|
"Malware Defense", Antivir und Systemwiederherstellung werden geblockt Hallo, ich bin neu hier und habe mich registriert in der Hoffnung, dass ihr mit bei meinem Problem helfen könnt. Seit Vorgestern habe ich Ärger mit einem Etwas welches: - im Minutentakt Popups aufgehen lässt mit dem Namen "Windows Security Alert" (welches meiner Meinung nach verdächtig gefaked aussieht) - mir automatisch "Malware Defense" installiert und zum Kauf der Vollversion rät - den Desktop mit Verknüpfungen mir unbekannter Pornoseiten vollspammt Und das eigentliche Problem wieso ich mich wie ein Käfer auf dem Rücken fühle ist, dass Programme wie Antivir und die Systemwiederherstellung nicht mehr ausführbar sind. Ich habe mich schon etwas über dieses Problem informiert und festgestellt, dass Mehrere davon betroffen sind, bitte dennoch um etwas Beistand, da es sicher bei jedem PC etwas anders aussieht und ich mich nicht mit diesen Logs auskenne. Ich habe mithilfe von RSIT einen Log erstellt (unten angehängt) und möchte noch bemerken, dass ich die "mbam-setup.exe" nicht ausführen kann (heruntergeladen ist sie). Vielen Dank im voraus, Andy15 info.txt logfile of random's system information tool 1.06 2010-01-07 18:08:35 ======Uninstall list====== -->G:\PROGRA~1\FOLDER~1\FOLDER~1.EXE UnInstall -->G:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL -->G:\WINDOWS\UNNeroVision.exe /UNINSTALL -->G:\WINDOWS\UNNMP.exe /UNINSTALL -->MsiExec.exe /I{8A42F680-2DD6-11D4-9A8C-0040F6982C20} -->MsiExec.exe /I{A2529672-574A-4A99-86A5-C1770A0E31FE} -->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{2638924D-DC58-4C40-BB1C-48C2B24B7B1B}\Setup.exe" -L0x7 -->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{52739387-B81C-4C55-9593-EB7A1044A657}\Setup.exe" -L0x7 -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 G:\WINDOWS\INF\PCHealth.inf Abenteuer auf dem Reiterhof-->G:\WINDOWS\IsUn0407.exe -f"g:\martina\programme\abenteuer reinterhof\Uninst.isu" Acronis True Image Home-->MsiExec.exe /X{419CF344-3D94-4DAD-99C8-EA7B00E5EA8B} Adobe Acrobat 4.0-->G:\WINDOWS\ISUN0407.EXE -f"G:\Programme\Gemeinsame Dateien\Adobe\Acrobat 4.0\NT\Uninst.isu" -c"G:\Programme\Gemeinsame Dateien\Adobe\Acrobat 4.0\NT\Uninst.dll" Adobe Download Manager 2.2 (Nur entfernen)-->"G:\Programme\Gemeinsame Dateien\Adobe\ESD\uninst.exe" Adobe Flash Player 10 ActiveX-->G:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->G:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe PhotoDeluxe Home Edition 4.0-->G:\WINDOWS\IsUn0407.exe -f"G:\Programme\Adobe\PhotoDeluxe Home Edition 4.0\Uninst.isu" Adobe Reader 7.0.9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70900000002} Adobe® Photoshop® Album Starter Edition 3.0-->MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B} Advance Wars Karteneditor-->G:\Andy\Programme\uninstall.exe Age of Empires III-->G:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{A8CF5C37-8EC5-4C33-BB4A-87F468B77D45} Ahnengalerie-->G:\WINDOWS\unin0407.exe -fG:\SoftKey\Ahnen\DeIsL1.isu Anno 1701-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{A2433A63-5F5D-40E5-B529-9123C2B3E734}\Setup.exe" -l0x7 -removeonly AOL Coach Version 1.0(Build:20040229.1 de)-->"G:\Programme\Gemeinsame Dateien\aolshare\Coach\AolCInUn.exe" -lang="de-de" AOL Deutschland-->G:\Programme\Gemeinsame Dateien\aolshare\Aolunins_de.exe AOL Meine Fotos Bildschirmschoner-->G:\Programme\Gemeinsame Dateien\AOL\Screensaver\uninst_ygpss.exe AOL Optimized Dial-In-->"G:\Programme\Gemeinsame Dateien\AOL\ACS\AcsUninstall.exe" /c Apple Mobile Device Support-->MsiExec.exe /I{763E8D6C-0098-4FF4-801A-3F311D2D9D80} Apple Software Update-->MsiExec.exe /I{492724FC-3B26-46B4-824F-3CE2722D9AA0} ArcSoft VideoImpression 1.6FP-->G:\WINDOWS\IsUn0407.exe -fG:\Programme\ArcSoft\VideoImpression\Uninst.isu Ask Toolbar-->"G:\Programme\AskBarDis\unins000.exe" ATI - Software Uninstall Utility-->G:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Control Panel-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver-->rundll32 G:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI HydraVision-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe" Aufstieg des Hexenkönigs™-->G:\Andy\Programme\Electronic Arts\Aufstieg des Hexenkönigs\EAUninstall.exe Avira AntiVir Personal - Free Antivirus-->G:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE Battlefield 2(TM) Demo-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{8BECF123-B0EF-4E51-B7F3-923EFE15CC4A}\setup.exe" -l0x9 -removeonly Brother MFL-Pro Suite-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{9A912C12-A7DA-44D7-BD57-5CA85E2F33E1}\Setup.exe" -l0x7 Brunin03.dll -removeonly Catan - Die erste Insel-->G:\WINDOWS\IsUn0407.exe -fG:\Andy\PROGRA~1\Navigo\CATAN-~1\Uninst.isu -cG:\Andy\PROGRA~1\Navigo\CATAN-~1\CatanUninstall.dll ChessBase 7.0-->"G:\Andy\Programme\ChessBase\CB70\Remove.exe" /U:"G:\Andy\Programme\ChessBase\CB70\Remove.log" Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E} Corel Graphics Suite 11-->G:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1C63DD23-6554-4A1F-8D0D-B5A6B49D8015} Die Schlacht um Mittelerde™ II-->G:\Programme\Andy\Electronic Arts\Die Schlacht um Mittelerde II\EAUninstall.exe Die Sims 2: Wilde Campus-Jahre-->G:\Martina\Programme\EA GAMES\Die Sims 2 Wilde Campus-Jahre\EAUninstall.exe Die Sims 2-->G:\Martina\Programme\EA GAMES\Die Sims 2\EAUninstall.exe Die Sims™ 2 Haustiere-->G:\Moni\Programme\EA GAMES\Die Sims 2 Haustiere\EAUninstall.exe Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9} EA SPORTS online 2005-->G:\Andy\Programme\EA SPORTS\EA SPORTS online\EASOUNInstaller.exe ElsterFormular 2006/2007-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}\setup.exe" -l0x7 -removeonly ElsterFormular 2007/2008-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}\setup.exe" -l0x7 -removeonly ElsterFormular 2008/2009-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly FIFA 2005-->G:\Andy\Programme\EA SPORTS\FIFA 2005\EAUninstall.exe FINAL FANTASY VIII Demo-->G:\WINDOWS\IsUninst.exe -fg:\Andy\Uninst.isu FinePixViewer Ver.5.2-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{24ED4D80-8294-11D5-96CD-0040266301AD}\SETUP.EXE" -l0x7 Firebird SQL Server - MAGIX Edition (UK)-->G:\Martina\Programme\Common\Database\uninstall.exe flatster-->"G:\Martina\Programme\flatster\unins000.exe" Folder Access 2.1 Free Version-->G:\PROGRA~1\FOLDER~1\UNWISE.EXE G:\PROGRA~1\FOLDER~1\INSTALL.LOG Fraps-->"G:\Andy\Programme\Fraps\uninstall.exe" Free YouTube Download 2.3-->"G:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe" Free YouTube to Mp3 Converter version 3.1-->"G:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe" FUJIFILM USB Driver-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{5490882C-6961-11D5-BAE5-00E0188E010B}\SETUP.EXE" Game Cam 2.2-->G:\Programme\Game Cam V2\uninst.exe Game Maker 7.0-->G:\Programme\Game_Maker7\Uninstal.exe GameSpy Arcade-->G:\PROGRA~1\GAMESP~1\UNWISE.EXE G:\PROGRA~1\GAMESP~1\INSTALL.LOG Google Toolbar for Internet Explorer-->"G:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_0E996B068B56FCA2.exe" /uninstall Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C} HERMA Label Designer plus 1.1-->iwexec.exe /R {7DA64485-2CEE-4F7B-84AB-B287236703B6} HijackThis 2.0.2-->"G:\Programme\trend micro\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->G:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->G:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix for Windows Media Format 11 SDK (KB929399)-->"G:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"G:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"G:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"G:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"G:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"G:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" HP Imaging Device Functions 5.3-->G:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat HP Scanjet 3800 series-->G:\Programme\HP\Digital Imaging\{7C1673C5-CC42-4bba-9425-EE25E646CAE7}\setup\hpzscr01.exe -datfile hpgscr08.dat Hyplay-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{EFD0BFEB-980E-491B-833B-A8848E5E0F0F}\setup.exe" IconRipper-->G:\WINDOWS\uninst.exe -fg:\andy\programme\iconripper\DeIsL1.isu -cg:\andy\programme\iconripper\_ISREG32.DLL ICQ Toolbar-->G:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6.5-->"G:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly iTunes-->MsiExec.exe /I{974C05A0-C76C-4724-A9A2-11D5D1355729} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} LCP 5.04-->MsiExec.exe /I{1EFAF492-9A3B-48C3-9349-234B146FDA46} Learn2 Player (Uninstall Only)-->G:\Programme\Learn2.com\StRunner\stuninst.exe LEGO Rock Raiders-->G:\WINDOWS\IsUn0407.exe -f"c:\rock raiders\Uninst.isu" Magic Match 2-->"G:\Programme\Oberon Media\Magic Match 2\Uninstall.exe" "G:\Programme\Oberon Media\Magic Match 2\install.log" MAGIX MP3 Maker SE (D)-->G:\Martina\Programme\mp3maker\instslct.exe Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4} Microsoft .NET Framework 1.1 Security Update (KB953297)-->"G:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "G:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0 Language Pack - DEU-->G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->G:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Age of Empires II: The Conquerors Expansion-->"G:\Andy\Programme\Microsoft Games\Age of Empires II\UNINSTALX.EXE" /runtemp /addremove Microsoft Age of Empires II-->"G:\Andy\Programme\Microsoft Games\Age of Empires II\UNINSTAL.EXE" /runtemp /uninstall Microsoft Compression Client Pack 1.0 for Windows XP-->"G:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Office XP Professional-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0050048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"G:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C} Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Visual J# .NET Redistributable Package 1.1-->MsiExec.exe /X{1A655D51-1423-48A3-B748-8F5A0BE294C8} Moorhuhn X - XS-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{21BBAD12-C75F-4F06-A9B0-6F8BEEAF3846}\Setup.exe" -l0x7 -UNINST Mozilla Firefox (2.0.0.20)-->G:\Programme\Mozilla Firefox\uninstall\helper.exe MP4 Player -->G:\Programme\MP4 Player\uninst.exe MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94} MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96} Müller Fotowelt-->"G:\Programme\Müller Fotowelt\Müller Fotowelt\uninstall.exe" Multimedia Card Reader-->G:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{07B02BD4-E799-4945-B240-166CA9A9BE2D} /l1031 Nero Suite-->G:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID="" PaperPort-->MsiExec.exe /I{71C97545-E547-4A8B-B0C8-61FF853270AC} Playchess-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{70D9854A-CEF5-4BCF-B37A-0AA1AB0A83CF}\setup.exe" -l0x7 -removeonly PowerDVD-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall QuickTime-->MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC} RAR Password Recovery v1.1 RC17 (remove only)-->G:\Andy\Programme\Intelore\RAR Password Recovery\uninstall.exe RealPlayer Basic-->G:\Programme\Gemeinsame Dateien\Real\Update\\rnuninst.exe RealNetworks|RealPlayer|6.0 Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7} Shockwave-->G:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE G:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"G:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"G:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"G:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"G:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"G:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"G:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"G:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"G:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"G:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"G:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"G:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"G:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"G:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"G:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"G:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"G:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"G:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"G:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"G:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"G:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"G:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"G:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"G:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"G:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"G:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"G:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"G:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"G:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"G:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"G:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"G:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"G:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"G:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"G:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"G:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956390)-->"G:