Trojan.PSW.LdPinch.ger
 

Hallo liebe User..
Ich hatte heute nachmittag ne runde CSS gezockt, aufeinmal schloss sich das programm und der antivir-guard war aus. Komischerweise lies er sich auch nimmer anschaun. Da ich nicht der PC-spezialist³ bin, hab ich antivir gleich deinstalliert und wollt es neu installen.. Ging aber net.
Ich habe es auch mit diversen anderen Programmen versucht.. gingen alle net.
Bis ich auf SpywareTerminator gekommen bin. Dabei sprang mir gleich der Trojaner ins Gesicht (Topic-Title). Ich hab natürlich gleich nervös rumgesucht im i-net und bin auf euch gestoßen. "Man solle doch einen HiJack-Log posten" hat es geheisen. Naja, da is er:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:56, on 20.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATICAE.EXE
C:\Windows\ehome\ehtray.exe
C:\Program Files\Avi Player\AviPlayer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\System32\mobsync.exe
C:\Users\Markus\AppData\Local\ykmiasc.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_SAC91.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Avi Player] "C:\Program Files\Avi Player\AviPlayer.exe" hmw
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ykmiasc] "c:\users\markus\appdata\local\ykmiasc.exe" ykmiasc
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: phase-6 Reminder.lnk = C:\Program Files\phase-6\phase-6\reminder\reminder.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7012 bytes

PS: Sry.. weis ja die mögl. Folgen net.. war nervös ~~> verzeiht mir rechtschr.-fehler..

Danke

1. Deinstalliere den Avi Player ganz normal über die Systemsteuerung! Der Player ist definitiv schädlich!

2. Fixe bitte mit Hijackthis:
3. Poste bitte ein frisches Hijackthis Log!

4. Führe ALLE Schritte unter dem Link Erste Schritte in meiner Signatur aus!

Danke schonmal, aber der Avi-Player (nachdem ich rausgefundenhabe was das is) is net in meiner Systemsteurung zu finden..lediglich ein Ordner im Startmenü ist vorhanden. Wie kann ich den de-installen, es ist nur ein normaler link zum öffnen des programms vorhanden

Danke

VLLT. ist noch erwähnenswert das ich Vista Home Premium besitze

Beende den Prozess Avi-player.exe: STRG+ALT+ENTF gleichzeitig drücken, in die Registerkarte Prozesse wechseln, dort avi-player.exe raussuchen und ein klick zum markieren drauf und dann auf Prozess beenden klicken. Die Sicherheitsfrage mit JA bestätigen!

Folgenden Eintrag mit Hijackthis fixen:
Verzeichnis C:\Program Files\Avi Player löschen

Mit CCleaner verbliebene Registry Einträge löschen...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:56, on 20.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATICAE.EXE
C:\Windows\ehome\ehtray.exe
C:\Program Files\Avi Player\AviPlayer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\System32\mobsync.exe
C:\Users\Markus\AppData\Local\ykmiasc.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_SAC91.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Avi Player] "C:\Program Files\Avi Player\AviPlayer.exe" hmw
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ykmiasc] "c:\users\markus\appdata\local\ykmiasc.exe" ykmiasc
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: phase-6 Reminder.lnk = C:\Program Files\phase-6\phase-6\reminder\reminder.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7012 bytes


Danke Dir, habe alle Schritte ausgeführt.
PS: Mein Antivir lässt sich noch immer nicht installieren.

So weit sind wir noch nicht, dass dein avira wieder läuft...

der player ist immernoch aktiv, problem werden wir später beheben.....

hast du punkt 4 von oben schon erledigt??? Führe bitte den link Erste Schritte in meiner Signatur aus!


bitte poste die logs dann, heute werde ich sie wahrscheinlich nicht mehr auswerten können, werde aber schauen, dass ich das dann morgen schaffe...

Mit CCleaner verbliebene Registry Einträge löschen...

Meinst du den? -Ja, den hab ich durchgeführt. Schon mehrere Male

Hallo,

du hast Navipromo, erkennend an diesem Eintrag:
Was Navipromo ist wird hier verdeutlicht: Navipromo ist zurück

Lasse Navilog mit Administratorrechten durchlaufen.
Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe


@maximilian11 - Lies dir das hier mal durch: http://www.trojaner-board.de/69603-f...dem-forum.html

Bis zu wie lange kann es denn dauern, ab dem "Suche" ?

Warte schon 10 mins.

Danke für die baldige Antwort

/Edit: "Hier der Log:" kommt weg, aber an Angel21 gerichtet

Kann unterschiedlich sein, aber dürfte nicht allzulange sein, wenn du das Log hast, dann bitte hier posten.

Endlich is es fertig:

Search Navipromo version 3.7.7 began on 20.05.2009 at 22:15:11,48

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Markus ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:216 Go (Free:73 Go)
D:\ (Local Disk) - NTFS - Total:11 Go (Free:4 Go)
E:\ (Local Disk) - NTFS - Total:106 Go (Free:101 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)
M:\ (USB) - FAT - Total:481 Mo (Free:0 Go)


Search done in normal mode


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\markus\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\Markus\AppData\Local\virtualstore\Program Files" ***



*** Search folders in "C:\Users\Markus\AppData\Local" ***




*** Search folders in "C:\Users\Markus\AppData\Roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Markus\AppData\Local\Microsoft" *

* Scan in "C:\Users\Markus\AppData\Local" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ykmiasc"="\"c:\\users\\markus\\appdata\\local\\ykmiasc.exe\" ykmiasc"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\Markus\AppData\Local\Microsoft" :


* In "C:\Users\Markus\AppData\Local" :

ykmiasc.exe found !
ykmiasc.dat found !
ykmiasc_nav.dat found !
ykmiasc_navps.dat found !
ykmiasc.bat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 20.05.2009 at 22:31:26,54 ***

Navilog mit Option 2 durchlaufen lassen.

Is es doch? oder net?

Ja ist es. Zu spät gesehen, sorry, gehe nach dem vor, was ich dir eben geschrieben hatte und poste davon bitte ein Log. :)

Nun denn. Schilderung nach 2.: Gescannt, PC heruntergefahren, Hochgefahren, Gescannt, Ergebnis:

Navipromo Removal version 3.7.7 started on 20.05.2009 at 22:34:07,71

Fix running from C:\Program Files\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Markus ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:216 Go (Free:73 Go)
D:\ (Local Disk) - NTFS - Total:11 Go (Free:4 Go)
E:\ (Local Disk) - NTFS - Total:106 Go (Free:101 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *


* Deletion in "C:\Users\Markus\AppData\Local\Microsoft" *


* Deletion in "C:\Users\Markus\AppData\Local" *



*** Deleting folders in "C:\Windows" ***


*** Deleting folders in "C:\Program Files" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Deleting folders in "C:\ProgramData" ***


*** Deleting folders in c:\users\markus\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Deleting folders in "C:\Users\Markus\AppData\Local\virtualstore\Program Files" ***


*** Deleting folders in "C:\Users\Markus\AppData\Local" ***


*** Deleting folders in "C:\Users\Markus\AppData\Roaming" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\Markus\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\Windows\system32" *



* In "C:\Users\Markus\AppData\Local\Microsoft" *



* In "C:\Users\Markus\AppData\Local" *


ykmiasc.exe found !
Copy ykmiasc.exe done !
ykmiasc.exe deleted !

ykmiasc.dat found !
Copy ykmiasc.dat done !
ykmiasc.dat deleted !

ykmiasc_nav.dat found !
Copy ykmiasc_nav.dat done !
ykmiasc_nav.dat deleted !

ykmiasc_navps.dat found !
Copy ykmiasc_navps.dat done !
ykmiasc_navps.dat deleted !

ykmiasc.bat found !
Copy ykmiasc.bat done !
ykmiasc.bat deleted !


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !


*** Search others known folders and files ***



*** Cleaning stage complete on 20.05.2009 at 22:38:24,59 ***

sehr gut, den haben wir los :)

Arbeite nun diese Anleitung ab Punkt 2 ab: http://www.trojaner-board.de/69886-a...-beachten.html

Frage: Das mit HiJack fixen und CCleaner hab ich vorhin schon gemacht? Einfach nochmal, oder hast du dich vertan?

Ne, der PSW Fund macht mir Sorgen. Navipromo war die eine Sache nun bitte ein malwarebytes Fullscan durchführen und das Log bitte posten.

Endlich.. Wir schreiben 00:58 Uhr

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2159
Windows 6.0.6001 Service Pack 1

21.05.2009 00:57:33
mbam-log-2009-05-21 (00-57-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 293192
Laufzeit: 1 hour(s), 58 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zeigt dein Antivirenprogramm noch Probleme an?

@Angel21 - Das habe ich schon gelesen! Der Avi-Player ist aber definitiv schädlich!

@crippcid - Lade mal diese Datei: bei Virustotal.com hoch und poste das Ergebnis hier.

Das Ergebnis von Virustotal:

0 bytes size received / Se ha recibido un archivo vacio


PS: Antivirenprogramm hab ich ja net, weil sich´s net mehr installieren lässt...

AntiVir fast am Ende der Installation:

CRC-Fehler in basic\avguard.exe
Unerwartetes Archivende

/edit: Is da überhaupt noch was zu retten, oder wäre es nicht besser, wenn ich mir die Vista-Install.-CDs schonmal herrichte?

Ahm.. Jetz doch net mehr mit SuperAntiSpyware was machen?!

