec.exe /I{082702D5-5DD8-4600-BCE5-48B15174687F}
HP Document Manager 1.0-->C:\Program Files\HP\Digital Imaging\DocumentManager\hpzscr01.exe -datfile hpqbud18.dat
HP Help and Support-->MsiExec.exe /X{28C3E5E6-5ACA-408D-9A46-089C5334EC97}
HP Imaging Device Functions 10.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Officejet J4500 Series-->C:\Program Files\HP\Digital Imaging\{CD0773D5-C18E-495c-B39B-21A96415EDD5}\setup\hpzscr01.exe -datfile hpwscr19.dat -forcereboot
HP Quick Launch Buttons 6.40 D1-->C:\Program Files\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\setup.exe -runfromtemp -l0x0007 uninst
HP QuickPlay 3.7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{45D707E9-F3C4-11D9-A373-0050BAE317E1}\Setup.exe"  -uninstall
HP QuickTouch 1.00 D2-->MsiExec.exe /I{30DAA715-5032-40F9-A0AE-95C9AEBB3E3F}
HP Smart Web Printing-->C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpzscr01.exe -datfile hpqbud15.dat
HP Solution Center 10.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP User Guides 0102-->MsiExec.exe /I{F48098CD-2D66-4861-85EC-DC1D4D09D5F9}
HP Wireless Assistant-->MsiExec.exe /I{A5CE7175-080D-49AC-B5A3-E7E3502428F5}
HPAsset component for HP Active Support Library-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
HPNetworkAssistant-->MsiExec.exe /I{228C6B46-64E2-404E-898A-EF0830603EF4}
IDT Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}\setup.exe" -l0x7 -remove -removeonly
Intel® Matrix Storage Manager-->C:\Windows\system32\imsmudlg.exe -uninstall
iPhone-Konfigurationsprogramm-->MsiExec.exe /I{FA54AFB1-5745-4389-B8C1-9F7509672ED1}
iTunes-->MsiExec.exe /I{F439D7AF-03F3-4F8E-AEC4-571BFE977C61}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
JMicron JMB38X Flash Media Controller-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{26604C7E-A313-4D12-867F-7C6E7820BE4C}\setup.exe" -l0x7  -removeonly
kikin plugin (NO23 Edition) 2.0-->C:\Program Files\kikin\uninst.exe
LabelPrint-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\setup.exe"  -uninstall
Lexware Info Service-->MsiExec.exe /X{59624372-3B85-47f4-9B04-4911E551DF1E}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
McAfee Security Scan Plus-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-0407-0000-0000000FF1CE} /uninstall {26454C26-D259-4543-AA60-3189E09C5F76}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-00A1-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
MobileMe Control Panel-->MsiExec.exe /I{3AC54383-31D1-4907-961B-B12CBB1D0AE8}
MSVC80_x86_v2-->MsiExec.exe /I{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
My HP Games-->"C:\Program Files\HP Games\Uninstall.exe"
Nokia Connectivity Cable Driver-->MsiExec.exe /I{6869591A-7DD8-46D2-837F-57CBF7358955}
Nokia Map Loader-->MsiExec.exe /I{45D4F727-43B5-49CD-B474-B9866A8F4FB8}
Nokia Maps Updater 1.0.10-->"C:\Program Files\Nokia\Nokia Maps Updater\Uninstall Information\unins000.exe"
Nokia PC Suite-->C:\ProgramData\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_ger.exe
Nokia PC Suite-->MsiExec.exe /I{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}
Nokia Software Updater-->MsiExec.exe /X{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}
Norton Security Scan-->C:\Program Files\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe /X
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OCR Software by I.R.I.S. 10.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
PC Connectivity Solution-->MsiExec.exe /I{6E0352EE-6F0D-4FBC-B1B8-4FF032C78BE0}
Pdf995-->C:\Program Files\pdf995\setup.exe uninstall
PdfEdit995-->C:\Program Files\pdf995\res\utilities\thinsetup.exe - uninstall
pdfforge Toolbar v1.1.1-->MsiExec.exe /X{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
phonostar-Player Version 3.01.3-->"C:\Program Files\phonostar-Player\unins000.exe"
PhotoNow!-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.exe"  -uninstall
Power2Go-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe"  -uninstall
PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
ProtectSmart Hard Drive Protection-->MsiExec.exe /X{CB71A20E-B1B4-4562-81FA-33E1DBD0342F}
QuickPlay SlingPlayer 0.4.6-->"C:\Program Files\HP\QuickPlay\unins000.exe"
QuickSteuer 2010 compact-->MsiExec.exe /X{64BF619D-6962-4E4B-993D-F1401FAC2803}
QuickSteuer Wissens-Center 2010-->MsiExec.exe /X{EDF80EF9-3903-4DDC-96BC-F7D863E689C4}
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly
Safari-->MsiExec.exe /I{D6E4E5D6-7693-4BB4-95BA-21F38FAFEE90}
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB973704)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {E626DC89-A787-4553-9BB3-DC2EC7E1593F}
Security Update for Microsoft Office Excel 2007 (KB973593)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7D6255E3-3423-4D8B-A328-F6F8D28DD5FE}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Signature995-->C:\Program Files\pdf995\res\utilities\Signature995\thinsetup.exe - uninstall
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Toolbar fuer eBay-->regsvr32 /u /s "C:\Users\******\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll" 
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}
Update für Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}
Update für Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {EA160DA3-E9B5-4D03-A518-21D306665B96}
Update für Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {38472199-D7B6-4833-A949-10E4EE6365A1}
Viewpoint Media Player-->C:\Program Files\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
Visual C++ 9.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{0138F525-6C8A-333F-A105-14AE030B9A54}
Windows 7 Upgrade Advisor-->MsiExec.exe /I{9A4D182C-35C7-4791-8484-4304EBC9101A}
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\B4723E9A0713E5B1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf

=====HijackThis Backups=====

O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll [2009-05-20]
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll [2009-05-20]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  [2009-05-20]
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2009-05-20]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-05-20]
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://xxx3.snapfish.co.uk/SnapfishUKActivia.cab [2009-05-20]
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2009-05-20]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 [2009-05-20]
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2009-05-20]
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-05-20]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 [2009-05-20]
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL [2009-05-20]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb [2009-05-20]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2009-05-20]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb [2009-05-20]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://xxx.google.de/ [2009-05-20]
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) [2009-05-20]
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll [2009-05-20]
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll [2009-05-20]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  [2009-05-20]
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-05-20]
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" [2009-05-21]
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll [2009-05-21]
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll [2009-05-21]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  [2009-05-21]
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2009-05-21]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  [2009-05-21]
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') [2009-05-21]
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-05-21]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-05-21]
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-05-21]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://xxx.google.de/ [2009-05-21]
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w [2009-05-21]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll [2009-05-21]
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-05-21]

