2 Trojaner aufm pc Turkojan und unbekannt :(
 

EDIT:
Sorry für die Rechtschreib Fehler war im Stress bitte aber trotzdem um Hilfe :]
------------------------------
Hey hab eben mein pc mit hijack gescannt und habs auf hijackthis.de auswerten lassen, da haben die gesagt das ich 2 trojaner aufm pc habe :(.
der eine heißte trukojan hab ich schon auf virustotal durchecken lassen, den anderen kann ich aber nicht checken lassen weil ich ihn nicht finde -,- leider war ich so dumm und hatte bisjetzt keine zeit mir Avira oder sonst ein Anti Virus Programm zu saugen leider war ich noch dümmer und hab die Firewall ausgestellt damit ich bei einem spiel hosten konnte -,-
hier noch das hijack logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:47, on 22.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe
C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Luky\AppData\Roaming\svchosts.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\explorer.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Luky\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = AOL - Willkommen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = AOL - Willkommen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = AOL - Willkommen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = AOL - Willkommen
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: 0 - {A1FB2F9A-D35E-11DD-8935-E46A56D89593} - C:\Program Files\oovootb\dtx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: ooVoo Toolbar - {A1FB2F9A-D35E-11DD-8935-E46A56D89593} - C:\Program Files\oovootb\dtx.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [DVDAgent] "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"
O4 - HKLM\..\Run: [TSMAgent] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
O4 - HKLM\..\Run: [CLMLServer for HP TouchSmart] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [TVAgent] "C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"
O4 - HKLM\..\Run: [SmartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [UpdatePDIRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "SOFTWARE\CyberLink\PowerDirector\7.0"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\SYSTEM32\ie5uinit.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Windows*Updates] c:\windows\system\Update.exe
O4 - HKCU\..\Run: [Svchosts] C:\Users\Luky\AppData\Roaming\svchosts.exe
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [oovoo.exe] C:\Program Files\ooVoo\oovoo.exe /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &AOL Toolbar-Suche - C:\ProgramData\AOL\ieToolbar\resources\de-DE\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\aestsrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

--
End of file - 10215 bytes

danke schonmal für die hilfe :schmoll:

MFG Luky

Hallo und :hallo:
Nein, viel schlimmer.
Das ist ein Remote Administration Tool, damit lässt sich ein Rechner komplett fernsteuern, nämlich deiner.

Trenne den Rechner sofort vom Netz.

Seit wann hast du den?

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hier das file
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Users\Luky\AppData\Roaming\svchosts.exe" not found!
Deletion of file "C:\Users\Luky\AppData\Roaming\svchosts.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system\Update.exe" not found!
Deletion of file "c:\windows\system\Update.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\SYSTEM32\ie5uinit.exe" deleted successfully.
Folder "C:\Program Files\ooVoo" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Da hier steht das die viren nicht exsistieren ist das schlimm ?is glaub ich meine Schuld denn als ich die Viruse gefunden habe hab ich Anti Vir gedownloadet und alles in quarantäne verschoben als der PC neugestaret war hab ich eben von Anti vir eine nachricht bekommen von Trojaner Agent oder so hab zugriff verweigert -,-
Aber noch schlimmer ist meine Eltern machen E-banking aber von einem anderen Rechner der aber mit dem gleichen WLAN Netzwerk verbunden ist is das schlimm ?
EDIT:
Sry für mein scheiß deutsch bin aber grad im stress hab kein bock system neu aufzusetzen
Ka zeit wann ich den virus hab -.-
Kann mich nicht vom netz trennen dann hab ich doch kein inet mehr ???

Frage mal Tante Gu nach Turkojan. Der Programmierer bietet den zweifelhaften Dienst an, eine spezielle Version anzufertigen, die von keinem Virenscanner erkannt wird. Ziemlich erschreckend oder nicht?
Ist dir also egal, dass deine Kennwörter geklaut sind, jemand wahllos deine Dateien löschen kann?
Benutze zeitweise den Rechner deiner Eltern.
Ja. Falls deine Eltern kein oder ein leicht zu knackendes Kennwort benutzen, dann schon.

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner C:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.

3.) Aktiviere den Wächter von Avira.

4.) Klicke auf "Für alle Neuen" in meiner Signatur und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Sorry ich meine nur ob ich das System neu ausetzen muss oder kann man dass auch so bereinigen, lade garde den Ordner hoch dauert aber lange wegen meinem schelchten WLAN -,-.
Können sich andere PC mit dem Virus infizieren ich meine in meine Netzwerk weil wie schon gesagt meine Eltern machen E-Banking -.-
MFG Luky
Danke nochma für deine Hilfe :daumenhoc
EDIT:
ups sry hab das mit den Rechner der Eltern usw. garnich gesehen war das ein EDIT?
Keine Ahnung ob meine Eltern ein einfaches PW haben hab aber eben bescheid gesagt
Sobald der upload fertig ist schick ich den Link ab und geh an einen anderen PC

Ja.
Man braucht das Programm nur zu löschen, aber ich kann dir nicht sagen, ob und was der Botmaster in der Zwischenzeit gemacht hat.

Es ist diese Ungewissheit, war es nur ein Skriptkiddie, der irgendwo bei Youtube ein Video gesehen hat und sich toll dabei vorkommt oder war es ein Krimineller, der an dein und deiner Eltern Geld kommen will?

Es lässt sich alles bereinigen, aber da du noch nicht einmal sagen kannst, seit wann du das hast, müsste jede einzelene Datei auf deinem Rechner kontrolliert werden. Wieviele hast du auf deinem Rechner? 100000? Dann rechne mal nach, wie lange das dauern würde.
Ja, das geht. MS bietet die Möglichkeit der administrativen Freigaben. Damit kannst du mit genügend Fachwissen und dem Kennwort (falls eins benutzt wurde) auf jeden Rechner im Netzwerk zugreifen.

ciao, andreas

[QUOTE=
Ja. Falls deine Eltern kein oder ein leicht zu knackendes Kennwort benutzen, [/QUOTE]

was für ein Kennwort meinst du jetzt überhaupt das Windows Benutzer KW oder das E-banking KW ? Glaube er das von Windows weil das E-banking ja ein KW haben muss...
Aber ich glaub ich hab noch mehr Viren/Trojaner aufm PC weil mein Avira immer noch zuschlägt...
Ich werde mein System heute noch neu aufsetzen muss ich da was beachten oder Festplatte formatieren usw.?