Log.:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Markus at 2009-05-21 15:20:33
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 74 GB (33%) free of 222 GB
Total RAM: 2046 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:41, on 21.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Users\Markus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1949OJBE\RSIT[1].exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Markus.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_SAC91.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: phase-6 Reminder.lnk = C:\Program Files\phase-6\phase-6\reminder\reminder.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8651 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
Click-to-Call BHO - C:\Program Files\Windows Live\Messenger\wlchtc.dll [2009-02-06 73072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}]
FDMIECookiesBHO Class - C:\Program Files\Free Download Manager\iefdm2.dll [2007-11-26 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}]
ZoneAlarm Spy Blocker BHO - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL [2008-12-18 262144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll [2008-06-12 958712]
{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - ZoneAlarm Spy Blocker - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL [2008-12-18 262144]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"DeathAdder"=C:\Program Files\Razer\DeathAdder\razerhid.exe [2007-09-07 159744]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-07-16 61440]
"WinampAgent"=C:\Program Files\Winamp\winampa.exe [2009-04-10 37888]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"ISTray"=C:\Program Files\Spyware Doctor\pctsTray.exe [2008-12-08 1173384]
"SpywareTerminator"=C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe [2009-05-20 2176000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"fsm"= []
"EPSON Stylus DX4400 Series"=C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE [2007-03-01 180736]
"Free Download Manager"=C:\Program Files\Free Download Manager\fdm.exe [2009-02-27 3399727]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240]
"SUPERAntiSpyware"=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-14 1830128]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
phase-6 Reminder.lnk - C:\Program Files\phase-6\phase-6\reminder\reminder.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{411d2336-2c52-11de-bd60-0019dbf9b2a5}]
shell\AutoRun\command - M:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fcd9038-a75a-11dd-80fd-806e6f6e6963}]
shell\AutoRun\command - F:\Setup.exe -check


======List of files/folders created in the last 1 months======

2009-05-21 15:20:33 ----D---- C:\rsit
2009-05-21 15:06:39 ----D---- C:\ProgramData\SUPERAntiSpyware.com
2009-05-21 15:06:22 ----D---- C:\Users\Markus\AppData\Roaming\SUPERAntiSpyware.com
2009-05-21 15:06:22 ----D---- C:\Program Files\SUPERAntiSpyware
2009-05-20 22:56:00 ----D---- C:\Users\Markus\AppData\Roaming\Malwarebytes
2009-05-20 22:55:54 ----D---- C:\ProgramData\Malwarebytes
2009-05-20 22:55:53 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-05-20 22:34:07 ----A---- C:\cleannavi.txt
2009-05-20 22:15:11 ----A---- C:\fixnavi.txt
2009-05-20 22:14:10 ----D---- C:\Program Files\Navilog1
2009-05-20 21:41:37 ----D---- C:\Program Files\CCleaner
2009-05-20 20:16:54 ----D---- C:\Users\Markus\AppData\Roaming\Spyware Terminator
2009-05-20 20:16:48 ----D---- C:\ProgramData\Spyware Terminator
2009-05-20 20:16:48 ----D---- C:\Program Files\Spyware Terminator
2009-05-20 20:09:45 ----AD---- C:\ProgramData\TEMP
2009-05-20 20:09:43 ----D---- C:\Program Files\Common Files\PC Tools
2009-05-20 20:09:40 ----D---- C:\Users\Markus\AppData\Roaming\PC Tools
2009-05-20 20:09:40 ----D---- C:\ProgramData\PC Tools
2009-05-20 20:09:40 ----D---- C:\Program Files\Spyware Doctor
2009-05-20 20:04:27 ----D---- C:\Program Files\Trend Micro
2009-05-17 17:19:20 ----A---- C:\Windows\system32\wbsys.dll
2009-05-16 23:37:15 ----D---- C:\Program Files\Common Files\PX Storage Engine
2009-05-02 20:43:51 ----D---- C:\Program Files\LittleFighter2
2009-05-02 15:02:33 ----D---- C:\ProgramData\Media Center Programs
2009-05-02 15:02:32 ----D---- C:\Program Files\GUILD WARS

======List of files/folders modified in the last 1 months======

2009-05-21 15:20:21 ----D---- C:\Windows\Temp
2009-05-21 15:06:39 ----HD---- C:\ProgramData
2009-05-21 15:06:28 ----SHD---- C:\Windows\Installer
2009-05-21 15:06:22 ----RD---- C:\Program Files
2009-05-21 15:06:15 ----SHD---- C:\System Volume Information
2009-05-21 15:05:43 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
2009-05-21 13:13:41 ----D---- C:\Windows\System32
2009-05-21 13:13:41 ----D---- C:\Windows\inf
2009-05-21 13:13:41 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-05-21 13:10:26 ----D---- C:\Users\Markus\AppData\Roaming\Free Download Manager
2009-05-21 13:09:38 ----D---- C:\Windows\system32\drivers
2009-05-20 22:57:24 ----D---- C:\Windows
2009-05-20 21:45:11 ----D---- C:\Windows\Debug
2009-05-20 21:24:08 ----D---- C:\Program Files\Common Files
2009-05-20 20:57:38 ----D---- C:\Windows\system32\Tasks
2009-05-20 20:28:40 ----D---- C:\Users\Markus\AppData\Roaming\Skype
2009-05-20 19:28:30 ----D---- C:\Users\Markus\AppData\Roaming\skypePM
2009-05-20 19:26:41 ----SD---- C:\Users\Markus\AppData\Roaming\Microsoft
2009-05-20 19:20:51 ----D---- C:\Windows\system32\catroot2
2009-05-20 17:58:26 ----D---- C:\Program Files\Steam
2009-05-19 15:35:16 ----D---- C:\Program Files\Common Files\Steam
2009-05-16 23:37:41 ----D---- C:\Program Files\Winamp
2009-05-14 18:18:39 ----A---- C:\Windows\WPE PRO.INI
2009-05-14 14:15:31 ----D---- C:\Windows\winsxs
2009-05-13 20:02:55 ----D---- C:\Windows\system32\catroot
2009-05-13 20:02:47 ----D---- C:\Program Files\Windows Mail
2009-05-13 19:36:45 ----D---- C:\Program Files\Mozilla Firefox
2009-05-07 09:16:29 ----A---- C:\Windows\system32\mrt.exe
2009-05-04 18:22:53 ----D---- C:\Program Files\MobMapUpdater
2009-05-02 20:52:35 ----D---- C:\Users\Markus\AppData\Roaming\Hamachi
2009-04-28 13:50:52 ----D---- C:\Program Files\Last.fm
2009-04-24 20:43:33 ----D---- C:\Users\Markus\AppData\Roaming\Azureus
2009-04-24 15:45:17 ----D---- C:\Users\Markus\AppData\Roaming\gtk-2.0

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [2009-05-14 9968]
R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys [2009-05-14 72944]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\Windows\system32\drivers\sp_rsdrv2.sys [2009-05-20 142592]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-08-01 3894272]
R3 DAdderFltr;DeathAdder Mouse; C:\Windows\system32\drivers\dadder.sys [2007-08-02 22784]
R3 FETNDIS;VIA Rhine-Familie--Fast-Ethernet-Adaptertreiberdienst; C:\Windows\system32\DRIVERS\fetnd5.sys [2006-11-02 45568]
R3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys [2008-12-19 25280]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [2009-05-14 7408]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-18 83328]
S3 catchme;catchme; C:\Windows\system32\drivers\catchme.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-18 5632]
S3 EagleNT;EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-18 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-18 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-18 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-18 6016]
S3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-08-01 3894272]
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-18 35328]
S3 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2008-08-01 700416]
R2 ICQ Service;ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2008-11-29 66872]
R2 sdAuxService;PC Tools Auxiliary Service; C:\Program Files\Spyware Doctor\pctsAuxs.exe [2009-01-07 348752]
R2 sdCoreService;PC Tools Security Service; C:\Program Files\Spyware Doctor\pctsSvc.exe [2009-01-21 1095560]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Program Files\Spyware Terminator\sp_rsser.exe [2009-05-20 487424]
S3 Steam Client Service;Steam Client Service; C:\Program Files\Common Files\Steam\SteamService.exe [2009-05-19 322032]

-----------------EOF-----------------

Info.:

info.txt logfile of random's system information tool 1.06 2009-05-21 15:20:45

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Combat Arms EU-->"C:\ProgramData\NexonEU\NGM\NGM.exe" -mode:uninstall -dll:ngm.nexoneu.com/cbangm/NGM/Bin/NGMDll.dll -game:50340359 -locale:EU
Counter-Strike: Source-->MsiExec.exe /I{9580813D-94B1-4C28-9426-A441E2BB29A5}
GIMP 2.6.3-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
GTA2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2987EE84-C4EE-4FF5-8160-32DE00D6ABC6}\Setup.exe" -l0x9
GUILD WARS-->"C:\Program Files\GUILD WARS\Gw.exe" -uninstall
Hamachi 1.0.3.0-->C:\Program Files\Hamachi\uninstall.exe
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
Last.fm 1.5.4.24567-->"C:\Program Files\Last.fm\unins000.exe"
Little Fighter 2 version 2.0-->C:\Program Files\LittleFighter2\LF2_v2.0\uninst.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Navilog1 3.7.7-->"C:\Program Files\Navilog1\unins000.exe"
Peggle Extreme-->"C:\Program Files\Steam\steam.exe" steam://uninstall/3483
phase-6 2.1.1-->C:\Program Files\phase-6\phase-6\uninstall.exe
phase-6 Feeding Tool 1.1.4-->C:\Program Files\phase-6\feeding-tool\uninstall.exe
PremiumSoft Navicat 8.0 Lite for MySQL-->"C:\Program Files\PremiumSoft\Navicat 8.0 Lite MySQL\unins000.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Spyware Doctor 6.0-->C:\Program Files\Spyware Doctor\unins000.exe /LOG
Spyware Terminator-->"C:\Program Files\Spyware Terminator\unins000.exe"
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
Vuze-->C:\Program Files\Vuze\uninstall.exe
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Mail-->MsiExec.exe /I{5A166C0B-9557-4364-A057-F946D674E6AC}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live Writer-->MsiExec.exe /X{81821BF8-DA20-4F8C-AA87-F70A274828D4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

======Security center information======

AS: Windows-Defender
AS: SUPERAntiSpyware
AS: Spyware Terminator

======System event log======

Computer Name: Markus-PC
Event Code: 1103
Message: Dem Computer wurde erfolgreich eine Netzwerkadresse zugeteilt. Eine Verbindung mit anderen Computern kann nun hergestellt werden.
Record Number: 109475
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20090521131351.000000-000
Event Type: Informationen
User:

Computer Name: Markus-PC
Event Code: 1103
Message: Dem Computer wurde erfolgreich eine Netzwerkadresse zugeteilt. Eine Verbindung mit anderen Computern kann nun hergestellt werden.
Record Number: 109476
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20090521131558.000000-000
Event Type: Informationen
User:

Computer Name: Markus-PC
Event Code: 7036
Message: Dienst "Windows Installer" befindet sich jetzt im Status "Beendet".
Record Number: 109477
Source Name: Service Control Manager
Time Written: 20090521131633.000000-000
Event Type: Informationen
User:

