Trojaner-Board - Offen Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- -

Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert (https://www.trojaner-board.de/79554-intrustion-detection-alarm-kaspersky-bildschirm-flackert.html)

Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert

Hallo,

ich nutze Win XP SP3 mit Kaspersky Antivirus 6.0. Vor 2 - 3 Wiochen hatte es mich erwischt und ich hatte einen Virus / Trojaner auf meinem Rechenr. Er war betiltelt als "f.bat" und hatte sich immer wieder selbst gestartet. Ich bin nach einfach einer Anleitung zur beseitigung unter anderem auch hier gefolgt. Entfernt habe ich das ganze dann mit Malwarebytes Anti-Malware. Hier der Report:

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 2775

Windows 5.1.2600 Service Pack 3
 

25.10.2009 04:25:00

mbam-log-2009-10-25 (04-25-00).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 103325

Laufzeit: 7 minute(s), 39 second(s)
 

Infizierte Speicherprozesse: 2

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 4

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 1

Infizierte Dateien: 7
 

Infizierte Speicherprozesse:

C:\programme\relevantknowledge\rlvknlg.exe (Spyware.MarketScore) -> Unloaded process successfully.

C:\WINDOWS\msa.exe (Trojan.Agent) -> Unloaded process successfully.
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

C:\Programme\RelevantKnowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\WINDOWS\system32\videocore.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Programme\RelevantKnowledge\rlservice.exe (Spyware.MarketScore) -> Quarantined and deleted successfully.

C:\Programme\RelevantKnowledge\rlvknlg.exe (Spyware.MarketScore) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Ich denke das hat auch funktioniert, zumindest ist ist die Datei nicht mehr im Task-Manager angezeigt. Das alles nur zur Vorgeschichte.....

Jetzt ist es seit einigen Tagen so, dass mir immer sporadisch vom Anti-Hacker (Kaspersky) eine Intrusion Warnung angezeigt wird. Jetzt auch gerade beim eröffnen dieses Themas:
(19.11.2009 04:37:07 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 85.13.143.91 TCP 2182).
Normalerweise lehnt Kaspersky diese immer ab aber da diese Meldungen unter anderem auch während ich Online Poke spiele kommen und ich manchmal dann keine Verbindung mehr habe, habe ich letztens auch ein paar erlaubt.

Wäre ja alles nicht so wild, aber nun habe ich heute wieder einen Intrusion Versuch erlaubt und dann hat mein Bildschrim angefangen zu flackern. Das pssiert jetzt auch während ich Poker spiele, und eine Intusion Meldung komme und ich diese auch nicht erlaube. Hier einfach mal noch 2 Meldungen die gespeichert sind:
19.11.2009 04:25:27 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 93.191.193.6 TCP 34597
19.11.2009 04:20:34 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 212.77.189.194 TCP 16144

Letstens habe ich dann nochmal einen Sxan mit Anti-Malware gemacht, nachdem die erste meldung über eine Intusion kam. Hier der Report:

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3177

Windows 5.1.2600 Service Pack 3
 

16.11.2009 09:06:10

mbam-log-2009-11-16 (09-06-10).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 271127

Laufzeit: 1 hour(s), 31 minute(s), 31 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\GeVaS AD\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\GeVaS AD\Lokale Einstellungen\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Was kann ich denn machen? Ist jemand auf meinem System? Wie soll ich am besten vorgehen?

Hier sind auch nochmal die Logs von HijackThis

http://rapidshare.com/files/309046578/info.txt
http://rapidshare.com/files/309047148/log.txt
Vielen Dank

Kannst Du die Logs bitte woanders hochladen? Bei rapidshare als Free-User brauchts ewig bis man sich das laden darf :balla:
Es gibt hier im TB auch eine Anhangsfunktion. Besser als rapidshare finde ich aber file-upload.net.

Hier nochmal die 2 Files:

http://www.file-upload.net/download-2022975/info.txt.html
http://www.file-upload.net/download-2022978/log.txt.html

Ist das zufällig ein Bürorechner? Ich seh da rel. viel versicherungsrelevante Software drauf oder nutzt Du den PC nur privat für Deine Angelegenheiten wie Versicherung und so? :confused:

Bin Vermittler, daher auch einiges an Versicherungssoftware installiert. Aber es ist ein Laptop, sorry hatte ich nicht erwähnt. Hab aber auch gedacht, das dass nicht relevant ist. Hab ein HP EliteBook 6930p. Hoffe das hilft.

Hallo,

wenn Du da beruflich drauf angewiesen bist, musst Du auf jeden Fall an regelmäßige Backups denken, oder ist bei Dir da schon so eine Lösung, denkst Du daran immer?