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: Home-PC
Event Code: 3
Message: Dienst wurde gestartet.
Record Number: 434814
Source Name: Virtual Disk Service
Time Written: 20100127183316.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 7036
Message: Dienst "Virtueller Datenträger" befindet sich jetzt im Status "Beendet".
Record Number: 434813
Source Name: Service Control Manager
Time Written: 20100127183216.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 4
Message: Dienst wurde beendet.
Record Number: 434812
Source Name: Virtual Disk Service
Time Written: 20100127183216.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 7036
Message: Dienst "Virtueller Datenträger" befindet sich jetzt im Status "Ausgeführt".
Record Number: 434811
Source Name: Service Control Manager
Time Written: 20100127183214.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 3
Message: Dienst wurde gestartet.
Record Number: 434810
Source Name: Virtual Disk Service
Time Written: 20100127183214.000000-000
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: Home-PC
Event Code: 7500
Message: Intel RAID-Controller: Unbekannter Controller
Anzahl der Serial ATA-Anschlüsse: 4
 
RAID Option ROM - Version: Unbekannt
Treiberversion: 8.0.0.1039
RAID-Plug-In - Version: 8.0.0.1039
Sprachressourcenversion des RAID-Plug-In:  Datei nicht gefunden
Assistent zum Erstellen eines Volumes - Version: 8.0.0.1039
Sprachressourcenversion für Assistenten zum Erstellen eines Volumes: Datei nicht gefunden
Assistent zum Erstellen eines Volumes von einer vorhandenen Festplatte - Version: 8.0.0.1039
Sprachressourcenversion des Assistenten zum Erstellen eines Volumes von einer vorhandener Festplatte:  Datei nicht gefunden
Assistent zum Bearbeiten des Volumes - Version: 8.0.0.1039
Sprachressourcenversion des Assistenten zum Bearbeiten des Volumes: Datei nicht gefunden
Assistent zum Löschen eines Volumes - Version: 8.0.0.1039
Sprachressourcenversion des Assistenten zum Löschen eines Volumes:  Datei nicht gefunden
ISDI Bibliothek Version: 8.0.0.1039
Version 8.0.0.1039 des Benutzerbenachrichtigungstools des Event Monitor
Sprachressourcenversion des Benutzerbenachrichtigungstools des Event Monitor:  Datei nicht gefunden
Event Monitor - Version: 8.0.0.1039
 
Festplatte 0
Verwendung: Unbekannte Festplattenverwendung
Status: Normal
Geräteanschluss: 0
Geräteanschlussposition: Intern
Aktueller Serial ATA-Übertragungsmodus: Generation 2
Modell: TOSHIBA MK3252GSX
Seriennummer: Y856P6GMT
Firmware: LV011C
Native Command Queuing-Unterstützung: Ja
Systemfestplatte: Ja
Gesamtgröße: 298 GB
Physische Sektorgröße: 512 Byte
Logische Sektorgröße: 512 Byte
 
Unbelegter Anschluss 0
Geräteanschluss: 4
Geräteanschlussposition: Intern
 
Unbelegter Anschluss 1
Geräteanschluss: 5
Geräteanschlussposition: Intern
 
CD/DVD-Laufwerk 0
Geräteanschluss: 1
Geräteanschlussposition: Intern
Aktueller Serial ATA-Übertragungsmodus: Generation 1
Modell: Optiarc BD ROM BC-5500S
Seriennummer: Daten nicht ausgegeben
Firmware: 1.83

Record Number: 6830
Source Name: IAANTmon
Time Written: 20090225071859.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 0
Message: 
Record Number: 6829
Source Name: QPSched
Time Written: 20090225071859.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 0
Message: 
Record Number: 6828
Source Name: hpqddsvc
Time Written: 20090225071859.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 0
Message: 
Record Number: 6827
Source Name: hpqcxs08
Time Written: 20090225071859.000000-000
Event Type: Informationen
User: 

Computer Name: Home-PC
Event Code: 10
Message: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Record Number: 6826
Source Name: Microsoft-Windows-WMI
Time Written: 20090225071857.000000-000
Event Type: Fehler
User: 

=====Security event log=====

Computer Name: Home-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		HOME-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Zielserver:
	Zielservername:	localhost
	Weitere Informationen:	localhost

Prozessinformationen:
	Prozess-ID:		0x2b0
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Netzwerkadresse:	-
	Port:			-

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 291876
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100207231729.209000-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Home-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 291875
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100207231627.138000-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Home-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		HOME-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7

Anmeldetyp:			5

Neue Anmeldung:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2b0
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	 - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 291874
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100207231627.138000-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Home-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		HOME-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Zielserver:
	Zielservername:	localhost
	Weitere Informationen:	localhost

Prozessinformationen:
	Prozess-ID:		0x2b0
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Netzwerkadresse:	-
	Port:			-

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 291873
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100207231627.138000-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Home-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 291872
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100207231524.953000-000
Event Type: Überwachung erfolgreich
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\CyberLink\Power2Go;C:\Program Files\Common Files\HP\Digital Imaging\\bin;C:\Program Files\Haufe\iDesk\iDeskService\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"OnlineServices"=Online Services
"Platform"=MCD
"PCBRAND"=Pavilion
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
         
Code:
ATTFilter
Logfile of random's system information tool 1.08 (written by random/random)
Run by Administratorkonto at 2010-10-20 20:50:18
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 196 GB (66%) free of 296 GB
Total RAM: 3068 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:50:29, on 20.10.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18975)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\phonostar-Player\phonostarTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\******\Downloads\RSIT.exe
C:\Program Files\trend micro\Administratorkonto.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Users\******\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files\kikin\ie_kikin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Users\******\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray
O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000 
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1482453781-2075705787-1278387245-1000\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '******')
O4 - HKUS\S-1-5-21-1482453781-2075705787-1278387245-1000\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray (User '******')
O4 - HKUS\S-1-5-21-1482453781-2075705787-1278387245-1000\..\Run: [phonostarTimer] C:\Program Files\phonostar-Player\phonostarTimer.exe (User '******')
O4 - HKUS\S-1-5-21-1482453781-2075705787-1278387245-1000\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime (User '******')
O4 - HKUS\S-1-5-21-1482453781-2075705787-1278387245-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '******')
O4 - HKUS\S-1-5-21-1482453781-2075705787-1278387245-1000\..\Run: [download] "C:\Users\******\AppData\Roaming\download2\svcnost.exe" (User '******')
O4 - S-1-5-21-1482453781-2075705787-1278387245-1000 Startup: OneNote Inhaltsverzeichnis.onetoc2 (User '******')
O4 - S-1-5-21-1482453781-2075705787-1278387245-1000 User Startup: OneNote Inhaltsverzeichnis.onetoc2 (User '******')
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files\kikin\ie_kikin.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_030ac640\aestsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: Haufe iDesk-Service in C:\Program Files\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Program Files\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_030ac640\STacSV.exe