Computer Name: Markus-PC
Event Code: 1103
Message: Dem Computer wurde erfolgreich eine Netzwerkadresse zugeteilt. Eine Verbindung mit anderen Computern kann nun hergestellt werden.
Record Number: 109478
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20090521131805.000000-000
Event Type: Informationen
User:

Computer Name: Markus-PC
Event Code: 1103
Message: Dem Computer wurde erfolgreich eine Netzwerkadresse zugeteilt. Eine Verbindung mit anderen Computern kann nun hergestellt werden.
Record Number: 109479
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20090521132012.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: Markus-PC
Event Code: 10001
Message: Sitzung wird beendet: 1. 2009-05-21T13:06:19.512Z wird gestartet.
Record Number: 20056
Source Name: Microsoft-Windows-RestartManager
Time Written: 20090521130628.894287-000
Event Type: Informationen
User: Markus-PC\Markus

Computer Name: Markus-PC
Event Code: 11707
Message: Product: SUPERAntiSpyware Free Edition -- Installation operation completed successfully.
Record Number: 20057
Source Name: MsiInstaller
Time Written: 20090521130633.000000-000
Event Type: Informationen
User: Markus-PC\Markus

Computer Name: Markus-PC
Event Code: 1033
Message: Das Produkt wurde durch Windows Installer installiert. Produktname: SUPERAntiSpyware Free Edition. Produktversion: 4.26.0.1002. Produktsprache: 1033. Erfolg- bzw. Fehlerstatus der Installation: 0.
Record Number: 20058
Source Name: MsiInstaller
Time Written: 20090521130633.000000-000
Event Type: Informationen
User: Markus-PC\Markus

Computer Name: Markus-PC
Event Code: 1001
Message: Fehlerbucket 552585017, Typ 5
Ereignisname: RADAR_PRE_LEAK_32
Antwort: Keine
Cab-ID: 0

Problemsignatur:
P1: SUPERAntiSpyware.exe
P2: 4.26.0.1002
P3: 6.0.6001.2.1.0
P4:
P5:
P6:
P7:
P8:
P9:
P10:

Angehängte Dateien:
C:\Users\Markus\AppData\Local\Temp\RDRAB4C.tmp\empty.txt

Diese Dateien befinden sich möglicherweise hier:

Record Number: 20059
Source Name: Windows Error Reporting
Time Written: 20090521130924.000000-000
Event Type: Informationen
User:

Computer Name: Markus-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 20060
Source Name: VSS
Time Written: 20090521130942.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: Markus-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 20130
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090521132040.164021-000
Event Type: Überwachung gescheitert
User:

Computer Name: Markus-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 20131
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090521132040.227494-000
Event Type: Überwachung gescheitert
User:

Computer Name: Markus-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 20132
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090521132040.288037-000
Event Type: Überwachung gescheitert
User:

Computer Name: Markus-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 20133
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090521132040.348580-000
Event Type: Überwachung gescheitert
User:

Computer Name: Markus-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 20134
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090521132040.414005-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------

Du kannst in der Zeit mal folgendes tun,

Lade diese Datei: bei uns gemäß dieser Anleitung: http://www.trojaner-board.de/54791-a...ner-board.html bei uns hoch.
Versuche die Datei mit der Windowssuche zu finden.

Danach lässt du Superantispyware innem Fullscan laufen.

Fehler: Deine Datei konnte nicht empfangen werden..
Könnte daran liegen, das ich sie schon gelöscht hab? Maximillian hat es doch i-wo geschrieben.

Versuche die Datei mit der Wndowssuche zu finden.

Die Datei "C:\Program Files\Avi Player\AviPlayer.exe" konnte nicht gefunden werden. Überprüfen Sie die Schreibweise und wiederholen sie den Vorgang.

Des is alles

Dann suche mal nur nach Avi Player.

Bei Datein, Ordner, etc. pp.

Ich habs jetz hochgeladen.

Mache mal auf den Avi Player Rechtsklick -> Eigenschaften -> Größe der Datei bitte hier rein posten.

Geht net.. Im Startmenü is ja nur die Verknüpfung, und wenn ich bei der Eigenschaften mach, kommt nur "Verknüpfung". Soll ich mal einen Screen machen?

Ja, das könntest du tun.

Wo hast du die Datei eigentlich geladen?
Woher hast du die?

Falls du Avira nicht von der Herstellersite geladen hast, dann könnte es bei einigen seiten zu Fehlern kommen, Versuche sie mal über avira.com zu laden bei Downloads.

h**p://img36.imageshack.us/gal.php?g=normalh.jpg

Sollte man glaub ich so machen :)

Man kanns ja auch net von der Herstellerseite laden.. nur von chip, magnus oder pc-welt...

Warten wir ab was Superantispyware sagt.
Wieso geht das nicht von der Herstellerseite zu laden?
Hast du probleme auf diese zu gelangen?

Nein, aber i-wann komm ich vor lauter "weiterführungen" zu einer seite,

h**p://w*w.free-av.de/en/trialpay_download/1/avira_antivir_personal__free_antivirus.html

/edit:

SUPERAntiSpyware Scan Log


Generated 05/21/2009 at 04:57 PM

Application Version : 4.26.1002

Core Rules Database Version : 3904
Trace Rules Database Version: 1849

Scan type : Complete Scan
Total Scan Time : 01:44:41

Memory items scanned : 791
Memory threats detected : 0
Registry items scanned : 5505
Registry threats detected : 0
File items scanned : 216870
File threats detected : 2

Trojan.Agent/Gen-AppLocal
C:\PROGRAM FILES\NAVILOG1\BACKUPNAVI\YKMIASC.EXE

Adware.Vundo/Variant-MSFake
C:\PROGRAM FILES\NAVILOG1\REG.EXE

Lösche die Verknüpfung des Avi Players, der Ordner wurde schon lange gelöscht.

Gemacht, wie gehts weiter?

Versuche mal Avira von Chip zu laden.
Gehe unten auf You can download Avira AntiVir Personal - FREE Antivirus from the following locations: Chip.
Versuche es dort.

ähm.. Es will net downloaden =(

Versuch es bei einen der Folgenden:

Chip

Netzwelt

mfg, Kaos

Danke, bei Netzwelt funktionierts.

/edit
Dauert aber 20mins.

/nochmal edit
Ich könnts mir von meinem Laptop holen, über USB-stick, soll ich?

Soll ich währendessen die von SUPERAntiSpyware in Quarantäne verschobenen Viren löschen? Die sind aber nur von Navilog...

Die Navilogsachen nicht. Kannst Navilog aber deinstallieren.

So.. jetziger Zustand: AntiVir läuft wieder, Internet is noch immer langsam (beunruhigend).
Kann ich die ganzn Spywaresachen deinstallen und noch wichtiger: Bin ich jetz Virenfrei?

Hallo,
Nicht wirklich. :)

1.) Deinstalliere:

• ICQ Toolbar
• Navilog1 3.7.7
• Spyware Doctor 6.0
• Spyware Terminator
• SUPERAntiSpyware Free Edition
• Vuze (Virenschleuder)

2.) Besorge dir einen vernünftigen Browser wie Firefox oder Opera und surfe ausschließlich mit dem.

3.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

4.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Da gibt es einige Fehlermeldungen, und wenn ich nochmals "Scan" drück, sind die Dateien noch immer da.

Welche Fehlermeldungen treten denn auf?

Sorry, habe übersehen, dass du Vista hast.

Alle Programme mit Mausklick rechts => Ausführen als Administrator starten.

ciao, andreas

-.-' Das sind ja schier unendlich Fehler, die ich beheben muss mit Ccleaner :schmoll: Bei jedem mal suchen wieder ein Fund

/edit
Doch net unendlich viel, hab festgestellt, dass es immer der selbe Fehler ist

Solange es nur ein Fund ist, kannst du aufhören. :)

ciao, andreas

ComboFix 09-05-20.A1 - Markus 21.05.2009 18:35.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2046.1337 [GMT 2:00]
ausgeführt von:: c:\users\Markus\Desktop\ComboFix.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 ))))))))))))))))))))))))))))))
.