MFG Luky

EDIT:
Also müssen meine eltern so schnellst wie möglich das E-Banking PW ändern oder?
Naja mein PW sinn nich so wichtig...
Kann ich das irg. wie feststellen zeitwann ich den Virus habe könnte sein das das schon vor ein paar wochen war so vor 1-2 wennich 5 tage da hab ich mir vesrchiedene game hacks gesaugt nur zum testn :) kann da der trojaner mit eingebaut sein?

Ja. Viele benutzen aus Bequemlichkeit überhaupt keines und das ist ein Fest für jeden Hacker.
:aplaus: Gute Entscheidung. Wir haben eine sehr gute Anleitung mit Bildern, die leicht verständlich ist => http://www.trojaner-board.de/51262-a...sicherung.html

Wir sollten sicherheitshalber auch noch den Rechner deiner Eltern unter die Lupe nehmen, um das Schlimmste zu verhindern.

Klicke auf "Für alle Neuen" in meiner Signatur, arbeite die komplette Liste unter Punkt 2 ab und poste hier alle Logs.

Eine Analyse habe ich schon:
ciao, andreas

Edit:
Erklärung: Keylogger zeichnet alle deine Tastatureingaben auf (natürlich auch alle Kennwörter). PWS=Passwordstealer, also ändere alle deine Kennwörter, nachdem du neuinstalliert hast.

Damit sind sie auf der sicheren Seite. Das andere Programm ist für Videokonferenzen. Hast du eine Webcam?

Mustte ich das mit dem CCleaner auch bei meinem machn ????
Oder jez nur bei dem meiner Eltern?

Deinen Rechner setzt du neu auf, da musst du gar nichts mehr machen.

Jetzt geht es nur um den Rechner deiner Eltern.

ciao, andreas

Scheiße eben hat Avira Anti Vir 2 Trojaner festgestellt ich hab zugriff verweigern gedrückt
EDIT:
am pc meiner eltern !!!!

Ja, ich habe es befürchtet. :(

Bitte die genauen Funde nennen. Ich brauche Namen des Fundes und den genauen Pfad der Datei.

ciao, andreas

In der Datei 'C:\Dokumente und Einstellungen\Hauptidentität\Lokale Einstellungen\Temp\install.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/TOn.C.1' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\Hauptidentität\Lokale Einstellungen\Temp\dc.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dialer.144691' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Hier die viren -,-
irg. wie geht die hp hier manchmal down kann das sein oder ist das der virus :( ?
EDIT:
In der Datei 'C:\dokumente und einstellungen\hauptidentität\desktop\fmc\sacred\sacredtrn.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Virtl.22708' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

und noch einer ----....----
man das regt so auf

Ja, ab und zu bekommst du hier eine Informationsseite zu sehen, dass du 3 Minuten warten sollst, das ist leider normal.
Ja, das sieht übel aus. Der erste Fund könnte auch ein RAT sein, BDS=Backdoorserver, die Bezeichnungen von Avira sind leider eine Katastrophe. Hast du bei der ersten Datei "Zugriff verweigern" oder "In Quarantäne verschieben" gewählt. Die sollte bei Virustotal ausgewertet werden. Das kannst du machen oder wir machen das wie vorhin mit Avenger.

ciao, andreas

Erst verweigert dann kam das aber nommal dann hab ichs in Quarantäne -.-
Ist das System noch zu retten oder müssen das meine Eltern auch noch neu Aufsetzen...
EDIT:
Meine Eltern haben ein Geschäft dort ist noch ein altern Windows 98 angschossen am Netzwerk und drüben bei uns im Haus ist noch ein Windows XPler von dem ich vorhin aus geschriebn hatte dieser hatte aber keine Viren...
Nein da kommt keine Inf Seite sondern die ganz normale FireFox Seite Ladefehler seite?

Schalte den Wächter von Avira ab und hole die Datei wieder aus der Quarantäne. Sind deine Eltern zuhause?

ciao, andreas

Wie hole ich die datein Raus?
Und ja meine Eltern sind zuhause die verstehn aber fast garnix von Computern
da vesrteh ich mehr xDDD

So ist es meistens. ;)

Es könnte passieren, dass wir den Rechner auch plattmachen müssen, dann ist es natürlich besser, die Eltern vorher zu fragen.
Äh, unsere Aviraspezialistin ist gerade off, muss erstmal jemand finden, der sich mit Avira auskennt. Ist denn da keine Karte Quarantäne?

ciao, andreas

Muss ich das mit Malwarebytes noch machen weil ich ja die viren in quarantäne gschoben hab ´?
EDIT SCHON VON VORHER :D:
Meine Eltern haben ein Geschäft dort ist noch ein alten Windows 98 angschossen am Netzwerk und drüben bei uns im Haus ist noch ein Windows XPler von dem ich vorhin aus geschriebn hatte dieser hatte aber keine Viren...
Nein da kommt keine Inf Seite sondern die ganz normale FireFox Seite Ladefehler seite?

Das mit dem E-Banking da kann der doch garnichts überweisen oder?
Da brauch mann doch eine TAN Nummer zum überweisen und die Liste kriegt man doch per Post geschickt oder?
EDIT:
Muss man da noch was cleanen kann man die Files nicht einfach von Quarantäne aus löschen?

Ja, jetzt kannst du die Dateien löschen. Leere anschliessend den Papierkorb und aktiviere den Wächter von Avira wieder.

ciao, andreas

Du meinst die dateien die ich in Quarantäne geschoben hab xD?
Muss ich das mit Malwarebytes noch machen weil ich ja die viren in quarantäne gschoben hab ´?
Und was ist mit ebay account da auch pw ändern?