--
End of file - 12762 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\Norton Security Scan for ******.job
C:\Windows\tasks\RealUpgradeScheduledTaskS-1-5-21-1482453781-2075705787-1278387245-1000.job
C:\Windows\tasks\RegistryBooster.job
C:\Windows\tasks\User_Feed_Synchronization-{C51DBCF7-CEDC-4017-A19D-07C5C0A8EDFC}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-09-22 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll [2010-03-12 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-07-14 278192]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA61DE26-FA67-4575-9033-918671094293}]
TBSB03968 Class - C:\Users\******\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll [2008-08-14 2484224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll [2010-09-26 842296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
pdfforge Toolbar - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll [2009-07-31 698880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
kikin Plugin - C:\Program Files\kikin\ie_kikin.dll [2010-08-16 799472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{B922D405-6D13-4A2B-AE89-08A030DA4402} - pdfforge Toolbar - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll [2009-07-31 698880]
{000E148C-F7A7-445A-9044-93BF6CE09ECB} - Toolbar fuer eBay - C:\Users\******\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll [2008-08-14 2484224]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-07-14 278192]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-01-18 1033512]
"IAAnotif"=C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [2008-04-15 178712]
"UCam_Menu"=C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe [2007-12-24 222504]
"QPService"=C:\Program Files\HP\QuickPlay\QPService.exe [2008-04-23 468264]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"QlbCtrl.exe"=C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe [2008-03-14 202032]
"OnScreenDisplay"=C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe [2007-11-01 554288]
"hpWirelessAssistant"=C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [2007-11-20 488752]
"HP Health Check Scheduler"=c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe [2008-10-09 75008]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"AppleSyncNotifier"=C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe [2010-09-22 47904]
"SysTrayApp"=C:\Program Files\IDT\WDM\sttray.exe [2008-04-15 442433]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-05-23 13539872]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-05-23 92704]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]
"LexwareInfoService"=C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe [2008-11-03 339240]
"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2010-03-12 202256]
"NokiaMServer"=C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup []
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2010-09-08 421888]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2010-09-24 421160]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-09-23 35760]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-09-20 932288]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]
"WindowsWelcomeCenter"=oobefldr.dll,ShowWelcomeCenter []
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-07-23 39408]
"NokiaOviSuite2"=C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe [2010-09-02 672632]
""= []
"RegistryBooster"=C:\Program Files\Uniblue\RegistryBooster\launcher.exe [2010-09-15 67448]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"=C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin []

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
McAfee Security Scan Plus.lnk - C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-10-20 18:16:56 ----D---- C:\Users\Administratorkonto\AppData\Roaming\Uniblue
2010-10-20 18:16:51 ----D---- C:\Program Files\Uniblue
2010-10-20 07:44:33 ----D---- C:\Users\Administratorkonto\AppData\Roaming\Malwarebytes
2010-10-14 06:38:57 ----A---- C:\Windows\system32\wmp.dll
2010-10-14 06:38:56 ----A---- C:\Windows\system32\wmploc.DLL
2010-10-14 06:38:24 ----A---- C:\Windows\system32\srvsvc.dll
2010-10-14 06:38:24 ----A---- C:\Windows\system32\drivers\srvnet.sys
2010-10-14 06:38:24 ----A---- C:\Windows\system32\drivers\srv.sys
2010-10-14 06:38:23 ----A---- C:\Windows\system32\netevent.dll
2010-10-14 06:38:23 ----A---- C:\Windows\system32\drivers\srv2.sys
2010-10-14 06:38:03 ----A---- C:\Windows\system32\schannel.dll
2010-10-14 06:38:00 ----A---- C:\Windows\system32\ole32.dll
2010-10-14 06:37:58 ----A---- C:\Windows\system32\t2embed.dll
2010-10-14 06:37:54 ----A---- C:\Windows\system32\mshtml.dll
2010-10-14 06:37:53 ----A---- C:\Windows\system32\ieframe.dll
2010-10-14 06:37:52 ----A---- C:\Windows\system32\wininet.dll
2010-10-14 06:37:52 ----A---- C:\Windows\system32\urlmon.dll
2010-10-14 06:37:52 ----A---- C:\Windows\system32\mshtmled.dll
2010-10-14 06:37:52 ----A---- C:\Windows\system32\msfeeds.dll
2010-10-14 06:37:52 ----A---- C:\Windows\system32\licmgr10.dll
2010-10-14 06:37:51 ----A---- C:\Windows\system32\occache.dll
2010-10-14 06:37:51 ----A---- C:\Windows\system32\mstime.dll
2010-10-14 06:37:51 ----A---- C:\Windows\system32\ieUnatt.exe
2010-10-14 06:37:51 ----A---- C:\Windows\system32\ieui.dll
2010-10-14 06:37:51 ----A---- C:\Windows\system32\iertutil.dll
2010-10-14 06:37:51 ----A---- C:\Windows\system32\iedkcs32.dll
2010-10-14 06:37:50 ----A---- C:\Windows\system32\msfeedssync.exe
2010-10-14 06:37:50 ----A---- C:\Windows\system32\msfeedsbs.dll
2010-10-14 06:37:50 ----A---- C:\Windows\system32\jsproxy.dll
2010-10-14 06:37:50 ----A---- C:\Windows\system32\iesysprep.dll
2010-10-14 06:37:50 ----A---- C:\Windows\system32\iesetup.dll
2010-10-14 06:37:50 ----A---- C:\Windows\system32\iernonce.dll
2010-10-14 06:37:50 ----A---- C:\Windows\system32\iepeers.dll
2010-10-14 06:37:50 ----A---- C:\Windows\system32\ie4uinit.exe
2010-10-14 06:37:48 ----A---- C:\Windows\system32\mfc40u.dll
2010-10-14 06:37:48 ----A---- C:\Windows\system32\mfc40.dll
2010-10-14 06:37:45 ----A---- C:\Windows\system32\win32k.sys
2010-10-14 06:37:44 ----A---- C:\Windows\system32\msshsq.dll
2010-10-14 06:37:42 ----A---- C:\Windows\system32\wmpmde.dll
2010-10-14 06:37:41 ----A---- C:\Windows\system32\comctl32.dll
2010-10-13 11:43:31 ----D---- C:\Program Files\iPod
2010-10-13 11:43:27 ----D---- C:\Program Files\iTunes
2010-10-13 11:39:17 ----D---- C:\Program Files\QuickTime
2010-10-13 11:35:27 ----D---- C:\Program Files\Bonjour
2010-09-29 07:08:20 ----A---- C:\Windows\system32\tzres.dll