2009-05-21 16:40 . 2009-05-21 16:40 -------- d-----w c:\users\Markus\AppData\Local\temp
2009-05-21 16:02 . 2009-05-21 16:02 -------- d-----w c:\users\Markus\AppData\Local\Opera
2009-05-21 16:02 . 2009-05-21 16:02 -------- d-----w c:\program files\Opera
2009-05-21 15:37 . 2009-03-24 14:08 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-21 15:37 . 2009-05-21 15:37 -------- d-----w c:\programdata\Avira
2009-05-21 15:37 . 2009-05-21 15:37 -------- d-----w c:\users\All Users\Avira
2009-05-21 15:37 . 2009-05-21 15:37 -------- d-----w c:\program files\Avira
2009-05-21 13:20 . 2009-05-21 13:20 -------- d-----w C:\rsit
2009-05-21 13:06 . 2009-05-21 13:06 -------- d-----w c:\programdata\SUPERAntiSpyware.com
2009-05-21 13:06 . 2009-05-21 13:06 -------- d-----w c:\users\All Users\SUPERAntiSpyware.com
2009-05-21 13:06 . 2009-05-21 15:55 -------- d-----w c:\program files\SUPERAntiSpyware
2009-05-20 20:56 . 2009-05-20 20:56 -------- d-----w c:\users\Markus\AppData\Roaming\Malwarebytes
2009-05-20 20:55 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-20 20:55 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-20 20:55 . 2009-05-20 20:55 -------- d-----w c:\programdata\Malwarebytes
2009-05-20 20:55 . 2009-05-20 20:55 -------- d-----w c:\users\All Users\Malwarebytes
2009-05-20 20:55 . 2009-05-20 20:55 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-20 20:14 . 2009-05-21 15:28 -------- d-----w c:\program files\Navilog1
2009-05-20 19:41 . 2009-05-20 19:41 -------- d-----w c:\program files\CCleaner
2009-05-20 18:16 . 2009-05-21 15:51 -------- d-----w c:\program files\Spyware Terminator
2009-05-20 18:09 . 2009-05-21 15:50 -------- d---a-w c:\programdata\TEMP
2009-05-20 18:09 . 2009-05-21 15:50 -------- d---a-w c:\users\All Users\TEMP
2009-05-20 18:09 . 2009-05-21 15:51 -------- d-----w c:\program files\Common Files\PC Tools
2009-05-20 18:09 . 2009-05-21 15:51 -------- d-----w c:\program files\Spyware Doctor
2009-05-20 18:04 . 2009-05-20 18:04 -------- d-----w c:\program files\Trend Micro
2009-05-17 15:19 . 2003-02-26 20:27 36864 ----a-w c:\windows\system32\wbsys.dll
2009-05-16 21:37 . 2009-05-16 21:37 -------- d-----w c:\program files\Common Files\PX Storage Engine
2009-05-02 18:43 . 2009-05-02 18:43 -------- d-----w c:\program files\LittleFighter2
2009-05-02 13:02 . 2009-05-02 13:02 -------- d-----w c:\programdata\Media Center Programs
2009-05-02 13:02 . 2009-05-02 13:02 -------- d-----w c:\users\All Users\Media Center Programs
2009-05-02 13:02 . 2009-05-04 14:06 -------- d-----w c:\program files\GUILD WARS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 16:17 . 2008-11-08 23:57 -------- d-----w c:\program files\QuickTime
2009-05-21 15:55 . 2009-02-25 02:47 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-21 15:51 . 2009-04-03 15:46 -------- d-----w c:\program files\Vuze
2009-05-21 15:50 . 2008-10-31 23:41 618204 ----a-w c:\windows\system32\perfh007.dat
2009-05-21 15:50 . 2008-10-31 23:41 122442 ----a-w c:\windows\system32\perfc007.dat
2009-05-20 15:58 . 2008-11-09 17:26 -------- d-----w c:\program files\Steam
2009-05-19 13:35 . 2008-11-09 17:59 -------- d-----w c:\program files\Common Files\Steam
2009-05-16 21:37 . 2008-11-20 14:10 -------- d-----w c:\program files\Winamp
2009-05-13 18:02 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-05-04 16:22 . 2008-11-13 16:18 -------- d-----w c:\program files\MobMapUpdater
2009-04-30 04:01 . 2009-04-30 04:01 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-04-28 11:50 . 2008-12-03 17:19 -------- d-----w c:\program files\Last.fm
2009-04-18 20:03 . 2009-04-18 19:52 -------- d-----w c:\program files\DAEMON Tools Toolbar
2009-04-18 15:43 . 2009-04-18 15:43 717296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-16 19:45 . 2009-04-16 19:45 -------- d-----w c:\program files\PremiumSoft
2009-04-04 09:58 . 2008-11-06 17:24 -------- d-----w c:\program files\WarRock
2009-04-01 15:38 . 2009-04-01 15:38 552 ----a-w c:\users\Markus\AppData\Local\d3d8caps.dat
2009-03-27 16:14 . 2008-11-06 15:42 1356 ----a-w c:\users\Markus\AppData\Local\d3d9caps.dat
2009-03-25 08:57 . 2008-12-16 13:16 -------- d-----w c:\program files\Java
2009-03-17 03:38 . 2009-04-15 14:01 13824 ----a-w c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-15 14:01 24064 ----a-w c:\windows\system32\amxread.dll
2009-03-09 04:19 . 2008-12-16 13:17 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-03 04:46 . 2009-04-15 14:01 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-15 14:01 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-15 14:01 827392 ----a-w c:\windows\system32\wininet.dll
2009-03-03 04:39 . 2009-04-15 14:01 183296 ----a-w c:\windows\system32\sdohlp.dll
2009-03-03 04:39 . 2009-04-15 14:01 551424 ----a-w c:\windows\system32\rpcss.dll
2009-03-03 04:39 . 2009-04-15 14:01 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-15 14:01 78336 ----a-w c:\windows\system32\ieencode.dll
2009-03-03 04:37 . 2009-04-15 14:01 98304 ----a-w c:\windows\system32\iasrecst.dll
2009-03-03 04:37 . 2009-04-15 14:01 54784 ----a-w c:\windows\system32\iasads.dll
2009-03-03 04:37 . 2009-04-15 14:01 44032 ----a-w c:\windows\system32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-15 14:01 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-15 14:01 17408 ----a-w c:\windows\system32\iashost.exe
2009-03-03 02:28 . 2009-04-15 14:01 26624 ----a-w c:\windows\system32\ieUnatt.exe
2008-12-18 15:37 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus DX4400 Series"="c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DeathAdder"="c:\program files\Razer\DeathAdder\razerhid.exe" [2007-09-07 159744]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0A1E1BB0-94E4-473C-9E50-9391132E8F65}"= c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{3B01CA40-C357-4F05-8EDB-A7984B471E3C}c:\\program files\\world of warcraft\\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe"= UDP:c:\program files\world of warcraft\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe:Blizzard Downloader
"UDP Query User{FB9A5D6B-A162-4980-8CE1-D5B929EA8576}c:\\program files\\world of warcraft\\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe"= TCP:c:\program files\world of warcraft\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe:Blizzard Downloader
"TCP Query User{B8AD06AC-2378-4575-99E5-C2ED668B19F4}c:\\program files\\world of warcraft\\wow-2.4.0-dede-downloader.exe"= UDP:c:\program files\world of warcraft\wow-2.4.0-dede-downloader.exe:Blizzard Downloader
"UDP Query User{60E61A45-AD06-4818-8510-CBD1BD31A06E}c:\\program files\\world of warcraft\\wow-2.4.0-dede-downloader.exe"= TCP:c:\program files\world of warcraft\wow-2.4.0-dede-downloader.exe:Blizzard Downloader
"TCP Query User{A6573D9C-74DE-4AEC-9C4F-A468CD68BABC}c:\\program files\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= UDP:c:\program files\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:Blizzard Downloader
"UDP Query User{FCC6B0FE-3BE8-4ED0-8484-06939F614406}c:\\program files\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= TCP:c:\program files\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:Blizzard Downloader
"TCP Query User{AEEF9400-5E90-4727-A616-6614776C34E4}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\u5xb9791\\wow-dede-installer-downloader[1].exe"= UDP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\u5xb9791\wow-dede-installer-downloader[1].exe:wow-dede-installer-downloader[1].exe
"UDP Query User{6AE4B400-AF12-4170-BB4C-10C204F60FBA}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\u5xb9791\\wow-dede-installer-downloader[1].exe"= TCP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\u5xb9791\wow-dede-installer-downloader[1].exe:wow-dede-installer-downloader[1].exe
"{3E89ED1A-ADF8-4B0F-9F39-5F14DBDA2D15}"= UDP:c:\programdata\NexonUS\NGM\NGM.exe:Nexon Game Manager
"{F6CC4777-F116-4323-A01A-F520DD6CE51A}"= TCP:c:\programdata\NexonUS\NGM\NGM.exe:Nexon Game Manager
"TCP Query User{C24DB2F6-C90C-4870-A5DA-2843E51F7B0A}c:\\program files\\steam\\steamapps\\valtanator\\counter-strike source\\hl2.exe"= UDP:c:\program files\steam\steamapps\valtanator\counter-strike source\hl2.exe:hl2
"UDP Query User{C5B883D9-5613-4423-A928-059007B54C89}c:\\program files\\steam\\steamapps\\valtanator\\counter-strike source\\hl2.exe"= TCP:c:\program files\steam\steamapps\valtanator\counter-strike source\hl2.exe:hl2
"TCP Query User{5362E476-D2AE-47BE-B249-1BC934685E5F}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{3BC8F8DF-C8A7-4F8C-A851-F3D2942D6973}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{8BA25C96-C2D3-4F5D-B1EE-94A982BE83C4}"= UDP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{3A39ACD5-32A7-409F-99FF-1346B28FDB3A}"= TCP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{B0611B23-4A23-4FED-831E-85434668A079}"= UDP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{EC57871D-3AFF-4E2D-A8FC-62369C21A895}"= TCP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{5F130179-CB67-472F-AD06-1A82528FC98D}"= UDP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{ED684912-546C-4EFC-A035-8121026F6FCD}"= TCP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{42546855-1E70-4D96-A118-E591C042EA91}"= UDP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{F74355E2-057B-4406-A369-5B04C874FDE1}"= TCP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"TCP Query User{F37F178E-16AE-4EB0-B098-6F45A09CB505}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{E824EE19-CA47-491F-A856-6F71B948E437}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library