Vllt auch mal überlegen, ob Du mit diesem "Business-Notebook" unbedingt private Sachen machen musst, private Dinge nicht auf ein separates günstiges Notebook oder "Billig"-Desktop-PC verlagerst.

Auf jeden Fall diese Regeln immer einhalten:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Danach würde ich vorschlagen, Du machst einen Durchlauf mit Combofix, Du solltest aber, weil Du ja beruflich auf das Teil angewiesen bist, ein Image des jetzigen Zustands, so dass Du auf jeden Fall zu dem jetzigen Zeitpunkt wieder zurück kannst. Geht mit Programmen wie zB DriveSnapshot oder Acronis TrueImage oder auch mit kostenlosen Tools wie CloneZilla. Am einfachsten und unkompliziertesten ist es aber mit Acronis, kostet aber auch ein wenig, das Geld ist aber in Backup-Software sehr sinnvoll angelegt.

Wenn das Backup dann auf eine externe Platte oder so erfolgt ist:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo cosinus,

erstmal vielen Dank für deine Antwort. Habe alles genaustens befolgt und nun ist hier das log (musste es in 2 Antworten schreiben wegen der länge):

Code:

ComboFix 09-11-22.04 - *** 23.11.2009  3:45.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1977.1446 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Anti-Virus *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\***\Anwendungsdaten\.#

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\1. Semester\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\1. Semester\edv\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Homepage\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Homepage\pics\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\homepage2\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Neuer Ordner\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Neuer Ordner\Dokumentation\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Neuer Ordner\Kalkulation\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Kostenrechnung\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Schluesselqualifikationen\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Spanisch\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\3. Semester\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\3. Semester\Entscheidungstraining\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Controlling\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Management\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Marketing\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Marketing\trailer_boxster_wmv\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\bus108\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\hrm220\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\ibs220\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\mkg221\cpie\Desktop_.ini

c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\mkg221\Desktop_.ini

c:\windows\system32\AVSredirect.dll

c:\windows\system32\img_utils.dll

c:\windows\system32\imgscaler.dll

c:\windows\system32\oem45.inf

c:\windows\system32\videoformat.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-10-23 bis 2009-11-23  ))))))))))))))))))))))))))))))

.
 

2009-11-20 16:22 . 2009-11-20 16:22        77824        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\JanitosTarifrechner\C\Programme\Fairware24\JanitosTarifrechner\Trias\eclipse\configuration\org.eclipse.osgi\bundles\156\1\.cp\swt-gdip-win32-3448.dll

2009-11-20 16:22 . 2009-11-20 16:22        335872        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\JanitosTarifrechner\C\Programme\Fairware24\JanitosTarifrechner\Trias\eclipse\configuration\org.eclipse.osgi\bundles\156\1\.cp\swt-win32-3448.dll

2009-11-20 16:18 . 2009-11-20 16:18        --------        d-----w-        c:\programme\Fairware24

2009-11-20 16:18 . 2009-11-20 16:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\JanitosTarifrechner

2009-11-20 16:16 . 2009-11-20 16:16        --------        d-----w-        c:\programme\Buergerentlastungsrechner

2009-11-20 16:15 . 2009-11-20 16:15        --------        d-----w-        c:\programme\bav-portal

2009-11-20 16:13 . 2009-11-20 16:13        --------        d-----w-        c:\programme\Gemeinsame Dateien\Borland Shared

2009-11-20 16:13 . 2009-11-20 16:13        --------        d-----w-        c:\programme\DKV

2009-11-20 15:59 . 2009-11-20 15:59        --------        d-----w-        c:\programme\Gemeinsame Dateien\Amis

2009-11-20 15:54 . 2009-11-20 15:54        --------        d-----w-        c:\programme\JavaSoft

2009-11-20 15:52 . 2009-11-20 16:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AmisAVW

2009-11-20 15:52 . 2009-11-20 15:54        --------        d-----w-        c:\programme\AmisAVW

2009-11-20 15:51 . 2009-11-20 16:01        --------        d-----w-        c:\programme\Gemeinsame Dateien\Allianz Installer

2009-11-19 04:17 . 2009-11-19 04:17        --------        d-----w-        C:\rsit

2009-11-19 04:17 . 2009-11-19 04:17        --------        d-----w-        c:\programme\trend micro

2009-11-19 04:05 . 2009-11-19 04:05        --------        d-----w-        c:\programme\CCleaner

2009-11-18 00:52 . 2009-11-18 00:52        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Yahoo!