======List of files/folders modified in the last 1 months======

2010-10-20 20:50:29 ----D---- C:\Program Files\Trend Micro
2010-10-20 20:50:23 ----D---- C:\Windows\Temp
2010-10-20 18:30:40 ----D---- C:\Windows\Prefetch
2010-10-20 18:26:22 ----A---- C:\Windows\win.ini
2010-10-20 18:26:21 ----SHD---- C:\Windows\Installer
2010-10-20 18:16:58 ----D---- C:\Windows\Tasks
2010-10-20 18:16:58 ----D---- C:\Windows\system32\Tasks
2010-10-20 18:16:51 ----RD---- C:\Program Files
2010-10-20 08:33:28 ----SD---- C:\Users\Administratorkonto\AppData\Roaming\Microsoft
2010-10-18 18:13:06 ----D---- C:\Windows\Minidump
2010-10-18 18:12:37 ----D---- C:\Windows
2010-10-18 01:14:54 ----SHD---- C:\System Volume Information
2010-10-15 18:54:11 ----D---- C:\Windows\rescache
2010-10-15 16:21:40 ----D---- C:\Windows\system32\de-DE
2010-10-15 16:21:40 ----D---- C:\Windows\System32
2010-10-15 16:21:40 ----D---- C:\Windows\inf
2010-10-15 16:21:40 ----D---- C:\Program Files\Windows Media Player
2010-10-15 16:21:39 ----D---- C:\Windows\system32\drivers
2010-10-15 16:21:39 ----D---- C:\Program Files\Internet Explorer
2010-10-15 16:21:38 ----D---- C:\Windows\system32\migration
2010-10-15 15:33:10 ----D---- C:\Windows\winsxs
2010-10-15 15:31:37 ----D---- C:\ProgramData\Microsoft Help
2010-10-15 15:27:22 ----D---- C:\Program Files\Common Files\Adobe
2010-10-15 15:27:21 ----D---- C:\ProgramData\Adobe
2010-10-15 15:23:25 ----A---- C:\Windows\system32\mrt.exe
2010-10-14 06:37:29 ----D---- C:\Windows\system32\catroot2
2010-10-14 06:37:29 ----D---- C:\Windows\system32\catroot
2010-10-13 11:43:31 ----D---- C:\Program Files\Common Files\Apple
2010-10-13 11:31:07 ----D---- C:\Program Files\Safari
2010-10-09 03:07:01 ----D---- C:\Windows\Microsoft.NET
2010-10-09 03:06:47 ----RSD---- C:\Windows\assembly
2010-09-27 18:49:42 ----D---- C:\Program Files\kikin
2010-09-27 07:29:31 ----D---- C:\Program Files\Google
2010-09-26 18:14:01 ----A---- C:\Windows\system32\PerfStringBackup.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 hpdskflt;HP Filter; C:\Windows\system32\DRIVERS\hpdskflt.sys [2008-03-27 24424]
R0 iaStor;Intel AHCI Controller; C:\Windows\system32\DRIVERS\iaStor.sys [2008-04-15 312344]
R0 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 {22D78859-9CE9-4B77-BF18-AC83E81A9263};{22D78859-9CE9-4B77-BF18-AC83E81A9263}; \??\C:\Program Files\HP\QuickPlay\000.fcl [2008-04-23 39408]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R3 Accelerometer;HP Accelerometer; C:\Windows\system32\DRIVERS\Accelerometer.sys [2008-03-27 34664]
R3 Dot4;MS IEEE-1284.4-Treiber; C:\Windows\system32\DRIVERS\Dot4.sys [2008-01-21 131584]
R3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2008-01-21 16384]
R3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2008-01-21 36864]
R3 enecir;ENE CIR Receiver; C:\Windows\system32\DRIVERS\enecir.sys [2008-01-24 52736]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 HpqKbFiltr;HpqKbFilter Driver; C:\Windows\system32\DRIVERS\HpqKbFiltr.sys [2007-06-18 16768]
R3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys [2008-04-01 81296]
R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit; C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-04-28 3658752]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver; C:\Windows\system32\drivers\nvhda32v.sys [2008-05-23 43552]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-05-23 7494976]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2008-04-15 118784]
R3 STHDA;IDT High Definition Audio CODEC; C:\Windows\system32\DRIVERS\stwrt.sys [2008-04-15 378368]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-01-18 196784]
R3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016]
S3 BCM43XV;Broadcom Extensible 802.11 Network Adapter Driver; C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-02 464384]
S3 catchme;catchme; \??\C:\Users\******SM~1\AppData\Local\Temp\catchme.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 HpqRemHid;HP Remote Control HID Device; C:\Windows\system32\DRIVERS\HpqRemHid.sys [2007-07-11 7168]
S3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-21 987648]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2008-01-21 200704]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 nmwcd;Nokia USB Phone Parent; C:\Windows\system32\drivers\ccdcmb.sys [2010-02-26 18176]
S3 nmwcdc;Nokia USB Generic; C:\Windows\system32\drivers\ccdcmbo.sys [2010-02-26 22528]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\Windows\system32\drivers\nmwcdnsu.sys [2010-02-26 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\Windows\system32\drivers\nmwcdnsuc.sys [2010-02-26 8320]
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\Windows\system32\DRIVERS\nvm60x32.sys [2006-11-02 429056]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\Windows\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-01-21 88576]
S3 upperdev;upperdev; C:\Windows\system32\DRIVERS\usbser_lowerflt.sys [2010-02-26 8192]
S3 usbser;USB Modem Driver; C:\Windows\system32\DRIVERS\usbser.sys [2009-04-11 27648]
S3 UsbserFilt;UsbserFilt; C:\Windows\system32\DRIVERS\usbser_lowerfltj.sys [2010-02-26 8192]
S3 winachsf;winachsf; C:\Windows\system32\DRIVERS\VSTCNXT3.SYS [2008-01-21 654336]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2009-10-01 40448]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AESTFilters;Andrea ST Filters Service; C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_030ac640\aestsrv.exe [2008-02-12 73728]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-08-13 144672]
R2 Bonjour Service;Dienst "Bonjour"; C:\Program Files\Bonjour\mDNSResponder.exe [2010-07-27 345376]
R2 ezSharedSvc;Easybits Shared Services for Windows; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 HP Health Check Service;HP Health Check Service; c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe [2008-10-09 94208]
R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 hpsrv;HP Service; C:\Windows\system32\Hpservice.exe [2008-03-18 19456]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe [2008-04-15 354840]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-05-23 196608]
R2 QPCapSvc;QuickPlay Background Capture Service (QBCS); C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe [2008-04-23 292232]
R2 QPSched;QuickPlay Task Scheduler (QTS); C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe [2008-04-23 112008]
R2 Recovery Service for Windows;Recovery Service for Windows; C:\Windows\SMINST\BLService.exe [2008-03-26 341328]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2007-01-09 272024]
R2 STacSV;Audio Service; C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_030ac640\STacSV.exe [2008-04-15 221239]
R3 Com4QLBEx;Com4QLBEx; C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-02-07 193840]
R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R3 hpqwmiex;hpqwmiex; C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe [2008-01-25 148832]
R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2010-09-24 820008]
R3 ServiceLayer;ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2010-06-14 615936]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 gupdate;Google Update Service (gupdate); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-11-20 135664]
S2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-21 21504]
S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-21 21504]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 GameConsoleService;GameConsoleService; C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe [2007-07-24 181800]
S3 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-23 182768]
S3 HRService;Haufe iDesk-Service in C:\Program Files\Haufe\iDesk\iDeskService\Zope; C:\Program Files\Haufe\iDesk\iDeskService\iDeskService.exe [2009-08-21 70336]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 McComponentHostService;McAfee Security Scan Component Host Service; C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

-----------------EOF-----------------
         
Zitat:
2. Bitte Versteckte - und Systemdateien sichtbar machen
Hab ich jemacht!