"{BF29179B-6599-4886-A95E-DBC9263EFF75}"= UDP:c:\program files\Steam\Steam.exe:Steam
"{F8BB818C-6D07-4087-A1CD-398C3F2DB345}"= TCP:c:\program files\Steam\Steam.exe:Steam
"{8A4305CD-8DCB-484B-8162-3F19114AC906}"= UDP:c:\program files\Codemasters\Archlord\Archlord_DE.exe:Archlord
"{5E2A166A-9549-4D4C-88DF-986DB1076601}"= TCP:c:\program files\Codemasters\Archlord\Archlord_DE.exe:Archlord
"TCP Query User{9BA174E4-03CB-4988-9B98-B64F742AB5B9}c:\\program files\\free download manager\\fdm.exe"= UDP:c:\program files\free download manager\fdm.exe:Free Download Manager
"UDP Query User{B68357C8-C3BE-442B-8996-A7F871465AF7}c:\\program files\\free download manager\\fdm.exe"= TCP:c:\program files\free download manager\fdm.exe:Free Download Manager
"TCP Query User{28331CAC-9ADA-4C13-BAD6-586F46A2E198}c:\\program files\\wolfenstein - enemy territory\\et.exe"= UDP:c:\program files\wolfenstein - enemy territory\et.exe:ET
"UDP Query User{86004FA3-901F-4A2B-AFEC-7D40408EB417}c:\\program files\\wolfenstein - enemy territory\\et.exe"= TCP:c:\program files\wolfenstein - enemy territory\et.exe:ET
"TCP Query User{8DD593D4-F652-4EDD-843E-4C0229E43ED9}c:\\program files\\icq6.5\\icq.exe"= UDP:c:\program files\icq6.5\icq.exe:ICQ Library
"UDP Query User{AC368BAA-6905-4BEC-92FD-6185CB18C356}c:\\program files\\icq6.5\\icq.exe"= TCP:c:\program files\icq6.5\icq.exe:ICQ Library
"TCP Query User{78438037-F8B8-490A-AF8D-EA1A9C804200}c:\\program files\\sixteen tons entertainment\\gotcha! demo\\gotchademo.exe"= UDP:c:\program files\sixteen tons entertainment\gotcha! demo\gotchademo.exe:Gotcha!
"UDP Query User{DAEF2B7E-B635-4D22-BA8A-D39FE8690C15}c:\\program files\\sixteen tons entertainment\\gotcha! demo\\gotchademo.exe"= TCP:c:\program files\sixteen tons entertainment\gotcha! demo\gotchademo.exe:Gotcha!
"TCP Query User{7550EBF1-FB2B-4F7C-975C-F30777553428}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= UDP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe
"UDP Query User{3D21E65A-A1B1-456B-A34D-057FBD1BF242}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= TCP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe
"TCP Query User{81FCCDE0-670E-4FAC-9A15-0E40592AFD31}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.0.0.6080-expansion-speech-dede.exe"= UDP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.0.0.6080-expansion-speech-dede.exe:wow-2.0.0.6080-expansion-speech-dede.exe
"UDP Query User{20E18D94-C86F-4A2E-BCE6-B6B05F8B2135}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.0.0.6080-expansion-speech-dede.exe"= TCP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.0.0.6080-expansion-speech-dede.exe:wow-2.0.0.6080-expansion-speech-dede.exe
"TCP Query User{3C85050C-28BE-43D9-AC4D-8121D64C3DD4}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe"= UDP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe:wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe
"UDP Query User{7B48613D-2555-4F03-AB8E-962F7986ADF6}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe"= TCP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe:wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe
"TCP Query User{49A042F0-5919-4C04-8183-413D26FEA2D8}c:\\program files\\rockstar games\\gta2\\gta2.exe"= UDP:c:\program files\rockstar games\gta2\gta2.exe:GTA2 main executable
"UDP Query User{EC1A235D-8CA1-4361-B606-8946CA3CB8FD}c:\\program files\\rockstar games\\gta2\\gta2.exe"= TCP:c:\program files\rockstar games\gta2\gta2.exe:GTA2 main executable
"TCP Query User{33FB40D1-0737-4E65-AEC2-88624F02808B}c:\\windows\\system32\\dplaysvr.exe"= UDP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"UDP Query User{F2C2F4F5-948E-49E8-A34B-4FF4CC475485}c:\\windows\\system32\\dplaysvr.exe"= TCP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"TCP Query User{B3E053B0-72D6-4821-97E0-B3E8F6B797EA}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\kbecl498\\wotlk-beta-3.0.1-dede-downloader[1].exe"= UDP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\kbecl498\wotlk-beta-3.0.1-dede-downloader[1].exe:wotlk-beta-3.0.1-dede-downloader[1].exe
"UDP Query User{47F372C9-85D8-4465-A65D-3D3BE9311C24}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\kbecl498\\wotlk-beta-3.0.1-dede-downloader[1].exe"= TCP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\kbecl498\wotlk-beta-3.0.1-dede-downloader[1].exe:wotlk-beta-3.0.1-dede-downloader[1].exe
"{762892DC-20FD-4303-91DD-97A34161FEDB}"= UDP:c:\nexon\Combat Arms\CombatArms.exe:Combat Arms
"{5AFF6648-0240-4533-9F2C-654D174A89D6}"= TCP:c:\nexon\Combat Arms\CombatArms.exe:Combat Arms
"{D1DB8E89-9081-468B-9726-EE00D697D97C}"= UDP:c:\programdata\NexonEU\NGM\NGM.exe:Nexon Game Manager
"{2B8B7432-AC3A-4D42-AF66-E2E3DAE2ECDE}"= TCP:c:\programdata\NexonEU\NGM\NGM.exe:Nexon Game Manager
"{14A8D23A-F62F-44AA-B8CB-72A9E7A21FFA}"= UDP:c:\nexon\Combat Arms EU\NMService.exe:Nexon Messenger Core
"{4C3B0E48-F067-426D-BA16-DF9D768D44CA}"= TCP:c:\nexon\Combat Arms EU\NMService.exe:Nexon Messenger Core
"TCP Query User{B01D40C2-6407-4B5E-B91C-083332C0F09E}c:\\users\\markus\\appdata\\local\\temp\\blizzard launcher temporary - a6f69e40\\launcher.exe"= UDP:c:\users\markus\appdata\local\temp\blizzard launcher temporary - a6f69e40\launcher.exe:launcher.exe
"UDP Query User{65DD458D-E55B-4328-AA84-0EA2A3DA177B}c:\\users\\markus\\appdata\\local\\temp\\blizzard launcher temporary - a6f69e40\\launcher.exe"= TCP:c:\users\markus\appdata\local\temp\blizzard launcher temporary - a6f69e40\launcher.exe:launcher.exe
"{72A0C3EA-B6FC-47B9-9EAA-026C9FF7D561}"= UDP:c:\program files\Steam\SteamApps\common\peggle extreme\PeggleExtreme.exe:Peggle Extreme
"{43AF29C7-94E5-49A4-B546-B6ADE095D105}"= TCP:c:\program files\Steam\SteamApps\common\peggle extreme\PeggleExtreme.exe:Peggle Extreme
"TCP Query User{7C9FAFAE-C6E1-45E3-852F-A4E52FF82763}c:\\users\\public\\documents\\world of warcraft\\launcher.exe"= UDP:c:\users\public\documents\world of warcraft\launcher.exe:Blizzard Launcher
"UDP Query User{BF736784-ED05-458A-AFC7-71EA12A92E14}c:\\users\\public\\documents\\world of warcraft\\launcher.exe"= TCP:c:\users\public\documents\world of warcraft\launcher.exe:Blizzard Launcher
"{58C6E6F1-8B5E-4BC1-AEB6-364E23337F91}"= UDP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe
"{8BA79FA1-C1D3-49A1-8700-8F291747F4AD}"= TCP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe
"TCP Query User{219A298C-D86F-47D1-8815-4F056FA965CC}c:\\program files\\java\\jre6\\bin\\javaw.exe"= UDP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{E018761C-5FCD-493A-8930-ED8547F7F3C5}c:\\program files\\java\\jre6\\bin\\javaw.exe"= TCP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"{AE7420C4-E327-47D3-AB98-2A6384B6D605}"= UDP:c:\users\Public\Documents\World of Warcraft\BackgroundDownloader.exe:Blizzard Downloader
"{35BE152F-3E7C-4F1B-8761-0AC4B561F089}"= TCP:c:\users\Public\Documents\World of Warcraft\BackgroundDownloader.exe:Blizzard Downloader
"{1D71A404-E73A-4E29-AF2B-E667C7D7A65C}"= UDP:3724:Blizzard Downloader: 3724
"TCP Query User{B7CA7153-8DD8-44A3-8ADF-20130507C0ED}c:\\program files\\vuze\\azureus.exe"= UDP:c:\program files\vuze\azureus.exe:Azureus
"UDP Query User{1093C153-B291-4A02-B2AB-C764BC59A09F}c:\\program files\\vuze\\azureus.exe"= TCP:c:\program files\vuze\azureus.exe:Azureus
"TCP Query User{A141A8C6-A3EA-4DDB-86E2-691F32EA3F91}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\mysql\\bin\\mysqld-nt.exe"= UDP:c:\users\markus\desktop\wow-server\diskw\usr\local\mysql\bin\mysqld-nt.exe:mysqld-nt.exe
"UDP Query User{5A07A77F-02ED-493A-BC58-E74B7DCCB28E}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\mysql\\bin\\mysqld-nt.exe"= TCP:c:\users\markus\desktop\wow-server\diskw\usr\local\mysql\bin\mysqld-nt.exe:mysqld-nt.exe
"TCP Query User{3BB76387-67A1-43DC-84C3-BD09089C7FB4}c:\\users\\markus\\desktop\\wow-server\\mangosd.exe"= UDP:c:\users\markus\desktop\wow-server\mangosd.exe:mangosd.exe
"UDP Query User{583AAD9C-A877-4130-95CD-EE67452CF8B0}c:\\users\\markus\\desktop\\wow-server\\mangosd.exe"= TCP:c:\users\markus\desktop\wow-server\mangosd.exe:mangosd.exe
"TCP Query User{4A60FC53-3A35-4E88-9C10-E2E21026E97A}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\apache2\\bin\\apache.exe"= UDP:c:\users\markus\desktop\wow-server\diskw\usr\local\apache2\bin\apache.exe:apache.exe
"UDP Query User{6839A41F-2EF8-4BAA-9D7A-0E2F8A484FB5}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\apache2\\bin\\apache.exe"= TCP:c:\users\markus\desktop\wow-server\diskw\usr\local\apache2\bin\apache.exe:apache.exe
"{DFC466FC-5B37-4D53-B274-93662A661A34}"= UDP:c:\users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:Blizzard Downloader
"{077CB9E5-8501-4A6A-97E1-E260D713EF99}"= TCP:c:\users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:Blizzard Downloader
"{0C443D1A-4DA9-468D-9D35-45CF5FB28864}"= UDP:6112:Vuze Azu
"{8AC82594-04DE-46DC-A133-9A8DF2153A20}"= TCP:6112:Vuze Azu 2
"TCP Query User{A82CE580-E277-45B7-A5A6-BA1D9B80EC4A}c:\\program files\\littlefighter2\\lf2_v2.0\\lf2.exe"= UDP:c:\program files\littlefighter2\lf2_v2.0\lf2.exe:lf2
"UDP Query User{F7A7B572-EDA6-4F8C-BA17-FEF14E9F251F}c:\\program files\\littlefighter2\\lf2_v2.0\\lf2.exe"= TCP:c:\program files\littlefighter2\lf2_v2.0\lf2.exe:lf2
"TCP Query User{03E71CB6-22FC-4935-9D80-D1394AE8FA4B}e:\\programme\\metin2\\metin2.bin"= UDP:e:\programme\metin2\metin2.bin:metin2.bin
"UDP Query User{26014AAD-D054-4B47-A0AD-4B2C467183CD}e:\\programme\\metin2\\metin2.bin"= TCP:e:\programme\metin2\metin2.bin:metin2.bin