Ja, es ist aber technisch möglich (DNS-Changer) die Daten abzufangen und selbst zu benutzen.
Ja, jetzt kannst du die Dateien löschen. Leere anschliessend den Papierkorb und aktiviere den Wächter von Avira wieder.

Bist du sicher die richtige Install.exe genommen zu haben? Das ist nur Navipromo. Allerdings gefällt mir der letzte Fund gar nicht. Wie kommt denn ein Crack/Cheattool auf den Rechner deiner Eltern?
Poste das Log von Malwarebytes, sobald er fertig ist.
Alle Internetkennwörter ändern, aber von einem sauberen Rechner aus.

ciao, andreas

Aber der PC meiner Eltern ist jetzt sauber oder ?
Das mit dem Malewarebytes hab ich laufen lassen ich poste morgen den Link...
Ach das mit dem cheat tool :sleepy: das war wohl ich -,- als ich nochn bissel kleiner war und noch keinen eigenen Rechner hatte xDDD

Nein, noch lange nicht. Ich muss die Logs sehen, dann kann ich das sagen. Poste die Logs von Malwarebytes und die beiden von RSIT.
Na, da muss ich wohl mal ein ernstes Wort mit deinen Eltern reden. :D

ciao, andreas

och schade -,- ich schick es dann dauert das mit dem RSIT genauso lange wie mit dem Malwarebytes?

kann ich auch auf meinem pc der vista noch hatt xp aufspielen oder funktioniert das nicht oder musss ich was ebachten/machen?

Nein, keine 5 Minuten, das kannst du auch gleichzeitig machen, dann kann ich schonmal Logs lesen.
Das ist eine Frage der Treiber. Für aktuelle Laptops z.B. bekommst du keine XP-Treiber mehr, da wird es dann schwierig. Schau einfach in deinen Gerätemanager, welche Hardware du hast und lade dir vorher alle Treiber für XP herunter, wenn du alle bekommst, dann kannst du auch XP installieren.

ciao, andreas

hier die logs
Logfile of random's system information tool 1.06 (written by random/random)
Run by Hauptidentität at 2009-07-22 20:14:43
Microsoft Windows XP Professional Service Pack 1
System drive C: has 114 GB (75%) free of 153 GB
Total RAM: 447 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:07, on 22.07.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\ZipToA.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ULi5287\ULi5287.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\WindowsMsgEx\WindowsUpdate.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Iomega\Tools\IMGICON.EXE
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Hauptidentität\Desktop\RSIT.exe
C:\Programme\trend micro\Hauptidentität.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/c/00/00/04/46.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\styler\TB\StylerTB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\Msdxm6.ocx
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ULiRaid] C:\Programme\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] C:\WINDOWS\System32\WindowsMsgEx\WindowsUpdate.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: Iomega Backup-Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe
O4 - Global Startup: Iomega-Symbole.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O4 - Global Startup: VisualTaskTips.lnk = C:\Programme\VisualTaskTips\VisualTaskTips.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\System32\ZipToA.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe
O24 - Desktop Component 0: (no name) - file:///C:/Dokumente%20und%20Einstellungen/Hauptidentit%E4t/Desktop/Wraichu%5B1%5D.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/HAUPTI~1/LOKALE~1/Temp/msoclip1/01/clip_image001.gif

--
End of file - 9428 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 54248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll [2009-06-18 259696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [2007-05-30 325048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll [2009-04-28 470512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - StylerToolBar - C:\Programme\styler\TB\StylerTB.dll [2007-04-15 102400]
{8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WINDOWS\System32\Msdxm6.ocx [2000-04-21 844048]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll [2009-06-18 259696]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-11-11 90112]
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-10-13 344064]
"ULiRaid"=C:\Programme\ULi5287\ULi5287.exe [2005-08-23 409600]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"ADUserMon"=C:\Programme\Iomega\AutoDisk\ADUserMon.exe [2002-09-24 147456]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe [2001-10-15 196608]
"Generic Host Process for Win32 Services"=C:\WINDOWS\System32\WindowsMsgEx\WindowsUpdate.exe [2008-06-18 73729]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-07-13 414992]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-05-30 68856]
"BD"= []
"Steam"=C:\Programme\Steam\Steam.exe [2009-06-12 1217784]
"H/PC Connection Agent"=C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE [2004-02-03 401491]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe [2005-06-03 36975]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Iomega - Startoptionen.lnk]
C:\PROGRA~1\Iomega\Tools\IMGSTART.EXE [1999-08-17 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Iomega Backup-Terminplaner.lnk]
C:\PROGRA~1\Iomega\IOMEGA~2\dtiom98.exe [2000-04-25 1749038]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Iomega-Symbole.lnk]
C:\PROGRA~1\Iomega\Tools\IMGICON.EXE [1999-08-17 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OnlineControl.lnk]
C:\PROGRA~1\ONLINE~3\ocontrol.exe [2004-07-19 94208]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Iomega - Startoptionen.lnk - C:\Programme\Iomega\Tools\IMGSTART.EXE
Iomega Backup-Terminplaner.lnk - C:\Programme\Iomega\Iomega Backup\dtiom98.exe
Iomega-Symbole.lnk - C:\Programme\Iomega\Tools\IMGICON.EXE
IomegaWare.lnk - C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE
QuikSync.lnk - C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE
Sinus 1054 data WLAN Manager.lnk - C:\WINDOWS\Installer\{BC09EF51-99D1-4044-ABCB-D14839E38D79}\NewShortcut2.exe
VisualTaskTips.lnk - C:\Programme\VisualTaskTips\VisualTaskTips.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-10-14 47616]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-07-22 20:14:48 ----D---- C:\Programme\trend micro
2009-07-22 20:14:43 ----D---- C:\rsit
2009-07-22 18:42:49 ----D---- C:\Dokumente und Einstellungen\Hauptidentität\Anwendungsdaten\Malwarebytes
2009-07-22 18:42:41 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-22 18:42:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-22 18:24:14 ----D---- C:\Programme\CCleaner