Den Rest schieb ich hier noch nach. Wenn ich noch dazu komme! Ich hab jetzt schon Probleme beim Zugriff aufs Internet!!!

Alt 21.10.2010, 00:19   #5
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Hallo Coverflow,

die Logs zu den Punkten 3-6 geb ich hier als Anhang mit. Anders krieg ich das nicht hier hoch. Ich hoffe, es taugt so! Schon jetzt vielen Dank für deine Mühe! Aber irgendwie hab ich kein gutes Gefühl!

Gruß
ClearIce

Angehängte Dateien
Dateityp: zip 3-hjtscanlist.zip (9,0 KB, 105x aufgerufen)
Dateityp: zip 4-ccleaner-install.zip (3,5 KB, 111x aufgerufen)
Dateityp: zip 5-GMER LOG.zip (1,9 KB, 97x aufgerufen)
Dateityp: zip 61-RootRepeal-Drivers.zip (5,0 KB, 109x aufgerufen)
Dateityp: zip 62-RootRepeal-StealthObjects.zip (522 Bytes, 107x aufgerufen)
Dateityp: zip 63-RootRepeal-HiddenServices.zip (348 Bytes, 109x aufgerufen)

Alt 21.10.2010, 09:48   #6
kira
/// Helfer-Team
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
Code:
ATTFilter
Adware :
Favorit  
pdfforge Toolbar

kikin plugin -  nicht schädlich, aber ich würde nicht empfehlen, auch unnötig
         
2.
Für mich persönlich sind beide überflüssig:
Code:
ATTFilter
McAfee Security Scan Plus
Norton Security Scan
         
3.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Tipps für die Suche nach Dateien
Code:
ATTFilter
C:\Users\******\AppData\Roaming\download2\svcnost.exe
         
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
Code:
ATTFilter
Datei <hier kommt die Dateiname "svcnost.exe"> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-

...über 40 Virenscannern...also Geduld!!
         
4.
Master Boot Record überprüfen:
  • Lade Dir die MBR.exe von GMER herunter
  • Speichere auf deinem Desktop
  • Per Doppelklick starten.
  • wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

Alt 21.10.2010, 11:49   #7
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Hallo Coverflow,

erstmal danke für die Tipps!

1./2. Deinstallieren:

Das ging bei den unkritischen Programmen (Norton, McAffee, kickin) problemlos; bei "Favorit" und "pdfforge Toolbar" geht es nicht.
Bei dem Versuch "Favorit" zu deinstallieren tut er's einfach nicht, bei "pdfforge Toolbar" kommt die Meldung: "ERROR 1402 Could not open key (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Shared DLLs) Verify that you have sufficient account to that key ... (ich hatte das ganze unter meiner Admin-Kennung ausgeführt)

3. Bei virustotal herrscht ziemlich viel Verkehr z.Z. Ich hab die Datei deshalb via email übermittelt und werde das Ergebnis, sobald ich es habe, sofort hier posten.

4. Bei mbr.exe kommt meinem Eindruck nach wenig oder zumindest nichts erfreuliches raus (auch da habe ich unter der Admin-Kennung gearbeitet):

Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: error reading MBR 
kernel: MBR read successfully
         
PS: Ich stelle jetzt fest, dass jedesmal, wenn ich mich unter meiner normalen User-Kennung anmelde AVIRA den Trojaner "Win32/Ofida.T" meldet und ihn dann "repariert". Wenn ich unter der Admin-Kennung arbeite, passiert das nicht. Und das Biest "svcnost.exe" gibt es auch nur in meinem normalen USER-Verzeichnis, nicht im Admin-Verzeichnis.

Sag mir bitte, wenn ich, bis zum Ergebnis von virustotal inzwischen noch was tun kann! Ansonsten schon mal vielen Dank!

Gruß
ClearIce

Alt 21.10.2010, 12:42   #8
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Und hier der Virustotal-Report. Ging schneller als ich dachte:

Code:
ATTFilter
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
svcnost.exe
Submission date:
2010-10-21 09:53:42 (UTC)
Current status:
queued (#2) queued (#2) analysing finished
Result:
6/ 43 (14.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.10.21.02	2010.10.21	-
AntiVir	7.10.13.12	2010.10.21	-
Antiy-AVL	2.0.3.7	2010.10.21	-
Authentium	5.2.0.5	2010.10.21	-
Avast	4.8.1351.0	2010.10.21	-
Avast5	5.0.594.0	2010.10.21	-
AVG	9.0.0.851	2010.10.21	Win32/Heur
BitDefender	7.2	2010.10.21	-
CAT-QuickHeal	11.00	2010.10.21	-
ClamAV	0.96.2.0-git	2010.10.21	-
Comodo	6463	2010.10.21	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.2.03300	2010.10.21	-
Emsisoft	5.0.0.50	2010.10.21	-
eSafe	7.0.17.0	2010.10.20	-
eTrust-Vet	36.1.7924	2010.10.21	-
F-Prot	4.6.2.117	2010.10.20	-
F-Secure	9.0.16160.0	2010.10.21	-
Fortinet	4.2.249.0	2010.10.21	-
GData	21	2010.10.21	-
Ikarus	T3.1.1.90.0	2010.10.21	-
Jiangmin	13.0.900	2010.10.21	-
K7AntiVirus	9.66.2798	2010.10.20	-
Kaspersky	7.0.0.125	2010.10.21	-
McAfee	5.400.0.1158	2010.10.21	-
McAfee-GW-Edition	2010.1C	2010.10.21	Heuristic.LooksLike.Win32.Suspicious.J!85
Microsoft	1.6301	2010.10.21	Trojan:Win32/Oficla.T
NOD32	5550	2010.10.21	-
Norman	6.06.10	2010.10.21	-
nProtect	2010-10-21.01	2010.10.21	-
Panda	10.0.2.7	2010.10.20	-
PCTools	7.0.3.5	2010.10.21	-
Prevx	3.0	2010.10.21	Low Risk Adware
Rising	22.70.02.05	2010.10.21	-
Sophos	4.58.0	2010.10.21	Mal/EncPk-M
Sunbelt	7109	2010.10.21	-
SUPERAntiSpyware	4.40.0.1006	2010.10.21	-
Symantec	20101.2.0.161	2010.10.21	-
TheHacker	6.7.0.1.063	2010.10.20	-
TrendMicro	9.120.0.1004	2010.10.21	-
TrendMicro-HouseCall	9.120.0.1004	2010.10.21	-
VBA32	3.12.14.1	2010.10.20	-
ViRobot	2010.10.21.4104	2010.10.21	-
VirusBuster	12.69.9.0	2010.10.20	-
Additional information
Show all
MD5   : 5bd4ba36e94a198a70a7a7779815738b
SHA1  : b7d7130ef0c1732942d90aa0419e3ed59180e86c
SHA256: f583eaab69b114c62ee66f5c995f11bffb300fc12bab3346956e1a5e51dd4c95
ssdeep: 768:6H9IaXlibyP0YXMMDmbORTJmasz1upIPB59OSMJBA1r4ucs8n7TK7g:++aX30YXMMybWEEQ
9MJy47TKg
File size : 57866 bytes
First seen: 2010-10-21 09:53:42
Last seen : 2010-10-21 09:53:42
TrID:
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Executable for Purble Place Game
original name: purbleplace.exe
internal name: purbleplace.exe
file version.: 6.1.7600.16385 (win7_rtm.090713-1255)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1492
timedatestamp....: 0x28A40B72 (Sat Aug 10 15:51:14 1991)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x1000, 0x800, 7.59, 7a487c97b376c1784fdb7a01ea76bc48
.rdata, 0x2000, 0xC000, 0xB200, 6.93, 5044e6fe939b3caf7ef4b3c570e14fcc
.data, 0xE000, 0x2000, 0x1000, 3.53, 7b0c78b5bba3b380f3df01193549f501
.rsrc, 0x10000, 0x2000, 0x1400, 4.28, 02c03f00804131ee7f5815dad607cd20
Prevx Info:
hxxp://info.prevx.com/aboutprogramtext.asp?PX5=DB22821F0A25CDE0E2F9003C3FF1AC00A7B822C9
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 2048
CompanyName: Microsoft Corporation
EntryPoint: 0x1492
FileDescription: Executable for Purble Place Game
FileFlagsMask: 0x003f
FileOS: Windows NT 32-bit
FileSize: 57 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
FileVersionNumber: 6.1.7600.16385
ImageVersion: 0.0
InitializedDataSize: 0
InternalName: purbleplace.exe
LanguageCode: English (U.S.)
LegalCopyright: Microsoft Corporation. All rights reserved.
LinkerVersion: 2.68
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
OleSelfRegister:
OriginalFilename: purbleplace.exe
PEType: PE32
ProductName: Microsoft Windows Operating System
ProductVersion: 6.1.7600.16385
ProductVersionNumber: 6.1.7600.16385
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 1991:08:10 17:51:14+02:00
UninitializedDataSize: 0
Symantec reputation:Suspicious.Insight