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [21.05.2009 17:37 108289]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [06.11.2008 18:35 222456]
R3 DAdderFltr;DeathAdder Mouse;c:\windows\System32\drivers\dadder.sys [06.11.2008 17:58 22784]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SSMDRV
*Deregistered* - PCTCore
*Deregistered* - SASENUM
*Deregistered* - sp_rsdrv2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-fsm - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 18:40
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3047816949-2190845169-566560143-1000\Software\SecuROM\License information*]
"datasecu"=hex:2a,f2,a7,a4,32,3e,5b,d8,d5,2e,ae,4c,b0,54,52,95,22,40,d1,d2,9e,
b1,f8,14,4d,12,1e,61,ba,0f,c9,ea,9a,e0,4a,da,0d,a3,06,33,a2,d4,6c,ec,97,60,\
"rkeysecu"=hex:b8,ba,6a,a5,be,02,be,64,92,92,27,1c,d2,e1,50,9d
.
Zeit der Fertigstellung: 2009-05-21 18:41
ComboFix-quarantined-files.txt 2009-05-21 16:41

Vor Suchlauf: 35 Verzeichnis(se), 86.812.725.248 Bytes frei
Nach Suchlauf: 35 Verzeichnis(se), 86.781.280.256 Bytes frei

210 --- E O F --- 2009-05-19 10:18

So, viel Spaß damit :)

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hier der Log Teil 3:

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 19:07
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3047816949-2190845169-566560143-1000\Software\SecuROM\License information*]
"datasecu"=hex:2a,f2,a7,a4,32,3e,5b,d8,d5,2e,ae,4c,b0,54,52,95,22,40,d1,d2,9e,
b1,f8,14,4d,12,1e,61,ba,0f,c9,ea,9a,e0,4a,da,0d,a3,06,33,a2,d4,6c,ec,97,60,\
"rkeysecu"=hex:b8,ba,6a,a5,be,02,be,64,92,92,27,1c,d2,e1,50,9d
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\PnkBstrA.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\conime.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Razer\DeathAdder\razerofa.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\System32\wbem\WMIADAP.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-21 19:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-21 17:11
ComboFix2.txt 2009-05-21 16:41

Vor Suchlauf: 35 Verzeichnis(se), 83.141.464.064 Bytes frei
Nach Suchlauf: 34 Verzeichnis(se), 87.352.516.608 Bytes frei

294 --- E O F --- 2009-05-19 10:18

Teil 2:

ComboFix 09-05-20.A1 - Markus 21.05.2009 19:02.2 - NTFSx86
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus DX4400 Series"="c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DeathAdder"="c:\program files\Razer\DeathAdder\razerhid.exe" [2007-09-07 159744]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0A1E1BB0-94E4-473C-9E50-9391132E8F65}"= c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{3B01CA40-C357-4F05-8EDB-A7984B471E3C}c:\\program files\\world of warcraft\\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe"= UDP:c:\program files\world of warcraft\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe:Blizzard Downloader
"UDP Query User{FB9A5D6B-A162-4980-8CE1-D5B929EA8576}c:\\program files\\world of warcraft\\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe"= TCP:c:\program files\world of warcraft\wow-2.4.0.8089-to-2.4.1.8125-dede-downloader.exe:Blizzard Downloader
"TCP Query User{B8AD06AC-2378-4575-99E5-C2ED668B19F4}c:\\program files\\world of warcraft\\wow-2.4.0-dede-downloader.exe"= UDP:c:\program files\world of warcraft\wow-2.4.0-dede-downloader.exe:Blizzard Downloader
"UDP Query User{60E61A45-AD06-4818-8510-CBD1BD31A06E}c:\\program files\\world of warcraft\\wow-2.4.0-dede-downloader.exe"= TCP:c:\program files\world of warcraft\wow-2.4.0-dede-downloader.exe:Blizzard Downloader
"TCP Query User{A6573D9C-74DE-4AEC-9C4F-A468CD68BABC}c:\\program files\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= UDP:c:\program files\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:Blizzard Downloader
"UDP Query User{FCC6B0FE-3BE8-4ED0-8484-06939F614406}c:\\program files\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= TCP:c:\program files\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:Blizzard Downloader
"TCP Query User{AEEF9400-5E90-4727-A616-6614776C34E4}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\u5xb9791\\wow-dede-installer-downloader[1].exe"= UDP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\u5xb9791\wow-dede-installer-downloader[1].exe:wow-dede-installer-downloader[1].exe
"UDP Query User{6AE4B400-AF12-4170-BB4C-10C204F60FBA}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\u5xb9791\\wow-dede-installer-downloader[1].exe"= TCP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\u5xb9791\wow-dede-installer-downloader[1].exe:wow-dede-installer-downloader[1].exe
"{3E89ED1A-ADF8-4B0F-9F39-5F14DBDA2D15}"= UDP:c:\programdata\NexonUS\NGM\NGM.exe:Nexon Game Manager
"{F6CC4777-F116-4323-A01A-F520DD6CE51A}"= TCP:c:\programdata\NexonUS\NGM\NGM.exe:Nexon Game Manager
"TCP Query User{C24DB2F6-C90C-4870-A5DA-2843E51F7B0A}c:\\program files\\steam\\steamapps\\valtanator\\counter-strike source\\hl2.exe"= UDP:c:\program files\steam\steamapps\valtanator\counter-strike source\hl2.exe:hl2
"UDP Query User{C5B883D9-5613-4423-A928-059007B54C89}c:\\program files\\steam\\steamapps\\valtanator\\counter-strike source\\hl2.exe"= TCP:c:\program files\steam\steamapps\valtanator\counter-strike source\hl2.exe:hl2
"TCP Query User{5362E476-D2AE-47BE-B249-1BC934685E5F}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{3BC8F8DF-C8A7-4F8C-A851-F3D2942D6973}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{8BA25C96-C2D3-4F5D-B1EE-94A982BE83C4}"= UDP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{3A39ACD5-32A7-409F-99FF-1346B28FDB3A}"= TCP:c:\program files\Winamp Remote\bin\Orb.exe:Orb
"{B0611B23-4A23-4FED-831E-85434668A079}"= UDP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{EC57871D-3AFF-4E2D-A8FC-62369C21A895}"= TCP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{5F130179-CB67-472F-AD06-1A82528FC98D}"= UDP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{ED684912-546C-4EFC-A035-8121026F6FCD}"= TCP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{42546855-1E70-4D96-A118-E591C042EA91}"= UDP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{F74355E2-057B-4406-A369-5B04C874FDE1}"= TCP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"TCP Query User{F37F178E-16AE-4EB0-B098-6F45A09CB505}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{E824EE19-CA47-491F-A856-6F71B948E437}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library
"{BF29179B-6599-4886-A95E-DBC9263EFF75}"= UDP:c:\program files\Steam\Steam.exe:Steam
"{F8BB818C-6D07-4087-A1CD-398C3F2DB345}"= TCP:c:\program files\Steam\Steam.exe:Steam
"{8A4305CD-8DCB-484B-8162-3F19114AC906}"= UDP:c:\program files\Codemasters\Archlord\Archlord_DE.exe:Archlord
"{5E2A166A-9549-4D4C-88DF-986DB1076601}"= TCP:c:\program files\Codemasters\Archlord\Archlord_DE.exe:Archlord
"TCP Query User{9BA174E4-03CB-4988-9B98-B64F742AB5B9}c:\\program files\\free download manager\\fdm.exe"= UDP:c:\program files\free download manager\fdm.exe:Free Download Manager
"UDP Query User{B68357C8-C3BE-442B-8996-A7F871465AF7}c:\\program files\\free download manager\\fdm.exe"= TCP:c:\program files\free download manager\fdm.exe:Free Download Manager
"TCP Query User{28331CAC-9ADA-4C13-BAD6-586F46A2E198}c:\\program files\\wolfenstein - enemy territory\\et.exe"= UDP:c:\program files\wolfenstein - enemy territory\et.exe:ET
"UDP Query User{86004FA3-901F-4A2B-AFEC-7D40408EB417}c:\\program files\\wolfenstein - enemy territory\\et.exe"= TCP:c:\program files\wolfenstein - enemy territory\et.exe:ET
"TCP Query User{8DD593D4-F652-4EDD-843E-4C0229E43ED9}c:\\program files\\icq6.5\\icq.exe"= UDP:c:\program files\icq6.5\icq.exe:ICQ Library
"UDP Query User{AC368BAA-6905-4BEC-92FD-6185CB18C356}c:\\program files\\icq6.5\\icq.exe"= TCP:c:\program files\icq6.5\icq.exe:ICQ Library
"TCP Query User{78438037-F8B8-490A-AF8D-EA1A9C804200}c:\\program files\\sixteen tons entertainment\\gotcha! demo\\gotchademo.exe"= UDP:c:\program files\sixteen tons entertainment\gotcha! demo\gotchademo.exe:Gotcha!
"UDP Query User{DAEF2B7E-B635-4D22-BA8A-D39FE8690C15}c:\\program files\\sixteen tons entertainment\\gotcha! demo\\gotchademo.exe"= TCP:c:\program files\sixteen tons entertainment\gotcha! demo\gotchademo.exe:Gotcha!
"TCP Query User{7550EBF1-FB2B-4F7C-975C-F30777553428}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= UDP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe
"UDP Query User{3D21E65A-A1B1-456B-A34D-057FBD1BF242}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe"= TCP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe:wow-2.4.1.8125-to-2.4.2.8278-dede-downloader.exe
"TCP Query User{81FCCDE0-670E-4FAC-9A15-0E40592AFD31}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.0.0.6080-expansion-speech-dede.exe"= UDP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.0.0.6080-expansion-speech-dede.exe:wow-2.0.0.6080-expansion-speech-dede.exe
"UDP Query User{20E18D94-C86F-4A2E-BCE6-B6B05F8B2135}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.0.0.6080-expansion-speech-dede.exe"= TCP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.0.0.6080-expansion-speech-dede.exe:wow-2.0.0.6080-expansion-speech-dede.exe
"TCP Query User{3C85050C-28BE-43D9-AC4D-8121D64C3DD4}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe"= UDP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe:wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe
"UDP Query User{7B48613D-2555-4F03-AB8E-962F7986ADF6}c:\\users\\markus\\documents\\world of warcraft\\world of warcraft\\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe"= TCP:c:\users\markus\documents\world of warcraft\world of warcraft\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe:wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe
"TCP Query User{49A042F0-5919-4C04-8183-413D26FEA2D8}c:\\program files\\rockstar games\\gta2\\gta2.exe"= UDP:c:\program files\rockstar games\gta2\gta2.exe:GTA2 main executable
"UDP Query User{EC1A235D-8CA1-4361-B606-8946CA3CB8FD}c:\\program files\\rockstar games\\gta2\\gta2.exe"= TCP:c:\program files\rockstar games\gta2\gta2.exe:GTA2 main executable
"TCP Query User{33FB40D1-0737-4E65-AEC2-88624F02808B}c:\\windows\\system32\\dplaysvr.exe"= UDP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"UDP Query User{F2C2F4F5-948E-49E8-A34B-4FF4CC475485}c:\\windows\\system32\\dplaysvr.exe"= TCP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"TCP Query User{B3E053B0-72D6-4821-97E0-B3E8F6B797EA}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\kbecl498\\wotlk-beta-3.0.1-dede-downloader[1].exe"= UDP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\kbecl498\wotlk-beta-3.0.1-dede-downloader[1].exe:wotlk-beta-3.0.1-dede-downloader[1].exe
"UDP Query User{47F372C9-85D8-4465-A65D-3D3BE9311C24}c:\\users\\markus\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\kbecl498\\wotlk-beta-3.0.1-dede-downloader[1].exe"= TCP:c:\users\markus\appdata\local\microsoft\windows\temporary internet files\content.ie5\kbecl498\wotlk-beta-3.0.1-dede-downloader[1].exe:wotlk-beta-3.0.1-dede-downloader[1].exe
"{762892DC-20FD-4303-91DD-97A34161FEDB}"= UDP:c:\nexon\Combat Arms\CombatArms.exe:Combat Arms
"{5AFF6648-0240-4533-9F2C-654D174A89D6}"= TCP:c:\nexon\Combat Arms\CombatArms.exe:Combat Arms
"{D1DB8E89-9081-468B-9726-EE00D697D97C}"= UDP:c:\programdata\NexonEU\NGM\NGM.exe:Nexon Game Manager
"{2B8B7432-AC3A-4D42-AF66-E2E3DAE2ECDE}"= TCP:c:\programdata\NexonEU\NGM\NGM.exe:Nexon Game Manager
"{14A8D23A-F62F-44AA-B8CB-72A9E7A21FFA}"= UDP:c:\nexon\Combat Arms EU\NMService.exe:Nexon Messenger Core
"{4C3B0E48-F067-426D-BA16-DF9D768D44CA}"= TCP:c:\nexon\Combat Arms EU\NMService.exe:Nexon Messenger Core
"TCP Query User{B01D40C2-6407-4B5E-B91C-083332C0F09E}c:\\users\\markus\\appdata\\local\\temp\\blizzard launcher temporary - a6f69e40\\launcher.exe"= UDP:c:\users\markus\appdata\local\temp\blizzard launcher temporary - a6f69e40\launcher.exe:launcher.exe
"UDP Query User{65DD458D-E55B-4328-AA84-0EA2A3DA177B}c:\\users\\markus\\appdata\\local\\temp\\blizzard launcher temporary - a6f69e40\\launcher.exe"= TCP:c:\users\markus\appdata\local\temp\blizzard launcher temporary - a6f69e40\launcher.exe:launcher.exe
"{72A0C3EA-B6FC-47B9-9EAA-026C9FF7D561}"= UDP:c:\program files\Steam\SteamApps\common\peggle extreme\PeggleExtreme.exe:Peggle Extreme
"{43AF29C7-94E5-49A4-B546-B6ADE095D105}"= TCP:c:\program files\Steam\SteamApps\common\peggle extreme\PeggleExtreme.exe:Peggle Extreme
"TCP Query User{7C9FAFAE-C6E1-45E3-852F-A4E52FF82763}c:\\users\\public\\documents\\world of warcraft\\launcher.exe"= UDP:c:\users\public\documents\world of warcraft\launcher.exe:Blizzard Launcher
"UDP Query User{BF736784-ED05-458A-AFC7-71EA12A92E14}c:\\users\\public\\documents\\world of warcraft\\launcher.exe"= TCP:c:\users\public\documents\world of warcraft\launcher.exe:Blizzard Launcher
"{58C6E6F1-8B5E-4BC1-AEB6-364E23337F91}"= UDP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe
"{8BA79FA1-C1D3-49A1-8700-8F291747F4AD}"= TCP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe
"TCP Query User{219A298C-D86F-47D1-8815-4F056FA965CC}c:\\program files\\java\\jre6\\bin\\javaw.exe"= UDP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{E018761C-5FCD-493A-8930-ED8547F7F3C5}c:\\program files\\java\\jre6\\bin\\javaw.exe"= TCP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"{AE7420C4-E327-47D3-AB98-2A6384B6D605}"= UDP:c:\users\Public\Documents\World of Warcraft\BackgroundDownloader.exe:Blizzard Downloader
"{35BE152F-3E7C-4F1B-8761-0AC4B561F089}"= TCP:c:\users\Public\Documents\World of Warcraft\BackgroundDownloader.exe:Blizzard Downloader
"{1D71A404-E73A-4E29-AF2B-E667C7D7A65C}"= UDP:3724:Blizzard Downloader: 3724
"TCP Query User{B7CA7153-8DD8-44A3-8ADF-20130507C0ED}c:\\program files\\vuze\\azureus.exe"= UDP:c:\program files\vuze\azureus.exe:Azureus
"UDP Query User{1093C153-B291-4A02-B2AB-C764BC59A09F}c:\\program files\\vuze\\azureus.exe"= TCP:c:\program files\vuze\azureus.exe:Azureus
"TCP Query User{A141A8C6-A3EA-4DDB-86E2-691F32EA3F91}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\mysql\\bin\\mysqld-nt.exe"= UDP:c:\users\markus\desktop\wow-server\diskw\usr\local\mysql\bin\mysqld-nt.exe:mysqld-nt.exe
"UDP Query User{5A07A77F-02ED-493A-BC58-E74B7DCCB28E}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\mysql\\bin\\mysqld-nt.exe"= TCP:c:\users\markus\desktop\wow-server\diskw\usr\local\mysql\bin\mysqld-nt.exe:mysqld-nt.exe
"TCP Query User{3BB76387-67A1-43DC-84C3-BD09089C7FB4}c:\\users\\markus\\desktop\\wow-server\\mangosd.exe"= UDP:c:\users\markus\desktop\wow-server\mangosd.exe:mangosd.exe
"UDP Query User{583AAD9C-A877-4130-95CD-EE67452CF8B0}c:\\users\\markus\\desktop\\wow-server\\mangosd.exe"= TCP:c:\users\markus\desktop\wow-server\mangosd.exe:mangosd.exe
"TCP Query User{4A60FC53-3A35-4E88-9C10-E2E21026E97A}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\apache2\\bin\\apache.exe"= UDP:c:\users\markus\desktop\wow-server\diskw\usr\local\apache2\bin\apache.exe:apache.exe
"UDP Query User{6839A41F-2EF8-4BAA-9D7A-0E2F8A484FB5}c:\\users\\markus\\desktop\\wow-server\\diskw\\usr\\local\\apache2\\bin\\apache.exe"= TCP:c:\users\markus\desktop\wow-server\diskw\usr\local\apache2\bin\apache.exe:apache.exe
"{DFC466FC-5B37-4D53-B274-93662A661A34}"= UDP:c:\users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:Blizzard Downloader
"{077CB9E5-8501-4A6A-97E1-E260D713EF99}"= TCP:c:\users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:Blizzard Downloader
"{0C443D1A-4DA9-468D-9D35-45CF5FB28864}"= UDP:6112:Vuze Azu
"{8AC82594-04DE-46DC-A133-9A8DF2153A20}"= TCP:6112:Vuze Azu 2
"TCP Query User{A82CE580-E277-45B7-A5A6-BA1D9B80EC4A}c:\\program files\\littlefighter2\\lf2_v2.0\\lf2.exe"= UDP:c:\program files\littlefighter2\lf2_v2.0\lf2.exe:lf2
"UDP Query User{F7A7B572-EDA6-4F8C-BA17-FEF14E9F251F}c:\\program files\\littlefighter2\\lf2_v2.0\\lf2.exe"= TCP:c:\program files\littlefighter2\lf2_v2.0\lf2.exe:lf2
"TCP Query User{03E71CB6-22FC-4935-9D80-D1394AE8FA4B}e:\\programme\\metin2\\metin2.bin"= UDP:e:\programme\metin2\metin2.bin:metin2.bin
"UDP Query User{26014AAD-D054-4B47-A0AD-4B2C467183CD}e:\\programme\\metin2\\metin2.bin"= TCP:e:\programme\metin2\metin2.bin:metin2.bin