======List of files/folders modified in the last 1 months======

2009-07-22 20:14:48 ----RD---- C:\Programme
2009-07-22 20:13:23 ----D---- C:\Programme\Mozilla Firefox
2009-07-22 20:13:10 ----D---- C:\WINDOWS\Temp
2009-07-22 18:42:43 ----D---- C:\WINDOWS\System32\drivers
2009-07-22 18:38:34 ----D---- C:\WINDOWS\Debug
2009-07-22 18:38:34 ----D---- C:\WINDOWS
2009-07-22 08:17:19 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-07-22 08:17:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-07-21 08:14:30 ----D---- C:\Programme\Steam
2009-07-20 14:55:05 ----SHD---- C:\WINDOWS\Installer
2009-07-20 12:19:12 ----D---- C:\WINDOWS\system32
2009-07-20 12:19:11 ----D---- C:\Dokumente und Einstellungen\Hauptidentität\Anwendungsdaten\AdobeUM
2009-07-17 11:48:47 ----A---- C:\WINDOWS\KTEL.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2009-05-28 45400]
R1 fwdrv;Firewall Driver; C:\WINDOWS\system32\drivers\fwdrv.sys [2005-12-15 274432]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2001-08-18 14080]
R1 khips;Kerio HIPS Driver; C:\WINDOWS\system32\drivers\khips.sys [2005-12-15 81920]
R2 A4SII300;A4SII300; C:\WINDOWS\System32\drivers\A4SII300.SYS [1998-02-26 25632]
R2 BrPar;BrPar; C:\WINDOWS\System32\drivers\BrPar.sys [2000-07-24 19537]
R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2001-08-17 55296]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\System32\DRIVERS\mdc8021x.sys [2006-06-27 15781]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\System32\DRIVERS\nwlnkipx.sys [2001-08-18 84864]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\System32\DRIVERS\nwlnknb.sys [2001-08-18 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\System32\DRIVERS\nwlnkspx.sys [2001-08-18 55936]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-11-22 3804416]
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2005-10-14 1379328]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 irsir;Microsoft serieller Infrarottreiber; C:\WINDOWS\System32\DRIVERS\irsir.sys [2001-08-17 18688]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\System32\drivers\mbamswissarmy.sys []
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 PCANDIS5;PCANDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\System32\PCANDIS5.SYS []
R3 PRISM_A02;Sinus 1054 data; C:\WINDOWS\System32\DRIVERS\PRISMA02.sys [2004-05-20 379456]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 ULI5261XP;ULi M526X Ethernet NT Driver; C:\WINDOWS\System32\DRIVERS\ULILAN51.SYS [2005-03-22 28672]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2002-08-29 28160]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2002-08-29 19328]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2002-08-29 51968]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2002-08-29 15744]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2002-08-29 24960]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader; C:\WINDOWS\System32\DRIVERS\TwkUsb2K.sys [2005-09-19 35275]
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\System32\DRIVERS\hamachi.sys [2007-11-02 25280]
S3 k750bus;Sony Ericsson 750 driver (WDM); C:\WINDOWS\System32\DRIVERS\k750bus.sys [2006-03-13 55216]
S3 k750mdfl;Sony Ericsson 750 USB WMC Modem Filter; C:\WINDOWS\System32\DRIVERS\k750mdfl.sys [2006-03-13 6576]
S3 k750mdm;Sony Ericsson 750 USB WMC Modem Drivers; C:\WINDOWS\System32\DRIVERS\k750mdm.sys [2006-03-13 89872]
S3 k750mgmt;Sony Ericsson 750 USB WMC Device Management Drivers; C:\WINDOWS\System32\DRIVERS\k750mgmt.sys [2006-03-13 81728]
S3 k750obex;Sony Ericsson 750 USB WMC OBEX Interface Drivers; C:\WINDOWS\System32\DRIVERS\k750obex.sys [2006-03-13 79488]
S3 sermouse;Serieller Maustreiber; C:\WINDOWS\System32\DRIVERS\sermouse.sys [2001-08-18 18176]
S3 SPR132;SPRx32 Serial Smart Card Reader; C:\WINDOWS\System32\DRIVERS\SPR132.sys [2003-10-10 181504]
S3 SPRx32 USB Smart Card Reader;SPRx32 USB Smart Card Reader; C:\WINDOWS\System32\DRIVERS\SPR332.sys [2003-10-13 63252]
S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader; C:\WINDOWS\System32\DRIVERS\TWKSER2K.sys [2004-08-25 185611]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 21760]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\System32\DRIVERS\wceusbsh.sys [2003-12-22 104064]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2004-08-11 18944]
S4 IntelIde;IntelIde; C:\WINDOWS\System32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 _IOMEGA_ACTIVE_DISK_SERVICE_;Iomega Active Disk; C:\Programme\Iomega\AutoDisk\ADService.exe [2002-09-24 151552]
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\System32\Ati2evxx.exe [2005-10-14 389120]
R2 Brother XP spl Service;BrSplService; C:\WINDOWS\System32\brsvc01a.exe [2002-04-12 57344]
R2 Iomega App Services;Iomega App Services; C:\PROGRA~1\Iomega\System32\AppServices.exe [2003-09-24 73728]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2001-08-18 12800]
R2 KPF4;Sunbelt Kerio Personal Firewall 4; C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe [2005-12-19 1368064]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2004-08-11 38912]
R2 ZipToA;ZipToA; C:\WINDOWS\System32\ZipToA.exe [2000-02-10 356352]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]
S4 Iomega Activity Disk2;Iomega Activity Disk2; []