2009-11-16 01:49 . 2009-09-10 13:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-16 01:49 . 2009-09-10 13:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-11-16 01:17 . 2009-11-16 01:31        --------        d-----w-        c:\programme\Enigma Software Group

2009-11-13 03:17 . 2009-11-13 03:50        27648        ----a-w-        c:\windows\system32\drivers\memwdm.sys

2009-11-13 03:17 . 2009-11-13 03:50        15360        ----a-w-        c:\windows\system32\drivers\vpscr.sys

2009-11-04 19:54 . 2009-11-04 19:54        152576        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-04 02:46 . 2008-08-26 09:26        18816        ----a-w-        c:\windows\system32\drivers\pccsmcfd.sys

2009-11-04 02:46 . 2009-11-04 02:46        --------        d-----w-        c:\programme\PC Connectivity Solution

2009-11-04 02:45 . 2009-11-04 02:45        77824        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\Run_XML6_SP1.exe

2009-11-04 02:45 . 2009-11-04 02:45        50000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\pcswpc.exe

2009-11-04 02:43 . 2009-11-02 06:49        60426224        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Nokia_Ovi_Suite_webupgrade_ALL.exe

2009-11-02 06:49 . 2009-11-02 06:49        60426224        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Nokia\Ovi Suite\Software Updater\Nokia_Ovi_Suite_webupgrade_ALL.exe

2009-10-30 01:30 . 2009-08-21 11:38        3405024        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a6zjnd82.default\extensions\maps@ovi.com\plugins\npNMapG.dll

2009-10-29 22:37 . 2009-10-29 22:37        --------        d-----w-        c:\programme\ITERGO

2009-10-29 22:37 . 2009-10-29 22:37        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ITERGO

2009-10-29 00:48 . 2009-10-29 01:41        --------        d-----w-        c:\programme\SignSIS-GUI

2009-10-25 03:15 . 2009-10-25 03:15        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2009-10-25 03:15 . 2009-11-16 01:50        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-10-25 03:15 . 2009-10-25 03:15        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-10-25 02:53 . 2009-10-25 02:51        102664        ----a-w-        c:\windows\system32\drivers\tmcomm.sys

2009-10-25 02:51 . 2009-10-25 02:54        --------        d-----w-        c:\dokumente und einstellungen\***\.housecall6.6

2009-10-25 02:21 . 2009-10-25 03:32        --------        d-----w-        c:\programme\Boilsoft Video Splitter

2009-10-25 02:19 . 2009-10-25 02:19        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Media Player Classic

2009-10-25 02:13 . 2006-04-02 12:47        630784        ----a-w-        c:\windows\system32\vp7vfw.dll

2009-10-25 02:13 . 2004-05-18 18:16        39936        ----a-w-        c:\windows\system32\huffyuv.dll

2009-10-25 02:13 . 2009-05-29 21:37        205824        ----a-w-        c:\windows\system32\xvidvfw.dll

2009-10-25 02:13 . 2009-10-13 18:00        85504        ----a-w-        c:\windows\system32\ff_vfw.dll

2009-10-25 01:45 . 2009-08-16 15:08        178176        ----a-w-        c:\windows\system32\unrar.dll

2009-10-25 01:45 . 2009-10-25 03:35        --------        d-----w-        c:\programme\K-Lite Codec Pack

2009-10-24 23:32 . 2004-02-22 08:11        719872        ----a-w-        c:\windows\system32\devil.dll

2009-10-24 23:32 . 2007-05-17 15:30        318976        ----a-w-        c:\windows\system32\avisynth.dll

2009-10-24 23:32 . 2004-01-24 23:00        70656        ----a-w-        c:\windows\system32\yv12vfw.dll

2009-10-24 23:32 . 2004-01-24 22:00        70656        ----a-w-        c:\windows\system32\i420vfw.dll

2009-10-24 23:32 . 2009-10-24 23:32        --------        d-----w-        c:\programme\AviSynth 2.5

2009-10-24 23:31 . 2008-03-16 12:30        216064        --sh--r-        c:\windows\system32\nbDX.dll

2009-10-24 23:31 . 2007-02-21 10:47        31232        --sh--r-        c:\windows\system32\msfDX.dll

2009-10-24 23:31 . 2006-05-03 09:06        163328        --sh--r-        c:\windows\system32\flvDX.dll

2009-10-24 23:31 . 2009-10-24 23:31        --------        d-----w-        c:\programme\eRightSoft
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-23 02:57 . 2009-02-13 14:13        26322720        --sha-w-        c:\windows\system32\drivers\fidbox.dat

2009-11-23 02:56 . 2009-02-13 14:12        1912096        --sha-w-        c:\windows\system32\drivers\fidbox2.dat