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
S3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [2007-08-02 22784]

Teil 1:

ComboFix 09-05-20.A1 - Markus 21.05.2009 19:02.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2046.1252 [GMT 2:00]
ausgeführt von:: c:\users\Markus\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Markus\Desktop\cfscript.txt
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
.
PEV Error: LocalSettingsFile

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\PC Tools
c:\program files\Common Files\PC Tools\GenTDI\GenericTdiDll.dll
c:\program files\Common Files\PC Tools\KDS\KDSAppEvent.dll.old
c:\program files\Common Files\PC Tools\KDS\KDSInterface.dll.old
c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll.old
c:\program files\Navilog1
c:\program files\Navilog1\Backupnavi\ykmiasc.bat
c:\program files\Navilog1\Backupnavi\ykmiasc.dat
c:\program files\Navilog1\Backupnavi\ykmiasc_nav.dat
c:\program files\Navilog1\Backupnavi\ykmiasc_navps.dat
c:\program files\Navilog1\Report\catchmeF.log
c:\program files\Navilog1\Report\catchmeP.log
c:\program files\Navilog1\Report\debug.txt
c:\program files\Navilog1\Safebackup\backup_registry.dat
c:\program files\Navilog1\Safebackup\HKCU_Run.reg
c:\program files\Navilog1\Safebackup\HKCU_Soft.reg
c:\program files\Navilog1\Safebackup\HKLM_Run.reg
c:\program files\Navilog1\Safebackup\HKLM_Soft.reg
c:\program files\Navilog1\Safebackup\HKLM_Uninstall.reg
c:\program files\Spyware Doctor
c:\program files\Spyware Doctor\PCTWSC.dll
c:\program files\Spyware Doctor\TFEngine\TFCfg.dll.old
c:\program files\Spyware Terminator
c:\program files\Spyware Terminator\sptcontmenu.dll
c:\program files\SUPERAntiSpyware
c:\program files\Vuze
c:\program files\Vuze\plugins\azupnpav\azupnpav_0.2.17.jar
c:\program files\Vuze\plugins\azupnpav\azupnpav_0.2.17.zip
c:\program files\Vuze\plugins\azupnpav\plugin.properties.bak
c:\program files\Vuze\plugins\azupnpav\plugin.properties_0.2.17
c:\program files\ZoneAlarmSB
c:\program files\ZoneAlarmSB\bar\1.bin\NPZONESB.DLL
c:\program files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
c:\program files\ZoneAlarmSB\bar\1.bin\Z4FFXTBR.JAR
c:\program files\ZoneAlarmSB\bar\1.bin\Z4FFXTBR.MANIFEST
c:\program files\ZoneAlarmSB\bar\1.bin\Z4HIGHIN.EXE
c:\program files\ZoneAlarmSB\bar\1.bin\Z4NTSTBR.JAR
c:\program files\ZoneAlarmSB\bar\1.bin\Z4NTSTBR.MANIFEST
c:\program files\ZoneAlarmSB\bar\1.bin\Z4PLUGIN.DLL
c:\program files\ZoneAlarmSB\bar\1.bin\Z4POPBLK.DLL
c:\program files\ZoneAlarmSB\bar\1.bin\Z4SPYBLK.DLL
c:\programdata\SUPERAntiSpyware.com
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATCHME
-------\Legacy_EAGLENT
-------\Legacy_PCTCORE
-------\Legacy_SASDIFSV
-------\Legacy_SASENUM
-------\Legacy_SASKUTIL
-------\Legacy_SP_RSDRV2
-------\Legacy_VSDATANT
-------\Service_catchme
-------\Service_EagleNT
-------\Service_PCTCore
-------\Service_sp_rsdrv2
-------\Service_Vsdatant