-----------------EOF-----------------

info.txt logfile of random's system information tool 1.06 2009-07-22 20:15:14

======Uninstall list======

-->C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.42-->"C:\Programme\7-Zip\Uninstall.exe"
Active Disk-->C:\WINDOWS\unvise32.exe C:\Programme\Iomega\AutoDisk\uninstal.log
Adobe Flash Player ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A00000000001}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adventure Maker v4.3.0 (build1)-->"C:\Programme\Adventure Maker v4.3.0\unins000.exe"
ArtMoney SE v7.27-->"C:\Programme\ArtMoney\Uninstall\unins000.exe"
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Systemsteuerung-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
Avatar - Legends of The Arena-->MsiExec.exe /I{E2172DDB-919D-429A-A9CC-82A93FE0B24C}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BAT 2 EXE 1-->C:\WINDOWS\cadkasdeinst01.exe "C:\Programme\BAT 2 EXE 1\"
Brother HL-5040-->"C:\Programme\Brother\BRHL5040\IsUn0407.exe" -f"C:\Programme\Brother\BRHL5040\DeIsL1.isu" -cbruninst.dll
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CHIPDRIVE extern/intern/micro treiber 3.1-->MsiExec.exe /I{AA898D01-D4E3-43C6-8E25-70CA660B9F16}
dakota.ag-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FF748561-FFFE-11D3-A06B-00E02939A7B1}\setup.exe" -l0x7 -removeonly
ElsterFormular 2005/2006-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1C27C64B-D5CF-4881-A310-0BD2A0D21927}\setup.exe" -l0x7 -removeonly
Fraps-->"C:\Fraps\uninstall.exe"
Free Video to Mp3 Converter version 3.1-->"C:\Programme\Free Video to Mp3 Converter\unins000.exe"
Free YouTube to Mp3 Converter version 2.5-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Google Earth-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x7 -removeonly
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_9DE96A29E721D90A.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Haufe Formular-Manager-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\Formular-Manager\Formular-Manager.isu
HaufeReader-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\HaufeReader\HaufeReader.isu
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
hp deskjet 845c series (nur entfernen)-->C:\Programme\hp deskjet 845c series\hpfiui.exe -c -vdivid=HPF -vpnum=95 -vinstport=USB001 -vproduct=845c -huninstall
hp deskjet 845c series-->rundll32 hpzcon04.dll,VendorJettison hp deskjet 845c series
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
IomegaWare-->C:\WINDOWS\unin0407.exe -fC:\Programme\Iomega\DeIsL1.isu -c"C:\Programme\Iomega\Uninst.dll
iPhoto Plus 4-->C:\WINDOWS\unin0407.exe -f"C:\Programme\iPhoto Plus 4\DeIsL1.isu"
J2SE Runtime Environment 5.0 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150040}
klickIdent 13-->C:\Programme\klickIdent Herbst 2004\Uninstall.exe "C:\Programme\klickIdent Herbst 2004\Install.log"
klickTel Gold-Paket-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{080A2AE7-4AF0-438A-B661-C0B2825D8919}\setup.exe" -l0x7 -removeonly
KnightShift (Second Edition)-->C:\PROGRA~1\REALIT~1\KNIGHT~1\UNWISE.EXE C:\PROGRA~1\REALIT~1\KNIGHT~1\INSTALL.LOG
Lexware lohn + gehalt 2007-->C:\Programme\InstallShield Installation Information\{5554BFFD-EEF3-4C9F-889C-642AA25B1156}\setup.exe -runfromtemp -l0x0007 -removeonly
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MEDION-Navigator-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F0327B1-0B79-49BC-A0AE-4B5096E96A4D}\setup.exe" -l0x7
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft ActiveSync 3.7-->"C:\WINDOWS\ISUN0407.EXE" -f"C:\Programme\Microsoft ActiveSync\DeIsL1.isu" -c"C:\Programme\Microsoft ActiveSync\ceuninst.dll"
Microsoft Office 2000 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Nero 7 Premium-->MsiExec.exe /I{89247EDA-8288-49CE-A0CA-5EBC17D71031}
OGC Game Wizard for Legends of Cosrin V435-->"C:\Programme\OGC\Legends of Cosrin\unins000.exe"
OnlineControl 1.1-->C:\Programme\OnlineControl\.\unins000.exe
PC Sync Manager-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\PC Sync Manager\Uninst.isu"
Portal-->"C:\Programme\Steam\steam.exe" steam://uninstall/400
PSP Video 9 2.25-->C:\Programme\Red Kawa\Video Converter\uninstaller.exe
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
RPG Maker 2000 1.07b-->C:\WINDOWS\UnGins.exe "C:\Programme\ASCII\RPG2000\install.log"
RTP for RM2K (Png, Wav, Midi, Fonts)-->C:\WINDOWS\UnGins.exe "C:\Programme\ASCII\RPG2000\RTP\install.log"
Sinus 1054 data-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{BC09EF51-99D1-4044-ABCB-D14839E38D79}
Snej-Mod V6.0-->"C:\Dokumente und Einstellungen\Hauptidentität\Desktop\FMC\dia2\Dia MOD\unins000.exe"
SPRx32 SmartCard Reader-->MsiExec.exe /X{663E0A0E-1E01-4FED-878A-091781C052B5}
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Sunbelt Kerio Personal Firewall-->MsiExec.exe /X{A990EAA7-8941-4621-BC27-4F16261D3180}
sv.net-->C:\PROGRA~1\svnet\UNWISE.EXE C:\PROGRA~1\svnet\INSTALL.LOG
toolboxx Lexware minijobs-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Lexware\Lexware toolboxx\Lexware minijobs\TB_MJ.isu"
ULi LAN Driver-->C:\WINDOWS\System32\UnLAN.EXE RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{143BE018-D8F8-4014-8CB6-AF63F5799D21}\Setup.exe" -uninst
ULi Sata Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FDC53DC6-137A-4541-BFA2-A9BAE4A7FE99}\Setup.exe"
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
VistaMizer 1.2.1-->C:\WINDOWS\VistaMizer\Uninstall.exe
Visual Task Tips 2.1-->C:\Programme\VisualTaskTips\uninst.exe
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
xp-AntiSpy 3.96-1-->C:\Programme\xp-AntiSpy\Uninstall.exe
Yahoo! Install Manager-->C:\WINDOWS\System32\regsvr32 /u C:\PROGRA~1\Yahoo!\Common\YINSTH~1.DLL
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG
Youtube Video Downloader 3.12-->"C:\Programme\DownloadToolz\Youtube Video Downloader\unins000.exe"
Z-DBackup-->C:\WINDOWS\AKDeInstall.exe "/C:\Programme\Z-DBackup\"

======Hosts File======

127.0.0.1 SnGScriptConsole

======System event log======

Computer Name: XP
Event Code: 257
Message: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "C:\Programme\Windows Media Player\wmplayer.exe" wurde das Zeitlimit überschritten.