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

VirusTotal Team
         

Alt 21.10.2010, 14:15   #9
kira
/// Helfer-Team
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



1.
Programme deinstallieren:-> Revo Uninstaller
Code:
ATTFilter
Favorit  
pdfforge Toolbar
         
oder auch:
Gehe in den abgesicherten Modus [F8]
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

2.
da die Datei noch Relativ unbekannt ist, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse:

Datei Upload
C:\Users\******\AppData\Roaming\download2\svcnost.exe
  • Gib im Kommentarfeld Folgendes an:
  • "Unknown file"
  • diese Information:
Code:
ATTFilter
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
svcnost.exe
Submission date:
2010-10-21 09:53:42 (UTC)
Current status:
queued (#2) queued (#2) analysing finished
Result:
6/ 43 (14.0%)
    
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.10.21.02    2010.10.21    -
AntiVir    7.10.13.12    2010.10.21    -
Antiy-AVL    2.0.3.7    2010.10.21    -
Authentium    5.2.0.5    2010.10.21    -
Avast    4.8.1351.0    2010.10.21    -
Avast5    5.0.594.0    2010.10.21    -
AVG    9.0.0.851    2010.10.21    Win32/Heur
BitDefender    7.2    2010.10.21    -
CAT-QuickHeal    11.00    2010.10.21    -
ClamAV    0.96.2.0-git    2010.10.21    -
Comodo    6463    2010.10.21    TrojWare.Win32.Trojan.Agent.Gen
DrWeb    5.0.2.03300    2010.10.21    -
Emsisoft    5.0.0.50    2010.10.21    -
eSafe    7.0.17.0    2010.10.20    -
eTrust-Vet    36.1.7924    2010.10.21    -
F-Prot    4.6.2.117    2010.10.20    -
F-Secure    9.0.16160.0    2010.10.21    -
Fortinet    4.2.249.0    2010.10.21    -
GData    21    2010.10.21    -
Ikarus    T3.1.1.90.0    2010.10.21    -
Jiangmin    13.0.900    2010.10.21    -
K7AntiVirus    9.66.2798    2010.10.20    -
Kaspersky    7.0.0.125    2010.10.21    -
McAfee    5.400.0.1158    2010.10.21    -
McAfee-GW-Edition    2010.1C    2010.10.21    Heuristic.LooksLike.Win32.Suspicious.J!85
Microsoft    1.6301    2010.10.21    Trojan:Win32/Oficla.T
NOD32    5550    2010.10.21    -
Norman    6.06.10    2010.10.21    -
nProtect    2010-10-21.01    2010.10.21    -
Panda    10.0.2.7    2010.10.20    -
PCTools    7.0.3.5    2010.10.21    -
Prevx    3.0    2010.10.21    Low Risk Adware
Rising    22.70.02.05    2010.10.21    -
Sophos    4.58.0    2010.10.21    Mal/EncPk-M
Sunbelt    7109    2010.10.21    -
SUPERAntiSpyware    4.40.0.1006    2010.10.21    -
Symantec    20101.2.0.161    2010.10.21    -
TheHacker    6.7.0.1.063    2010.10.20    -
TrendMicro    9.120.0.1004    2010.10.21    -
TrendMicro-HouseCall    9.120.0.1004    2010.10.21    -
VBA32    3.12.14.1    2010.10.20    -
ViRobot    2010.10.21.4104    2010.10.21    -
VirusBuster    12.69.9.0    2010.10.20    -
Additional information
Show all
MD5   : 5bd4ba36e94a198a70a7a7779815738b
SHA1  : b7d7130ef0c1732942d90aa0419e3ed59180e86c
SHA256: f583eaab69b114c62ee66f5c995f11bffb300fc12bab3346956e1a5e51dd4c95
ssdeep: 768:6H9IaXlibyP0YXMMDmbORTJmasz1upIPB59OSMJBA1r4ucs8n7TK7g:++aX30YXMMybWEEQ
9MJy47TKg
File size : 57866 bytes
First seen: 2010-10-21 09:53:42
Last seen : 2010-10-21 09:53:42
TrID:
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Executable for Purble Place Game
original name: purbleplace.exe
internal name: purbleplace.exe
file version.: 6.1.7600.16385 (win7_rtm.090713-1255)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1492
timedatestamp....: 0x28A40B72 (Sat Aug 10 15:51:14 1991)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x1000, 0x800, 7.59, 7a487c97b376c1784fdb7a01ea76bc48
.rdata, 0x2000, 0xC000, 0xB200, 6.93, 5044e6fe939b3caf7ef4b3c570e14fcc
.data, 0xE000, 0x2000, 0x1000, 3.53, 7b0c78b5bba3b380f3df01193549f501
.rsrc, 0x10000, 0x2000, 0x1400, 4.28, 02c03f00804131ee7f5815dad607cd20
Prevx Info:
hxxp://info.prevx.com/aboutprogramtext.asp?PX5=DB22821F0A25CDE0E2F9003C3FF1AC00A7B822C9
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 2048
CompanyName: Microsoft Corporation
EntryPoint: 0x1492
FileDescription: Executable for Purble Place Game
FileFlagsMask: 0x003f
FileOS: Windows NT 32-bit
FileSize: 57 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
FileVersionNumber: 6.1.7600.16385
ImageVersion: 0.0
InitializedDataSize: 0
InternalName: purbleplace.exe
LanguageCode: English (U.S.)
LegalCopyright: Microsoft Corporation. All rights reserved.
LinkerVersion: 2.68
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
OleSelfRegister:
OriginalFilename: purbleplace.exe
PEType: PE32
ProductName: Microsoft Windows Operating System
ProductVersion: 6.1.7600.16385
ProductVersionNumber: 6.1.7600.16385
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 1991:08:10 17:51:14+02:00
UninitializedDataSize: 0
Symantec reputation:Suspicious.Insight