((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 ))))))))))))))))))))))))))))))
.

2009-05-21 17:07 . 2009-05-21 17:07 -------- d-sh--w C:\$RECYCLE.BIN
2009-05-21 16:41 . 2009-05-21 17:07 -------- d-----w c:\users\Markus\AppData\Local\temp
2009-05-21 16:02 . 2009-05-21 16:02 -------- d-----w c:\users\Markus\AppData\Local\Opera
2009-05-21 16:02 . 2009-05-21 16:02 -------- d-----w c:\program files\Opera
2009-05-21 15:37 . 2009-03-24 14:08 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-21 15:37 . 2009-05-21 15:37 -------- d-----w c:\programdata\Avira
2009-05-21 15:37 . 2009-05-21 15:37 -------- d-----w c:\users\All Users\Avira
2009-05-21 15:37 . 2009-05-21 15:37 -------- d-----w c:\program files\Avira
2009-05-20 20:56 . 2009-05-20 20:56 -------- d-----w c:\users\Markus\AppData\Roaming\Malwarebytes
2009-05-20 20:55 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-20 20:55 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-20 20:55 . 2009-05-20 20:55 -------- d-----w c:\programdata\Malwarebytes
2009-05-20 20:55 . 2009-05-20 20:55 -------- d-----w c:\users\All Users\Malwarebytes
2009-05-20 20:55 . 2009-05-20 20:55 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-20 19:41 . 2009-05-20 19:41 -------- d-----w c:\program files\CCleaner
2009-05-20 18:09 . 2009-05-21 15:50 -------- d---a-w c:\programdata\TEMP
2009-05-20 18:09 . 2009-05-21 15:50 -------- d---a-w c:\users\All Users\TEMP
2009-05-20 18:04 . 2009-05-20 18:04 -------- d-----w c:\program files\Trend Micro
2009-05-17 15:19 . 2003-02-26 20:27 36864 ----a-w c:\windows\system32\wbsys.dll
2009-05-16 21:37 . 2009-05-16 21:37 -------- d-----w c:\program files\Common Files\PX Storage Engine
2009-05-02 18:43 . 2009-05-02 18:43 -------- d-----w c:\program files\LittleFighter2
2009-05-02 13:02 . 2009-05-02 13:02 -------- d-----w c:\programdata\Media Center Programs
2009-05-02 13:02 . 2009-05-02 13:02 -------- d-----w c:\users\All Users\Media Center Programs
2009-05-02 13:02 . 2009-05-04 14:06 -------- d-----w c:\program files\GUILD WARS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 16:17 . 2008-11-08 23:57 -------- d-----w c:\program files\QuickTime
2009-05-21 15:55 . 2009-02-25 02:47 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-20 15:58 . 2008-11-09 17:26 -------- d-----w c:\program files\Steam
2009-05-19 13:35 . 2008-11-09 17:59 -------- d-----w c:\program files\Common Files\Steam
2009-05-16 21:37 . 2008-11-20 14:10 -------- d-----w c:\program files\Winamp
2009-05-13 18:02 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-05-04 16:22 . 2008-11-13 16:18 -------- d-----w c:\program files\MobMapUpdater
2009-04-30 04:01 . 2009-04-30 04:01 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-04-28 11:50 . 2008-12-03 17:19 -------- d-----w c:\program files\Last.fm
2009-04-18 20:03 . 2009-04-18 19:52 -------- d-----w c:\program files\DAEMON Tools Toolbar
2009-04-18 15:43 . 2009-04-18 15:43 717296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-16 19:45 . 2009-04-16 19:45 -------- d-----w c:\program files\PremiumSoft
2009-04-04 09:58 . 2008-11-06 17:24 -------- d-----w c:\program files\WarRock
2009-04-01 15:38 . 2009-04-01 15:38 552 ----a-w c:\users\Markus\AppData\Local\d3d8caps.dat
2009-03-27 16:14 . 2008-11-06 15:42 1356 ----a-w c:\users\Markus\AppData\Local\d3d9caps.dat
2009-03-25 08:57 . 2008-12-16 13:16 -------- d-----w c:\program files\Java
2009-03-17 03:38 . 2009-04-15 14:01 13824 ----a-w c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-15 14:01 24064 ----a-w c:\windows\system32\amxread.dll
2009-03-09 04:19 . 2008-12-16 13:17 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-03 04:46 . 2009-04-15 14:01 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-15 14:01 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-15 14:01 827392 ----a-w c:\windows\system32\wininet.dll
2009-03-03 04:39 . 2009-04-15 14:01 183296 ----a-w c:\windows\system32\sdohlp.dll
2009-03-03 04:39 . 2009-04-15 14:01 551424 ----a-w c:\windows\system32\rpcss.dll
2009-03-03 04:39 . 2009-04-15 14:01 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-15 14:01 78336 ----a-w c:\windows\system32\ieencode.dll
2009-03-03 04:37 . 2009-04-15 14:01 98304 ----a-w c:\windows\system32\iasrecst.dll
2009-03-03 04:37 . 2009-04-15 14:01 54784 ----a-w c:\windows\system32\iasads.dll
2009-03-03 04:37 . 2009-04-15 14:01 44032 ----a-w c:\windows\system32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-15 14:01 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-15 14:01 17408 ----a-w c:\windows\system32\iashost.exe
2009-03-03 02:28 . 2009-04-15 14:01 26624 ----a-w c:\windows\system32\ieUnatt.exe
2008-12-18 15:37 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
.

((((((((((((((((((((((((((((( SnapShot@2009-05-21_16.40.11 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-11-02 13:02 . 2009-05-21 16:24 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2006-11-02 13:02 . 2009-05-21 16:45 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2006-11-02 13:02 . 2009-05-21 16:45 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2006-11-02 13:02 . 2009-05-21 16:24 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-02 13:02 . 2009-05-21 16:45 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2006-11-02 13:02 . 2009-05-21 16:24 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

1.) Start => Ausführen => combofix /u => OK

2.) http://www.trojaner-board.de/54192-a...tellungen.html

3.) Neues HJT-Log posten.

ciao, andreas

Geht das mit dem "Ausführen" auch bei Vista?

Ja. => http://www.trojaner-board.de/72647-b...ktivieren.html

ciao, andreas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:19, on 21.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\Explorer.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_SAC91.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 2803 bytes

Hi,

das hier kannst du noch fixen:

so gefixt... sind wir jetz fertig :)

Meldet Avira noch etwas?
Wie gehts dem PC?

Mache bitte einen Vollständigen Systemscan mit der agressiven Einstellung.

Das Internet läuft super und es gibt keine langen ladezeiten mehr..

Und jetz mach ich grad den Filewalker

Ich hoffe das war jetz alles^^

Danke an alle Beteiligten die mir geholfen haben!!

Des Forum wird natürlich gleich an Bekannte weiterempfehlt

Poste erstmal das Log von Avira - Ich schaus mir dann an. Dann darfste gehen ;)

xD Ich habs gewusst^^ Wetten dann passt wieder i-was net ? :P

/edit Wie kann ich den überhaupt posten, wenns soweit is?

Doppelklicke auf das Avira Symbol ->Links auf Berichte/Erignisse gehen, Rechtsklick und Reportdatei anzeigen lassen.
Dann das was in dem Fensterle steht grade rauskopieren und hier rein posten :)

LoL.. Jedes mal, wenn ich den Luke Filewalker aktiviern will, muss ich dies 2x machen, weil sich das Programm beim ersten mal aufhängt, is aber nicht normal so?!

/edit Es hat sich erledigt.. darf nur net zu hastig sein

AntiVir Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 22. Mai 2009 19:06

Es wird nach 1414672 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : Markus
Computername : MARKUS-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 15:39:47
ANTIVIR3.VDF : 7.1.4.5 34304 Bytes 22.05.2009 16:18:19
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 21.05.2009 15:39:57
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 21.05.2009 15:39:57
AESCN.DLL : 8.1.2.3 127347 Bytes 21.05.2009 15:39:55
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 21.05.2009 15:39:55
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 21.05.2009 15:39:54
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.44 348532 Bytes 21.05.2009 15:39:48
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 21.05.2009 15:39:48
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 22. Mai 2009 19:06

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '91453' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'WMIADAP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <WinRE>
Beginne mit der Suche in 'E:\' <Data>


Ende des Suchlaufs: Freitag, 22. Mai 2009 20:36
Benötigte Zeit: 1:29:30 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

31042 Verzeichnisse wurden überprüft
605853 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
605850 Dateien ohne Befall
5144 Archive wurden durchsucht
3 Warnungen
2 Hinweise
91453 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

:daumenhoc Du bist entlassen. :)

ciao, andreas

Amen xD Jetz aber:

Danke an alle die, die mir geholfen haben^

:huepp:

Bitteschön :)

das geht aber uch kleener ;)

;P

;P nö.. tuts net^

xD du bist lieb