Record Number: 22796
Source Name: PlugPlayManager
Time Written: 20081209182417.000000+060
Event Type: Warnung
User:

Computer Name: XP
Event Code: 257
Message: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "C:\Programme\Windows Media Player\wmplayer.exe" wurde das Zeitlimit überschritten.

Record Number: 22795
Source Name: PlugPlayManager
Time Written: 20081209182417.000000+060
Event Type: Warnung
User:

Computer Name: XP
Event Code: 257
Message: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "C:\Programme\Windows Media Player\wmplayer.exe" wurde das Zeitlimit überschritten.

Record Number: 22794
Source Name: PlugPlayManager
Time Written: 20081209182417.000000+060
Event Type: Warnung
User:

Computer Name: XP
Event Code: 257
Message: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "C:\Programme\Windows Media Player\wmplayer.exe" wurde das Zeitlimit überschritten.

Record Number: 22793
Source Name: PlugPlayManager
Time Written: 20081209182417.000000+060
Event Type: Warnung
User:

Computer Name: XP
Event Code: 257
Message: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "C:\Programme\Windows Media Player\wmplayer.exe" wurde das Zeitlimit überschritten.

Record Number: 22792
Source Name: PlugPlayManager
Time Written: 20081209182417.000000+060
Event Type: Warnung
User:

=====Application event log=====

Computer Name: XP
Event Code: 2003
Message: EAPOL-Dienst wird ausgeführt

Record Number: 1267
Source Name: EAPOL
Time Written: 20070217091624.000000+060
Event Type: Informationen
User:

Computer Name: XP
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 1266
Source Name: H+BEDV AntiVir
Time Written: 20070217091539.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: XP
Event Code: 105
Message: Der Service wurde gestartet.

Record Number: 1265
Source Name: ZipToA
Time Written: 20070217091524.000000+060
Event Type: Informationen
User:

Computer Name: XP
Event Code: 2002
Message: Der EAPOL-Dienst wurde erfolgreich beendet.

Record Number: 1264
Source Name: EAPOL
Time Written: 20070216175150.000000+060
Event Type: Informationen
User:

Computer Name: XP
Event Code: 2003
Message: EAPOL-Dienst wird ausgeführt

Record Number: 1263
Source Name: EAPOL
Time Written: 20070216175150.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"nmode"=SR
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 4, GenuineIntel
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=0604
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"T-Sinus1054data_dir"=C:\Programme\DT\Sinus 1054 data\
"windir"=%SystemRoot%

-----------------EOF-----------------


kann das sein das der trojaner neue viren lädt xD???
eben schon ein neuen gefunden

hier der neue
In der Datei 'C:\programme\outlook express\xp14.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dialer.144691' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Ja, die heißen genauso, wie sie arbeiten: Trojan.Downloader. :)
:eek:
:eek: :headbang:

Rufe den Taskmanager mit [Strg][Alt][Entf] auf => Klick auf Taskmanager => Karte Prozesse => Suche WindowsUpdate.exe => Mausklick rechts => Prozess beenden

Lasse die Datei
bei virustotal.com auswerten oder lade sie hoch und schicke mir den Link.

ciao, andreas

hier das malewarebytes log

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2479
Windows 5.1.2600 Service Pack 1

22.07.2009 20:39:40
mbam-log-2009-07-22 (20-39-36).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 224538
Laufzeit: 1 hour(s), 53 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Generic Host Process for Win32 Services (Backdoor.Bot) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Bifrost (Backdoor.Bifrose) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\WindowsMsgEx\WindowsUpdate.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\win32\svchost.exe (Backdoor.Bifrose) -> No action taken.

Datei checked:
Datei WindowsUpdate.exe empfangen 2009.07.22 18:34:20 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/41 (2.44%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.22 -
AhnLab-V3 5.0.0.2 2009.07.22 -
AntiVir 7.9.0.222 2009.07.22 -
Antiy-AVL 2.0.3.7 2009.07.22 -
Authentium 5.1.2.4 2009.07.22 -
Avast 4.8.1335.0 2009.07.22 -
AVG 8.5.0.387 2009.07.22 -
BitDefender 7.2 2009.07.22 -
CAT-QuickHeal 10.00 2009.07.22 -
ClamAV 0.94.1 2009.07.22 -
Comodo 1733 2009.07.22 -
DrWeb 5.0.0.12182 2009.07.22 -
eSafe 7.0.17.0 2009.07.21 -
eTrust-Vet 31.6.6634 2009.07.22 -
F-Prot 4.4.4.56 2009.07.22 -
F-Secure 8.0.14470.0 2009.07.22 -
Fortinet 3.120.0.0 2009.07.22 -
GData 19 2009.07.22 -
Ikarus T3.1.1.64.0 2009.07.22 -
Jiangmin 11.0.800 2009.07.22 -
K7AntiVirus 7.10.799 2009.07.22 -
Kaspersky 7.0.0.125 2009.07.22 -
McAfee 5684 2009.07.22 -
McAfee+Artemis 5684 2009.07.22 -
McAfee-GW-Edition 6.8.5 2009.07.22 -
Microsoft 1.4903 2009.07.22 -
NOD32 4267 2009.07.22 -
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.22 -
Panda 10.0.0.14 2009.07.22 -
PCTools 4.4.2.0 2009.07.22 -
Prevx 3.0 2009.07.22 -
Rising 21.39.24.00 2009.07.22 -
Sophos 4.43.0 2009.07.22 Mal/GamePSW-C
Sunbelt 3.2.1858.2 2009.07.21 -
Symantec 1.4.4.12 2009.07.22 -
TheHacker 6.3.4.3.372 2009.07.21 -
TrendMicro 8.950.0.1094 2009.07.22 -
VBA32 3.12.10.8 2009.07.22 -
ViRobot 2009.7.22.1847 2009.07.22 -
VirusBuster 4.6.5.0 2009.07.22 -
weitere Informationen
File size: 73729 bytes
MD5...: 4456aea8dfde1edfc05d7fa85780ba54
SHA1..: 190967915cb31dd2ec6256662a464c577a48411a
SHA256: 09f3073e334661f75e5e0ae0bf4afe0ee50448be29a983d69cd0a4321f1f9c63
ssdeep: 384:mXI2oVXstkGV7RGhVUxbCR4jV/AB9a6kH/W1xq3UZU9w1xq3UZU9kw:etkU7
LFW4pAB9EfUZU9qZU9/
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x224b
timedatestamp.....: 0x4853c0e8 (Sat Jun 14 13:00:24 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x176b 0x2000 5.02 dedc57697fa7b9189a307eb7d11812be
.rdata 0x3000 0x10ca 0x2000 3.42 86b5561120136059778b8cb23148df2e
.data 0x5000 0x4d4 0x1000 0.14 736e8bcc590ada821603a677ad2d0ab6
.rsrc 0x6000 0xbe0c 0xc000 4.37 ea973c4df23b679d7749055891235243