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

VirusTotal Team
         
  • Drücke nun auf den Button "Send File"
  • **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
    .

Alt 21.10.2010, 14:45   #10
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Hallo,

Zitat:
2.da die Datei noch Relativ unbekannt ist, lass uns sie noch schnell hochladen
Das hat geklappt:

Code:
ATTFilter
Your file (svcnost.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.
         
Zitat:
1.Programme deinstallieren:-> Revo Uninstaller
Das erledige ich in der Zwischenzeit.

Ergänzung: Das Deinstallieren von "Favorit" und "pdfforge Toolbar" ging jetzt mit Revo Uninstaller auch ohne Probleme.


ClearIce

Geändert von ClearIce (21.10.2010 um 15:12 Uhr) Grund: Ergänzung

Alt 21.10.2010, 15:10   #11
kira
/// Helfer-Team
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Das Tool "MBR" - unter dem Admin-Konto ausgeführt?

Alt 21.10.2010, 15:31   #12
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Jaa! Eigentlich jaa! Aber ich probiers nochmal, und es sieht jetzt tatsächlich anders aus! Vielleicht weil ich's jetzt auch "als Admin" ausgeführt habe?!

Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
Ich hätte nix dagegen, wenn es tatsächlich so wäre!!!
Aber der aktuelle AVIRA-Scan zeigt natürlich nach wie vor an:

Zitat:
3 Viren bzw. unerwünschte Programme wurden gefunden
Ich häng das aktuelle AVIRA-Protokoll einfach noch mal hier an:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 21. Oktober 2010  13:08

Es wird nach 2955693 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HOME-PC

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 16:18:24
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 16:18:23
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 16:17:42
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 17:44:58
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 18:34:35
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 16:50:55
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 20:59:03
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 17:34:26
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 17:13:00
VBASE008.VDF   : 7.10.11.133   3454464 Bytes  13.09.2010 18:42:11
VBASE009.VDF   : 7.10.11.134      2048 Bytes  13.09.2010 18:42:11
VBASE010.VDF   : 7.10.11.135      2048 Bytes  13.09.2010 18:42:12
VBASE011.VDF   : 7.10.11.136      2048 Bytes  13.09.2010 18:42:12
VBASE012.VDF   : 7.10.11.137      2048 Bytes  13.09.2010 18:42:12
VBASE013.VDF   : 7.10.11.165    172032 Bytes  15.09.2010 04:30:04
VBASE014.VDF   : 7.10.11.202    144384 Bytes  18.09.2010 17:33:14
VBASE015.VDF   : 7.10.11.231    129024 Bytes  21.09.2010 17:33:14
VBASE016.VDF   : 7.10.12.4    126464 Bytes  23.09.2010 22:25:05
VBASE017.VDF   : 7.10.12.38    146944 Bytes  27.09.2010 16:48:03
VBASE018.VDF   : 7.10.12.64    133120 Bytes  29.09.2010 16:48:05
VBASE019.VDF   : 7.10.12.99    134144 Bytes  01.10.2010 16:48:10
VBASE020.VDF   : 7.10.12.122    131584 Bytes  05.10.2010 12:47:00
VBASE021.VDF   : 7.10.12.148    119296 Bytes  07.10.2010 16:08:35
VBASE022.VDF   : 7.10.12.175    142848 Bytes  11.10.2010 20:34:44
VBASE023.VDF   : 7.10.12.198    131584 Bytes  13.10.2010 21:02:33
VBASE024.VDF   : 7.10.12.216    133120 Bytes  14.10.2010 21:02:36
VBASE025.VDF   : 7.10.12.238    137728 Bytes  18.10.2010 21:24:13
VBASE026.VDF   : 7.10.12.254    129536 Bytes  20.10.2010 22:02:13
VBASE027.VDF   : 7.10.12.255      2048 Bytes  20.10.2010 22:02:13
VBASE028.VDF   : 7.10.13.0      2048 Bytes  20.10.2010 22:02:14
VBASE029.VDF   : 7.10.13.1      2048 Bytes  20.10.2010 22:02:14
VBASE030.VDF   : 7.10.13.2      2048 Bytes  20.10.2010 22:02:14
VBASE031.VDF   : 7.10.13.9     44032 Bytes  20.10.2010 22:02:15
Engineversion  : 8.2.4.84 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 09:23:29
AESCRIPT.DLL   : 8.1.3.45    1368443 Bytes  21.09.2010 17:33:20
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 15:39:04
AESBX.DLL      : 8.1.3.1      254324 Bytes  24.04.2010 09:54:45
AERDL.DLL      : 8.1.9.2      635252 Bytes  21.09.2010 17:33:19
AEPACK.DLL     : 8.2.3.11     471416 Bytes  11.10.2010 20:34:48
AEOFFICE.DLL   : 8.1.1.8      201081 Bytes  22.07.2010 13:53:26
AEHEUR.DLL     : 8.1.2.36    2974072 Bytes  20.10.2010 22:02:22
AEHELP.DLL     : 8.1.14.0     246134 Bytes  11.10.2010 20:34:45
AEGEN.DLL      : 8.1.3.23     401779 Bytes  01.10.2010 16:48:08
AEEMU.DLL      : 8.1.2.0      393588 Bytes  24.04.2010 09:54:44
AECORE.DLL     : 8.1.17.0     196982 Bytes  27.09.2010 16:48:04
AEBB.DLL       : 8.1.1.0       53618 Bytes  24.04.2010 09:54:43
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  08.09.2009 17:41:35
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 15:14:53
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 16:18:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 21. Oktober 2010  13:08

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '121640' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'phonostarTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nokiaaserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaOviSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPKBDAPP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEstSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'stacsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '105' Prozesse mit '105' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [WARNUNG]   Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!
Bootsektor 'D:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '46' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <HP_RECOVERY>