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"G:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"G:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"G:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"G:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"G:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"G:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"G:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"G:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"G:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"G:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"G:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"G:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"G:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"G:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"G:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"G:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"G:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"G:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"G:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"G:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"G:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"G:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"G:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"G:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"G:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"G:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"G:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"G:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"G:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"G:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"G:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"G:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"G:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"G:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"G:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972260)-->"G:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"G:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"G:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"G:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"G:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"G:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"G:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"G:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"G:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"G:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"G:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"G:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"G:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Sony Ericsson Media Manager 1.1-->MsiExec.exe /X{7E910FDA-CBBE-4451-8728-235E6A4DE162} Sony Ericsson PC Suite-->MsiExec.exe /I{FC906D5C-91F9-4DA4-A765-6DCBB669F317} Starcraft-->G:\WINDOWS\SCunin.exe G:\WINDOWS\SCunin.dat TeamSpeak 2 RC2-->G:\Andy\Programme\Teamspeak2_RC2\unins000.exe Theme Hospital-->G:\WINDOWS\unin0407.exe -f"g:\Andy\Programme\theme hospital\DeIsL1.isu" Theme Park World-->G:\WINDOWS\IsUn0407.exe -f"G:\Martina\Programme\Bullfrog\Theme Park World\Uninst.isu" -c"G:\Martina\Programme\Bullfrog\Theme Park World\uninst.dll" -BFLANG=7 T-Online 6.0-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{B1275E23-717A-4D52-997A-1AD1E24BC7F3}\setup.exe" CPAS T-Online ISDN SpeedManager-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{E863B0FB-A92C-11D5-9FA6-000374890932}\Setup.exe" -l0x7 T-Online WLAN-Access Finder-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{295C31E5-3F91-498E-9623-DA24D2FA2B6A}\Setup.exe" -L0x7 Trillian-->G:\Andy\Trillian\Trillian.exe /uninstall Uninstall 1.0.0.1-->"G:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->G:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows Internet Explorer 8 (KB973874)-->"G:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe" Update für Windows Internet Explorer 8 (KB976749)-->"G:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe" Update für Windows XP (KB951072-v2)-->"G:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"G:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"G:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB961503)-->"G:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"G:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"G:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"G:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"G:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"G:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" Viewpoint