( 6 imports )
> WININET.dll: InternetCloseHandle, FtpPutFileA, InternetConnectA, InternetOpenA
> KERNEL32.dll: QueryPerformanceCounter, CreateThread, TerminateThread, Sleep, GetModuleHandleW, GetModuleFileNameA, GetSystemDirectoryA, CreateDirectoryA, CopyFileA, GetTickCount, TerminateProcess, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetStartupInfoW, InterlockedCompareExchange, InterlockedExchange, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime
> USER32.dll: FindWindowA, GetAsyncKeyState, DefWindowProcW, KillTimer, EndPaint, BeginPaint, CreateWindowExW, RegisterClassExW, DispatchMessageW, TranslateMessage, GetMessageW, SetTimer, PostQuitMessage
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegSetValueExA, RegOpenKeyExA
> MSVCP80.dll: __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBDABV10@@Z, __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@ABV10@PBD@Z, __$_9DU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z
> MSVCR80.dll: __p__commode, __p__fmode, __set_app_type, _crt_debugger_hook, _except_handler4_common, __CxxFrameHandler3, _controlfp_s, _invoke_watson, __3@YAXPAX@Z, fopen, fputs, fclose, fputc, atoi, __2@YAPAXI@Z, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Bifrost ist auch ein RAT, der scheint euer komplettes Netzwerk gekapert zu haben. Den Rechner kannst du auch Neuaufsetzen.

Lade die Datei bitte hoch und schicke mir den Link. Die Antivirenprogramme erkennen den nicht, ich werde die Datei an die AVP-Hersteller schicken, damit sie die in Zukunft erkennen.

Du hast noch einen dritten Rechner erwähnt, den werden wir als nächstes kontrollieren. Erstelle zuerst die RSIT-Logs.

ciao, andreas

scheiße müssen wir den rechner wirklich neu aufsetzen geht das nicht anders?

Wir können es versuchen, aber das wird mindestens 3 Tage dauern, eher länger. Lasse erstmal alle Funde von Malwarebytes löschen, nachdem du die Datei hochgeladen hast.

Deine Eltern sollen sich vorher aber das hier durchlesen: http://en.wikipedia.org/wiki/Bifrost_(trojan_horse)

ciao, andreas

Oh ne der 3 PC is nich so wichtig der is sau alt da is garnix drauf den kann ich neu aufsetzen oder müssen wir da noch was entfernen?

Nein, wenn du den sowieso neuaufsetzt, dann brauchen wir daran nichts zu machen.

Der Rechner deiner Eltern macht mir wirklich Sorgen, der ist total veraltet, die Software ist nicht gepflegt, das ist ein RAT drauf und deine Eltern betreiben Onlinebanking. Bitte sprich mit deinen Eltern und erkläre ihn die Situation. Der sollte wirklich dringendst neuaufgesetzt werden.

ciao, andreas

Scheiße so blöd wie ich war seh ich grad das ich die dateien schon gelöscht hab???
Scheiße is das schlimm?
Aber irg. wie hatt der 3. PC noch keine Viren????
Muss ich dann den 3 PC auch neu aufsetzen?

Die kannst du aus der Quarantäne von Malwarebytes wiederherstellen.
Jetzt komme ich so langsam durcheinander mit den ganzen Rechnern. Der 3. war der mit Windows98? Ob da was ist kann ich sehen, wenn du die RSIT-Logs postest.

ciao, andreas

Sorry ne der 1 war meiner der 2 war der meiner Eltern und der 3 ist ein weiterer alter XPler der 98 war garnich im Netzwerk

Logfile of random's system information tool 1.06 (written by random/random)
Run by Besitzer at 2009-07-05 21:17:42
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 15 GB (78%) free of 19 GB
Total RAM: 127 MB (9% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:07, on 05.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Besitzer.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2274 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Sinus 1054 data WLAN Manager.lnk - C:\WINDOWS\Installer\{BC09EF51-99D1-4044-ABCB-D14839E38D79}\NewShortcut2.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Dokumente und Einstellungen\Besitzer\Desktop\Debbo v3.5\Debbo V3.5.exe"="C:\Dokumente und Einstellungen\Besitzer\Desktop\Debbo v3.5\Debbo V3.5.exe:*:Enabled:Debbo V3.5"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-07-05 21:17:42 ----D---- C:\rsit
2009-07-05 18:01:47 ----D---- C:\WINDOWS\LastGood
2009-07-05 17:59:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-07-05 17:59:13 ----D---- C:\Programme\Avira
2009-07-04 13:51:05 ----D---- C:\xxx
2009-07-03 23:04:10 ----A---- C:\WINDOWS\ntbtlog.txt
2009-06-29 03:01:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-06-29 03:01:18 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-06-29 03:00:56 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-06-16 11:15:58 ----D---- C:\Programme\Evrsoft First Page 2006