Ende des Suchlaufs: Donnerstag, 21. Oktober 2010  15:05
Benötigte Zeit:  1:56:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  46103 Verzeichnisse wurden überprüft
 901735 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 901733 Dateien ohne Befall
   5599 Archive wurden durchsucht
      3 Warnungen
      4 Hinweise
 121640 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Alt 21.10.2010, 19:43   #13
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Puuuh! Jetzt hätt ich grad fast richtig zu heulen angefangen! Ich hab nämlich mein Windows Mail aufgerufen und festgestellt, dass alles weg ist! Alles! Alle Ordner, alle Adressen, alle Einstellungen. Einfach ALLES!
Ich mußte sogar mein Konto neu einrichten und kann jetzt zwar wieder mails senden und empfangen, aber alles Alte ist "gone with the wind".
Kann es sein, dass ich beim Uninstall von "Favorit" und "pdfforge Toolbar" etwas zu viel gelöscht habe, oder hat das der Virus auf dem Gewissen? (Im Firefox, das ist der einzige Browser, der noch irgendwie geht, werd ich übrigens auch immer wieder auf Seiten umgeleitet, die ich nicht aufgerufen habe!)

(Ich glaub jetzt trink ich erstmal ein Glas und dann muss ich mich entscheiden, ob ich ins Wasser gehe oder ein neues Leben anfange - ganz ohne Vergangenheit. Die war ja zum größten Teil in meiner Mailbox gespeichert! )

ClearIce

Alt 22.10.2010, 11:28   #14
kira
/// Helfer-Team
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



wenn Du nur beide:
"Favorit" und "pdfforge Toolbar"
unter Software Deinstalliert hast, sollte nicht passieren bzw damit eher nichts zu tun

Vor dem nächsten Schritt, also bevor wir weitermachen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Achte darauf: Die sicherten Daten sollen keine "Ausführbare Dateien" enthalten! - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!


- hast Du inzwischen mit Malwarebytes erneut versucht? wenn nicht:
1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
  • per Doppelklick starten.
  • gleich mal die Datenbanken zu aktualisieren - online updaten
  • Vollständiger Suchlauf wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung

2.
Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.

Geändert von kira (22.10.2010 um 11:38 Uhr)

Alt 22.10.2010, 13:28   #15
ClearIce
 
PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Standard

PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen



Zitat:
1.** Update Malwarebytes Anti-Malware
Hab ich schon mehrmals (auch als Admin) und jetzt wieder versucht. Selbst wenn ich die Firewall kurz ausschalte, kommt beim Update-Versuch immer die Meldung:

Code:
ATTFilter
Aktualisierung fehlgeschlagen. Vergewissern Sie sich, dass Sie mit dem Internet verbinden sind und Ihre Firewall Malwarebytes' Antimalware den Zugriff erlaubt
         
Soll ich (und kann man) MBAM einfach komplett neu downloaden???

Zitat:
.
Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.
Ich hänge die beiden Logs hinten an.

Aber jetzt noch einmal eine prinzipielle Frage: Nachdem gestern alle meine Emails&Adressen weg waren und ich mich dafür entschieden hatte, trotzdem weiter zu leben, hab ich mich gefragt, ob es jetzt nicht einfacher wäre, mir Windows 7 zu besorgen und mein altes System komplett platt zu machen und mit Windows 7 neu anzufangen. Die Frage ist bloß, ob das (bei dem Bootsektor-Virus "Alureon", den Avira dauernd meldet) überhaupt Sinn hätte oder ob dieser Virus auch den Systemwechsel überleben würde. Muss ich mich etwa von meinem PC komplett verabschieden???
Angehängte Dateien
Dateityp: txt info.txt (31,2 KB, 197x aufgerufen)
Dateityp: txt log.txt (32,3 KB, 151x aufgerufen)

Geändert von ClearIce (22.10.2010 um 14:24 Uhr) Grund: Korrektur

Antwort

Themen zu PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen
.dll, 0 bytes, antivir, audiodg.exe, avg, bootsektorvirus, browser, desktop, dwm.exe, explorer.exe, firefox.exe, firewall, google, html, jar_cache, java-virus, jusched.exe, lsass.exe, malwarebytes, modul, msiexec.exe, namen, neu, nt.dll, prozesse, registry, rundll, service.exe, services.exe, starten, sttray.exe, svchost.exe, versteckte objekte, verweise, viren, viren befall, warnung, winlogon.exe



Ähnliche Themen: PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen


  1. Windows 7: Minecraft Dateien mit TR/Agent Viren befallen
    Plagegeister aller Art und deren Bekämpfung - 20.09.2015 (1)
  2. Viren befallen meinen pc
    Log-Analyse und Auswertung - 30.04.2011 (12)
  3. Laptop mit JAVA/Agent.FK & BOO/Alureon.A infiziert ! ! !
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (1)
  4. Laptop mit Viren befalLen. was tun?
    Plagegeister aller Art und deren Bekämpfung - 14.12.2010 (4)
  5. Uni Seite öffnet nicht nach Meldung von Viren wie TR/Alureon.EC.72 TR/Rootkit.Gen3
    Log-Analyse und Auswertung - 14.11.2010 (19)
  6. PC von Alureon H befallen!
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (13)
  7. Rechner langsam TR/FraudPack.apqc + EXP/Java.WebStart JAVA/Dldr.Agent.CI + CG
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (7)
  8. Laptop ist von Viren und Trojanern Befallen was nun ?
    Plagegeister aller Art und deren Bekämpfung - 27.02.2010 (6)
  9. Firefox von Viren befallen
    Plagegeister aller Art und deren Bekämpfung - 09.01.2010 (13)
  10. PC von Viren befallen!!!
    Plagegeister aller Art und deren Bekämpfung - 11.07.2009 (4)
  11. Wurde ich von viren befallen??
    Log-Analyse und Auswertung - 25.05.2009 (1)
  12. Computer von Trojanern und Viren befallen
    Mülltonne - 23.10.2008 (0)
  13. Ist mein Pc Befallen von Viren bzw Trojaner?
    Log-Analyse und Auswertung - 27.05.2008 (1)
  14. PC von Viren/Trojanern befallen?
    Log-Analyse und Auswertung - 11.05.2008 (0)
  15. system von unbekannten viren befallen
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (7)
  16. Firma von Viren befallen
    Log-Analyse und Auswertung - 06.09.2006 (4)
  17. pc von viren befallen
    Plagegeister aller Art und deren Bekämpfung - 03.10.2004 (1)

Zum Thema PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen - Hallo zusammen, mein PC ist seit 1,2 Tagen ziemlich lahm und zickig (z.B. lassen sich div. Browser - Chrome, Safari - nicht mehr starten). Ein Avira-Lauf hat meine Befürchtung bestätigt, - PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen...
Archiv
Du betrachtest: PC von div. Viren (Alureon.A, TR/Agent.PJW, TR/FraudPack.kva.66 etc.) befallen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.