Media Player-->G:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u VLC media player 1.0.2-->G:\Programme\VideoLAN\VLC\uninstall.exe VR-NetWorld-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{8815F011-43AF-4F50-BBD8-D78ED3D6F5B9}\setup.exe" -l0x7 Webcam 2200-->G:\Programme\InstallShield Installation Information\{9BF745FA-1118-44D2-9362-179DA4B27AC6}\setup.exe -runfromtemp -l0x0007 -removeonly Wichtiges Update für Windows Media Player 11 (KB959772)-->"G:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Windows Imaging Component-->"G:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Internet Explorer 8-->"G:\WINDOWS\ie8\spuninst\spuninst.exe" Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4} Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6} Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52} Windows Live Essentials-->G:\Programme\Windows Live\Installer\wlarp.exe Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19} Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4} Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238} Windows Media Format 11 runtime-->"G:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"G:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"G:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"G:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"G:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR archiver-->G:\Programme\WinRAR\uninstall.exe WinSchafkopf XP-->G:\WINDOWS\unin0407.exe -fG:\Moni\Programme\purplehills\WinSchafkopf\DeIsL1.isu World of Warcraft-->G:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe Worms 4 Mayhem-->RunDll32 G:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "G:\Programme\InstallShield Installation Information\{45E7C481-3EF4-4FCB-AF0B-19F70D618F0C}\setup.exe" -l0x7 -removeonly ======Security center information====== AV: Malware Defense (outdated) AV: AntiVir Desktop (disabled) (outdated) ======System event log====== Computer Name: STEPHAN Event Code: 256 Message: Beim Senden der Benachrichtigung der Geräteschnittstellenänderung an Fenster von "SAS window" wurde das Zeitlimit überschritten. Record Number: 279669 Source Name: PlugPlayManager Time Written: 20091211055410.000000+060 Event Type: Warnung User: Computer Name: STEPHAN Event Code: 256 Message: Beim Senden der Benachrichtigung der Geräteschnittstellenänderung an Fenster von "SAS window" wurde das Zeitlimit überschritten. Record Number: 279668 Source Name: PlugPlayManager Time Written: 20091211055410.000000+060 Event Type: Warnung User: Computer Name: STEPHAN Event Code: 256 Message: Beim Senden der Benachrichtigung der Geräteschnittstellenänderung an Fenster von "SAS window" wurde das Zeitlimit überschritten. Record Number: 279667 Source Name: PlugPlayManager Time Written: 20091211055410.000000+060 Event Type: Warnung User: Computer Name: STEPHAN Event Code: 256 Message: Beim Senden der Benachrichtigung der Geräteschnittstellenänderung an Fenster von "SAS window" wurde das Zeitlimit überschritten. Record Number: 279666 Source Name: PlugPlayManager Time Written: 20091211055410.000000+060 Event Type: Warnung User: Computer Name: STEPHAN Event Code: 10010 Message: Der Server "{7D8C9B6E-B0A6-433A-90D7-D44D080013D8}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Record Number: 279665 Source Name: DCOM Time Written: 20091211055327.000000+060 Event Type: Fehler User: =====Application event log===== Computer Name: STEPHAN Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 5 Source Name: SecurityCenter Time Written: 20090803094551.000000+120 Event Type: Informationen User: Computer Name: STEPHAN Event Code: 105 Message: Record Number: 4 Source Name: LckFldService Time Written: 20090803094550.000000+120 Event Type: Informationen User: Computer Name: STEPHAN Event Code: 0 Message: Record Number: 3 Source Name: ICQ Service Time Written: 20090803094547.000000+120 Event Type: Informationen User: Computer Name: STEPHAN Event Code: 105 Message: The service was started. Record Number: 2 Source Name: ATI Smart Time Written: 20090803094544.000000+120 Event Type: Informationen User: Computer Name: STEPHAN Event Code: 1001 Message: Dateisystem auf G: wird überprüft. Der Typ des Dateisystems ist NTFS. Einer der Datenträger muss auf Konsistenz überprüft werden. Sie können