2009-11-23 02:54 . 2009-02-13 14:13        360776        --sha-w-        c:\windows\system32\drivers\fidbox.idx

2009-11-23 02:54 . 2009-02-13 14:12        183392        --sha-w-        c:\windows\system32\drivers\fidbox2.idx

2009-11-23 02:33 . 2009-02-13 14:12        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2009-11-23 00:43 . 2009-05-22 13:41        --------        d-----w-        c:\programme\Holdem Indicator

2009-11-21 19:13 . 2009-02-13 13:12        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2009-11-20 16:31 . 2009-10-11 06:48        93952        ----a-w-        c:\windows\system32\GDIPFONTCACHEV1.DAT

2009-11-20 16:14 . 2009-04-23 10:17        --------        d-----w-        c:\programme\proDKV

2009-11-20 16:06 . 2009-02-13 12:38        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-11-18 04:31 . 2009-05-25 22:59        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Babylon

2009-11-18 04:30 . 2009-05-25 22:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon

2009-11-17 15:36 . 2009-06-27 11:53        --------        d-----w-        c:\programme\DHT

2009-11-05 21:15 . 2009-09-29 13:27        --------        d-----w-        c:\programme\Nokia

2009-11-05 21:15 . 2009-09-29 13:28        --------        d-----w-        c:\programme\Gemeinsame Dateien\Nokia

2009-11-04 22:59 . 2006-02-28 11:00        81316        ----a-w-        c:\windows\system32\perfc007.dat

2009-11-04 22:59 . 2006-02-28 11:00        452554        ----a-w-        c:\windows\system32\perfh007.dat

2009-11-04 19:55 . 2009-04-23 09:35        --------        d-----w-        c:\programme\Java

2009-11-04 02:43 . 2009-10-21 11:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache

2009-10-30 01:30 . 2009-09-29 13:29        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Nokia

2009-10-29 22:53 . 2009-04-23 10:01        --------        d-----w-        c:\programme\BONNDATA

2009-10-29 22:53 . 2009-06-27 12:09        --------        d-----w-        c:\programme\DHZ

2009-10-29 22:51 . 2009-06-27 11:57        --------        d-----w-        c:\programme\EUBogen_Uninstall

2009-10-29 22:51 . 2009-06-27 11:57        --------        d-----w-        c:\programme\EUBogen

2009-10-29 22:37 . 2009-06-27 11:13        --------        d-----w-        c:\programme\DWS Power Inside

2009-10-29 09:41 . 2009-02-13 14:18        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2009-10-28 22:11 . 2009-07-03 21:41        --------        d-----w-        c:\programme\PartyGaming

2009-10-28 22:05 . 2009-05-22 13:48        --------        d-----w-        c:\programme\Gemeinsame Dateien\Research In Motion

2009-10-25 01:42 . 2009-10-25 01:42        --------        d-----w-        c:\programme\Zealot Software

2009-10-24 23:19 . 2009-08-30 12:35        --------        d-----w-        c:\programme\Participatory Culture Foundation

2009-10-22 20:18 . 2009-10-22 20:23        24437624        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_de.exe

2009-10-21 11:56 . 2009-10-21 11:56        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Nokia Ovi Suite

2009-10-21 11:56 . 2009-09-29 13:29        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\PC Suite

2009-10-21 11:33 . 2009-10-21 11:33        12212040        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe

2009-10-21 11:33 . 2009-10-21 11:33        13930312        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe

2009-10-21 11:33 . 2009-10-21 11:33        61440        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMF11Runx86.exe

2009-10-21 11:33 . 2009-10-21 11:33        58880        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMF11Runx64.exe

2009-10-21 11:33 . 2009-10-21 11:33        50000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\pcswpc.exe

2009-10-21 11:19 . 2009-10-21 11:33        92597600        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Nokia_Ovi_Suite_webinstaller(2).exe

2009-10-21 10:53 . 2009-07-14 02:06        --------        d-----w-        c:\programme\DivX

2009-10-21 10:52 . 2009-07-14 02:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared

2009-10-20 16:58 . 2009-10-06 13:02        454824        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

2009-10-20 11:13 . 2009-10-20 11:13        --------        d-----w-        c:\programme\NSS

2009-10-19 22:33 . 2009-10-19 22:32        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\HpUpdate

2009-10-19 22:32 . 2009-02-13 12:41        --------        d-----w-        c:\programme\Hp

2009-10-19 13:37 . 2009-10-19 13:37        0        ---ha-w-        c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf

2009-10-19 13:28 . 2009-10-19 13:28        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf

2009-10-19 13:28 . 2009-10-19 13:28        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf

2009-10-19 13:09 . 2009-10-19 13:09        3351812        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe

2009-10-19 13:09 . 2009-10-19 13:09        36864        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe

2009-10-19 13:09 . 2009-10-19 13:09        3203453        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe

2009-10-19 13:09 . 2009-09-29 13:27        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations

2009-10-19 13:09 . 2009-10-19 13:10        24402704        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_1.8.10EN_US.exe

2009-10-19 13:07 . 2009-10-19 13:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia

2009-10-19 13:03 . 2009-10-06 11:17        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Nseries

2009-10-15 11:17 . 2009-02-13 14:13        95259        ----a-w-        c:\windows\system32\drivers\klick.dat

2009-10-15 11:17 . 2009-02-13 14:13        108059        ----a-w-        c:\windows\system32\drivers\klin.dat

2009-10-11 06:48 . 2009-02-13 12:37        8224        ----a-w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-10-11 03:17 . 2009-04-23 09:36        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-10-08 13:57 . 2008-07-29 17:59        614912        ----a-w-        c:\windows\system32\uiautomationcore.dll

2009-10-08 13:57 . 2006-02-28 11:00        23040        ----a-w-        c:\windows\system32\oleaccrc.dll

2009-10-08 13:57 . 2006-02-28 11:00        220160        ----a-w-        c:\windows\system32\oleacc.dll

2009-10-06 11:24 . 2009-10-06 11:23        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\o2 Communication Center

2009-10-06 10:44 . 2009-10-06 10:44        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NokiaMusic

2009-09-29 13:30 . 2009-09-29 13:30        0        ---ha-w-        c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf

2009-09-29 13:30 . 2009-09-29 13:30        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf

2009-09-29 13:30 . 2009-09-29 13:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite

2009-09-29 13:28 . 2009-09-29 13:28        --------        d-----w-        c:\programme\DIFX

2009-09-29 13:27 . 2009-09-29 13:27        95232        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\pcswpcsi.exe

2009-09-29 13:27 . 2009-09-29 13:27        8192        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstCCD.exe

2009-09-29 13:27 . 2009-09-29 13:27        61440        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCSFEMsi.exe

2009-09-29 13:27 . 2009-09-29 13:27        10240        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCS.exe

2009-09-29 13:26 . 2009-09-29 13:27        33816384        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Nokia_PC_Suite_7_1_30_9_eng_us_web.exe

2009-09-28 22:30 . 2009-05-22 13:55        256        ----a-w-        c:\windows\system32\pool.bin

2009-09-27 17:36 . 2009-09-27 17:36        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\InterVideo

2009-09-25 16:41 . 2009-09-25 16:41        856064        ----a-w-        c:\windows\system32\divx_xx0c.dll

2009-09-25 16:41 . 2009-09-25 16:41        856064        ----a-w-        c:\windows\system32\divx_xx07.dll

2009-09-25 16:41 . 2009-09-25 16:41        847872        ----a-w-        c:\windows\system32\divx_xx0a.dll

2009-09-25 16:41 . 2009-09-25 16:41        843776        ----a-w-        c:\windows\system32\divx_xx16.dll

2009-09-25 16:41 . 2009-09-25 16:41        839680        ----a-w-        c:\windows\system32\divx_xx11.dll

2009-09-25 16:41 . 2009-09-25 16:41        696320        ----a-w-        c:\windows\system32\DivX.dll

2009-09-11 14:17 . 2006-02-28 11:00        136192        ----a-w-        c:\windows\system32\msv1_0.dll

2009-09-04 21:03 . 2006-02-28 11:00        58880        ----a-w-        c:\windows\system32\msasn1.dll

2009-08-29 07:54 . 2006-02-28 11:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2009-08-26 08:00 . 2006-02-28 11:00        247326        ----a-w-        c:\windows\system32\strmdll.dll

2009-09-25 16:41 . 2009-09-25 16:41        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-09-25 16:41 . 2009-09-25 16:41        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

2006-05-03 09:06 . 2009-10-24 23:31        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2009-10-24 23:31        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 12:30 . 2009-10-24 23:31        216064        --sh--r-        c:\windows\system32\nbDX.dll

.

...