======List of files/folders modified in the last 1 months======

2009-07-05 21:17:47 ----D---- C:\WINDOWS\Prefetch
2009-07-05 20:53:37 ----D---- C:\Programme\Mozilla Firefox
2009-07-05 18:07:12 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-05 18:02:08 ----D---- C:\WINDOWS\system32\drivers
2009-07-05 18:02:07 ----HD---- C:\WINDOWS\inf
2009-07-05 18:01:47 ----D---- C:\WINDOWS
2009-07-05 17:59:13 ----RD---- C:\Programme
2009-07-05 17:57:30 ----SHD---- C:\WINDOWS\Installer
2009-07-05 17:57:27 ----D---- C:\WINDOWS\WinSxS
2009-07-05 17:40:26 ----D---- C:\WINDOWS\system32
2009-07-05 17:40:26 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-03 23:03:10 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-03 17:48:21 ----SD---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft
2009-06-29 03:01:37 ----HD---- C:\WINDOWS\$hf_mig$
2009-06-29 03:01:27 ----A---- C:\WINDOWS\imsins.BAK
2009-06-29 03:01:22 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-06-16 16:53:48 ----A---- C:\WINDOWS\system32\t2embed.dll
2009-06-16 16:53:48 ----A---- C:\WINDOWS\system32\fontsub.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\p3.sys [2004-08-04 46592]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2009-01-20 15781]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 327168]
R3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]
R3 es1969;ESS 1969-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 72192]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 PCANDIS5;PCANDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
R3 PRISM_A02;Sinus 1054 data; C:\WINDOWS\system32\DRIVERS\PRISMA02.sys [2004-05-20 379456]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-01-21 25280]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-05-11 185089]

-----------------EOF-----------------

info.txt logfile of random's system information tool 1.06 2009-07-05 21:18:14

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Evrsoft First Page 2006-->"C:\Programme\Evrsoft First Page 2006\unins000.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sinus 1054 data-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{BC09EF51-99D1-4044-ABCB-D14839E38D79}
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: RÖHRIG
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 5
Source Name: Service Control Manager
Time Written: 20090625152240.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: RÖHRIG
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 4
Source Name: Service Control Manager
Time Written: 20090625152240.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: RÖHRIG
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 3
Source Name: Service Control Manager
Time Written: 20090625152240.000000+120
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20090625152215.000000+120
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090625152215.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst ContentIndex (ContentIndex) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090119232011.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090119232005.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090119170156.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090119170055.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090119170053.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"T-Sinus1054data_dir"=C:\Programme\DT\Sinus 1054 data\

-----------------EOF-----------------

So ich geh dann auch mal ein bissl. fern schaun und vil. mein PC neuaufsetzen...
Danke nochmal morgen werde ich dir die Datei per PM schicken
cya
und dicksten dank :) hau rein andreas

Das ist der einzige saubere Rechner, den ihr noch habt. Wenn deine Eltern Onlinebanking machen möchten, dann erstmal von dem. Von dem kannst du auch alle Kennwörter ändern.

1.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

2.) Lade dir:

• Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
• Downloaddetails: Windows Internet Explorer 8 für Windows XP

Packe die am besten auf einem Memorystick, du wirst sie bei allen 3 Rechnern brauchen. Stelle erst wieder die Verbindung zum Internet her, nachdem du SP3 installiert hast. Besuche umgehend mit dem MSIE das Microsoftupdate und führe alle Updates durch.

3.) Installiere beide Pakete schonmal auf dem 3. Rechner.

ciao, andreas

Hey nochmal hab ich vorhin garnich aus eile gesagt was is eigentlich ein RAT???
Und könntest du mir das nochmal mit den Treibern für WIN XP erklären?
Solle ich dafür vil. neues Thema eröffnen oder gehört das hier überhaupt hin?

Remote Administration Tool. Turkojan und Bifrost, du erinnerst dich?
Wenn du SP3 installiert hast, dann erkennt XP üblicherweise die komplette Hardware, Ausnahmen sind Laptops, die für jeden Dreck ein Extra-Treiber brauchen.

Hier ist es ausführlich erklärt => http://www.trojaner-board.de/63543-a...ibersuche.html

Hast du schon mit deinen Eltern über deren Rechner gesprochen?

ciao, andreas

ja hab ich und ich werde den rechner gleich morgen aufsetzen oder mein vadder ruft ein typ an der isch damit auskennt ob wohl ich dach auch machen könnte
ach egal...
ich geh dann auch mal pennen also hau rein ty nochma :D

Luky

Dann kann ich dich entlassen. :)

ciao, andreas

Es ist schon interessant zu beobachten, wie von den 39 angemailten AVP/AMP-Herstellern reagiert wird. Die Mails wurden am 23.7. um 17:17 Uhr verschickt. Der erste Download erfolgte am 23.7. um 17:41 Uhr. Der letzte am 27.7. um 13:02 Uhr. Von den 39 Herstellern habe gerade einmal 14 die Dateien geladen. Klar, Malwarebytes zeigt ja auch nur Bifrost an, wird schon nicht so schlimm sein. :schmoll:

Es gibt schon einen Grund, warum ich kein AVP benutze.

ciao, andreas

Bedeutet, du verschickst die Links zu der Malware, nicht die Datei selber im Anhang?

@raman
So sind die Regeln im Uploadchannel, ich kann die Datei selbst gar nicht verschicken. Allerdings verschicke ich aufgrund technischer Gegebenheiten (Quota 3 MB) ab und zu die Dateien von meinem Spammailaccount. Das scheitert allerdings wiederum bei Einigen (z.B. Sophos) aufgrund deren Gegebenheiten. Scheinbar traut Sophos seinen eigenen Produkten nicht. :)

Auch wenn ich an anderen Stellen ständig am Kasperleverein herumlästere, ihre Reaktionszeit ist vorbildlich. Innerhalb von wenigen Stunden ist eine Reaktion da. Auch wenn einige Bearbeiter es dort nicht schaffen eine Datei herunterzuladen, aber das haben einige -wenige- Bearbeiter von Avira auch nicht geschafft. :)

Wenn wir schon dabei sind, die alte Emailadresse von F-Secure ist tot, trotz 15 minütiger Recherche habe ich keine neue gefunden. Hat jemand die aktuelle?

ciao, andreas

Bis gestern ging vsamples(at)f-secure.com noch............

@raman

Danke, hatte noch samples(at)f-secure.com drin, die ist mittlerweile tot.

ciao, andreas