Code:

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2007-08-30 205480]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]

"Skandia"="c:\programme\Skandia\mySkandia\mySkandiaCD -preload" [X]

"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]

"hpWirelessAssistant"="c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1310720]

"picon"="c:\programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-06-02 367128]

"accrdsub"="c:\programme\ActivIdentity\ActivClient\accrdsub.exe" [2007-11-27 298536]

"PTHOSTTR"="c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2008-10-07 349488]

"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2008-09-23 24848]

"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 177456]

"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-12-16 186904]

"WatchDog"="c:\programme\InterVideo\DVD Check\DVDCheck.exe" [2008-05-23 197904]

"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.Exe" [2008-06-18 82224]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-07-08 1044480]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-19 178712]

"lxdumon.exe"="c:\programme\Lexmark 5600-6600 Series\lxdumon.exe" [2008-09-10 676520]

"lxduamon"="c:\programme\Lexmark 5600-6600 Series\lxduamon.exe" [2008-09-10 16040]

"Lexmark 5600-6600 Series Fax Server"="c:\programme\Lexmark 5600-6600 Series\fm3032.exe" [2008-09-10 311976]

"coreworks"="c:\programme\HPQ\HP Connection Manager 1.1\bin\gbxapp.exe" [2008-06-12 780776]

"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" [2009-02-13 231952]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]

2007-11-27 16:41        109568        ----a-w-        c:\windows\system32\ackpbsc.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]

2007-11-27 16:40        286720        ----a-w-        c:\programme\ActivIdentity\ActivClient\acunlock.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2008-09-23 07:07        158992        ----a-w-        c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DVD Check.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk

backup=c:\windows\pss\DVD Check.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\WINDOWS\\system32\\lxducoms.exe"=

"c:\\Programme\\BitTorrent\\bittorrent.exe"=

"c:\\Programme\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=
 

R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [01.10.2008 15:01 109216]

R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [01.10.2008 15:02 51408]

R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [01.10.2008 15:02 12960]

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28.03.2008 10:14 24064]

R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [01.10.2008 15:02 12528]

R2 accoca;ActivClient Middleware Service;c:\programme\ActivIdentity\ActivClient\accoca.exe [27.11.2007 17:42 185896]

R2 ARAGHSQL;ARAGHSQL;c:\arag\DB\ABACUS\fp\HsqlService.exe [18.09.2009 17:15 98304]

R2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [28.02.2006 12:00 14336]

R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [28.02.2006 12:00 14336]

R2 ATService;AuthenTec Fingerprint Service;c:\programme\Fingerprint Sensor\AtService.exe [03.10.2008 13:33 1185016]

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\progra~1\Firebird\FIREBI~1\bin\fbguard.exe -s --> c:\progra~1\Firebird\FIREBI~1\bin\fbguard.exe -s [?]

R2 HpFkCryptService;Drive Encryption Service;c:\programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [01.10.2008 15:01 256544]

R2 lxdu_device;lxdu_device;c:\windows\system32\lxducoms.exe -service --> c:\windows\system32\lxducoms.exe -service [?]

R2 mdvsrv;HP Connection Manager Service;c:\programme\HPQ\HP Connection Manager 1.1\bin\mdvsrv.exe [12.06.2008 12:19 575976]

R2 QDLService;Qualcomm Gobi Download Service;c:\qualcomm\QDLService\QDLService.exe [09.06.2008 09:06 345336]

R2 SWIHPWMI;SWIHPWMI;c:\programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04.12.2006 15:13 292384]

R2 UNS;Intel(R) Active Management Technology User Notification Service;c:\programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe [13.02.2009 13:45 2058776]

R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [12.06.2008 14:40 479488]

R3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [13.02.2009 13:59 222512]

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\progra~1\Firebird\FIREBI~1\bin\fbserver.exe -s --> c:\progra~1\Firebird\FIREBI~1\bin\fbserver.exe -s [?]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [04.04.2007 19:16 41216]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.05.2007 18:49 24344]

R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [13.02.2009 14:00 47616]

S2 lxduCATSCustConnectService;lxduCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxduserv.exe [26.05.2009 21:25 98984]

S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [27.03.2008 11:42 239760]

S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [25.05.2009 01:31 37120]

S3 HP ProtectTools Service;HP ProtectTools Service;c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [07.10.2008 14:17 45056]

S3 MemWdm;MemWdm;c:\windows\system32\drivers\memwdm.sys [13.11.2009 04:17 27648]

S3 MMVSC;Virtual Smart Card Reader;c:\windows\system32\drivers\vpscr.sys [13.11.2009 04:17 15360]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [21.10.2009 12:34 136704]

S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [21.10.2009 12:34 8320]

S3 QCFilterhp;HP USB Composite Device Filter Driver;c:\windows\system32\drivers\qcfilterhp.sys [19.06.2009 23:35 5248]

S3 qcusbnethp;HP USB-NDIS miniport;c:\windows\system32\drivers\qcusbnethp.sys [19.06.2009 23:35 112640]

S3 qcusbserhp;HP USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbserhp.sys [19.06.2009 23:27 103680]

S3 RoxMediaDB10;RoxMediaDB10;c:\programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [23.06.2008 18:23 1112560]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance        REG_MULTI_SZ           ASBroker ASChannel

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uSearchURL,(Default) = www.google.com/search?q=%s

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a6zjnd82.default\

FF - component: c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\components\FirefoxExtension.dll

FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a6zjnd82.default\extensions\maps@ovi.com\plugins\npNMapG.dll

FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll

FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-AtiExtEvent - (no file)

AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-23 03:57

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]

"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,

   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(912)

c:\windows\system32\ackpbsc.dll

c:\windows\system32\aclog.dll

c:\windows\system32\accrypto.dll

c:\windows\system32\ACLIBEAY.dll

c:\windows\system32\acevtsub.dll

c:\windows\system32\asphat32.dll

c:\windows\system32\acerrmes.dll

c:\windows\system32\aspcom.dll

c:\programme\ActivIdentity\ActivClient\Resources\Localized\acerrmrc.dll

c:\programme\ActivIdentity\ActivClient\Resources\Localized\asphatrc.dll

c:\windows\system32\klogon.dll

c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

c:\programme\Hewlett-Packard\IAM\bin\itmsg.dll

c:\programme\Hewlett-Packard\IAM\Bin\TrayIcon.dll

c:\programme\Hewlett-Packard\IAM\bin\brand.dll

c:\programme\Hewlett-Packard\IAM\bin\DEU\brand.dll

c:\programme\Hewlett-Packard\IAM\bin\DEU\itmsg.dll

c:\programme\Hewlett-Packard\IAM\Bin\AsChnl.dll

c:\programme\Hewlett-Packard\IAM\Bin\HPPlugIn.dll

c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHostServices.dll

c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTStrings.dll

c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\de\PTStrings.resources.dll

c:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll

c:\windows\assembly\GAC_MSIL\System.Xml.resources\2.0.0.0_de_b77a5c561934e089\System.Xml.resources.dll

c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\Interop.HPQWMIEXLib.dll

c:\programme\ActivIdentity\ActivClient\acunlock.dll

c:\windows\system32\aipingui.dll

c:\windows\system32\aicext.dll

c:\programme\ActivIdentity\ActivClient\Resources\Localized\aipinguirc.dll

c:\programme\ActivIdentity\ActivClient\resources\acCobAPIrc.dll

c:\programme\ActivIdentity\ActivClient\Resources\Localized\acunlockrc.dll
 

- - - - - - - > 'explorer.exe'(696)

c:\windows\system32\APSHook.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\ActivIdentity\ActivClient\acevents.exe

c:\windows\System32\SCardSvr.exe

c:\windows\system32\agrsmsvc.exe

c:\programme\Cisco Systems\VPN Client\cvpnd.exe

c:\progra~1\Firebird\FIREBI~1\bin\fbguard.exe

c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Intel\AMT\LMS.exe

c:\windows\system32\lxducoms.exe

c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\programme\Hewlett-Packard\IAM\Bin\AsGHost.exe

c:\windows\system32\rundll32.exe

c:\programme\Lexmark 5600-6600 Series\lxduMsdMon.exe

c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe

c:\programme\ActivIdentity\ActivClient\acevents.exe

c:\programme\hpq\hp connection manager 1.1\bin\gbx4log.exe

c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe

c:\progra~1\Firebird\FIREBI~1\bin\fbserver.exe

c:\windows\system32\wscntfy.exe

c:\programme\Hewlett-Packard\Shared\hpqToaster.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wbem\unsecapp.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-11-23 04:01 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-11-23 03:01
 

Vor Suchlauf: 19 Verzeichnis(se), 12.026.687.488 Bytes frei

Nach Suchlauf: 23 Verzeichnis(se), 11.922.882.560 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - F76220B3D323152DC091DE35D3C60708

Was kann man denn hieraus alles so erkennen? Ist der Laptop, bzw. war er Infiziert? Ggf. mit welchem Virus, Trojaner oder Rootkit?

Gruß

Tarik

Rootkitbefall seh ich nicht, keine Anzeichen. Wie ist es um das Notebook nun bestellt? Wie sieht Dein Backup-Konzept nun aus?

Hey,

also Laptop hat erst gestern Abend wieder Intrusions gemeldet :pukeface: . So ca. alle 3 Std. kommt eine Meldung. Geflackert hat der Bildschrim nur noch einmal, aber die Verbindung ist nachdem die Medlung kommt für ca. 30 Sec. nicht mehr nutzbar. Das äußert sich darin, dass wenn ich ne Webadresse eingebe ich die Medung bekomme, dass ich nicht connected bin oder die Adresse nicht verfügbat sei... Dann warte ich kurz oder versuch es nochmal und dann klappt es wieder. Bin ich aber immer noch. Noch eine zusätzliche Info, ich gebe über UMTS ins Netz, aber ich denke mal, dass macht nicht wirklich n Unterschied.
In meinen Firewall-Regeln habe ich die Folgende gefunden, glaube aber die ist ok so, da es sich um nen vnc client handelt. Aber wieso steckt der in einem "TEMP" Verzeichnis?

Code:

[winvnc.exe]

App=C:\DOKUMENTE UND EINSTELLUNGEN\GeVaS AD\LOKALE EINSTELLUNGEN\Temp\7zS60.tmp\winvnc.exe

CommandLine=

UseCommandLine=0

Name=Jede TCP-Aktivität mit dieser Adresse erlauben

Enable=1

Allow=1

Log=0

Warning=0

Protocol=TCP

Direction=InboundOutbound

RemoteAddress=212.65.1.169
 

Name=Jede UDP-Aktivität mit dieser Adresse erlauben

Enable=1

Allow=1

Log=0

Warning=0

Protocol=UDP

Direction=InboundOutbound

RemoteAddress=212.65.1.169

Backup werde ich CloneZilla verwenden... :dankeschoen:

Allerdings gibt es ein Image bei Uns in der Zentrale so, das dass ganze System im Ausgangszustand ist. Heißt für mich allerdings einschicken und locker 1 Woche ohne Laptop und so versuche ich das so zu Managen.

Denkst du, dass meine Daten aktuell ausgepäht werden? Passwörter im PW-Manager z.B? Oder PW die ich eingebe? Ich hatte noch nie so nervige Warnungen... Was ist denn jetzt die Beste vorgehensweise? Kann ich da selbst noch was tun, oder muss ich das gute Stück einschicken?

Also das mit Windoof ist ja echt verflixt :killpc: . Mit meinem Ubuntu gibts so Probleme net...

Vielen Dank für deine Hilfe

Gruß

Tarik

Zitat:

also Laptop hat erst gestern Abend wieder Intrusions gemeldet

Die "Angriffe" stammen aber nicht vom Notebook, sondern aus dem Internet. Sofern es wirklich Angriffe sind, PFWs, also die Firewall der Internet Security Suites neigen dazu häufig jeden "Netzhuster" anzuzeigen und verunsichern gerade Laien damit. Du kommst eh nicht drum herum Windows und Programme zu aktualisieren, daher sind die gemeldeten Sachen harmlos. Stell die Firewall besser ein, zB dass solche Sachen nur Protokolliert werden und Du die nicht siehst oder verzichte auf sie und nimm die Windows-Firewall.

Zitat:

In meinen Firewall-Regeln habe ich die Folgende gefunden, glaube aber die ist ok so, da es sich um nen vnc client handelt. Aber wieso steckt der in einem "TEMP" Verzeichnis?

Nein WinVNC ist der Server! VNCviewer wäre der Client, d.h. rein theoretisch könnte man Dein Rechner fernsteuern. Hast Du die dahin mal entpackt? Habs schon ewig nicht mehr gesehen, dass Malwareautoren WinVNC verwenden und dann offensichtlich in einem Temppfad legen...ist die WinVNC da überhaupt noch oder ist nur die Firewall-Regel selber vorhanden?
Leer mal bitte alle Temppfade mit dem CCleaner und überprüfe ob das dann auch weg ist.

Zitat:

Allerdings gibt es ein Image bei Uns in der Zentrale so, das dass ganze System im Ausgangszustand ist.

Ist das garnicht DEIN Notebook, sondern gehört der Firma?

Hey,

also das die Angriffe nicht vom Notebook stammen ist mir schon klar. Aber allerdings bekomme ich diese Meldungen erst seit ein Paar Wochen. Das Notebook habe ich allerdings schon seit einem Jahr. Ich werde jetzt allerdings, wie von dir empfohlen erst mal die Windows Firewall nutzen und mal schauen was dann passiert.

WinVNC liegt nicht mehr in dem "Temp" Verzeichnis sondern es ist wirklich nur noch die Regel vorhanden, allerdings kann ich mich nicht erinnern das ganze dort installiert zu, bzw. überhaupt! Das ganze wundert mich schon... Besonders da ich meine ganzen Firewallregeln vor 4 Tagen gelöscht habe. Und nur noch Regeln einzeln bestätigt habe um die Verbindungen zu zulassen, bzw. um dann Regeln zu erstellen.

Ich habe den Laptop geleast. Ist also rein rechtlich nicht meiner. Allerdings darf ich damit so alles machen was ich will...

Gruß

Tarik