die Datenträgerüberprüfung abbrechen, aber es wird ausdrücklich empfohlen, den Vorgang fortzusetzen. Die Datenträgerüberprüfung wird jetzt ausgeführt. Die Dateireferenz 0x900000000028d1 von Indexeintrag fla830.tmp von Index $I30 mit dem übergeordneten Element 0x4369 ist nicht die gleiche wie 0x910000000028d1. Indexeintrag fla830.tmp in Index $I30 der Datei 17257 wird gelöscht. Der Indexeintrag PLB1C3~1 von Index $I30 in der Datei 0x4369 verweist auf die nicht verwendete Datei 0x19735. Indexeintrag PLB1C3~1 in Index $I30 der Datei 17257 wird gelöscht. Der Indexeintrag plugtmp-16 von Index $I30 in der Datei 0x4369 verweist auf die nicht verwendete Datei 0x19735. Indexeintrag plugtmp-16 in Index $I30 der Datei 17257 wird gelöscht. Die Dateireferenz 0x149000000001176 von Indexeintrag bookmarks.html von Index $I30 mit dem übergeordneten Element 0x917e ist nicht die gleiche wie 0x14a000000001176. Indexeintrag bookmarks.html in Index $I30 der Datei 37246 wird gelöscht. Die Dateireferenz 0x149000000001176 von Indexeintrag BOOKMA~1.HTM von Index $I30 mit dem übergeordneten Element 0x917e ist nicht die gleiche wie 0x14a000000001176. Indexeintrag BOOKMA~1.HTM in Index $I30 der Datei 37246 wird gelöscht. Der Indexeintrag prefs.js von Index $I30 in der Datei 0x917e verweist auf die nicht verwendete Datei 0x10b96. Indexeintrag prefs.js in Index $I30 der Datei 37246 wird gelöscht. Kleinere Inkonsistenzen auf dem Laufwerk werden aufgeräumt. CHKDSK stellt verlorene Dateien wieder her. Verwaiste Datei BOOKMA~1.BAK (2580) wird in Verzeichnisdatei 37246 wiederhergestellt. Verwaiste Datei bookmarks.bak (2580) wird in Verzeichnisdatei 37246 wiederhergestellt. Verwaiste Datei prefs.js (4470) wird in Verzeichnisdatei 37246 wiederhergestellt. Verwaiste Datei AVP834.tmp (23525) wird in Verzeichnisdatei 72 wiederhergestellt. Verwaiste Datei AVP835.tmp (42046) wird in Verzeichnisdatei 72 wiederhergestellt. 43 nicht verwendete Indexeinträge aus Index $SII der Datei 0x9 werden aufgeräumt. 43 nicht verwendete Indexeinträge aus Index $SDH der Datei 0x9 werden aufgeräumt. 43 nicht verwendete Sicherheitsbeschreibungen werden aufgeräumt. CHKDSK hat freien Speicher gefunden, der in der MFT-Bitmap (Master File Table) als zugeordnet gekennzeichnet ist. Fehler in Volumebitmap werden berichtigt. Windows hat Probleme im Dateisystem behoben. 78140128 KB Speicherplatz auf dem Datenträger insgesamt 66771120 KB in 129693 Dateien 57592 KB in 12860 Indizes 0 KB in fehlerhaften Sektoren 214912 KB vom System benutzt 65536 KB von der Protokolldatei belegt 11096504 KB auf dem Datenträger verfügbar 4096 Bytes in jeder Zuordnungseinheit 19535032 Zuordnungseinheiten auf dem Datenträger insgesamt 2774126 Zuordnungseinheiten auf dem Datenträger verfügbar Interne Informationen: d0 39 02 00 e3 2c 02 00 0d 65 03 00 00 00 00 00 .9...,...e...... e7 07 00 00 02 00 00 00 e3 03 00 00 00 00 00 00 ................ 34 e2 30 04 00 00 00 00 b6 81 6b 70 00 00 00 00 4.0.......kp.... 1e 74 83 0d 00 00 00 00 00 00 00 00 00 00 00 00 .t.............. 00 00 00 00 00 00 00 00 52 17 1b 8a 00 00 00 00 ........R....... 99 9e 36 00 00 00 00 00 e8 37 07 00 9d fa 01 00 ..6......7...... 00 00 00 00 00 c0 62 eb 0f 00 00 00 3c 32 00 00 ......b.....<2.. Die Überprüfung des Datenträgers wurde abgeschlossen. Bitte warten Sie bis der Computer neu gestartet wurde. Record Number: 1 Source Name: Winlogon Time Written: 20090803094534.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;G:\Programme\ATI Technologies\ATI Control Panel;G:\Programme\ATI Technologies\ATI.ACE\Core-Static;G:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\;G:\Programme\QuickTime\QTSystem\;G:\Programme\Gemeinsame Dateien\Teleca Shared "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 10, AuthenticAMD "PROCESSOR_REVISION"=040a "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "CLASSPATH"=.;G:\Programme\QuickTime\QTSystem\QTJava.zip "QTJAVA"=G:\Programme\QuickTime\QTSystem\QTJava.zip -----------------EOF----------------- Logfile of random's system information tool 1.06 (written by random/random) Run by default at 2010-01-07 18:08:18 Microsoft Windows XP Home Edition Service Pack 3 System drive G: has 33 GB (43%) free of 76 GB Total RAM: 767 MB (53% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:08:31, on 07.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\system32\brsvc01a.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\system32\brss01a.exe G:\WINDOWS\Explorer.EXE G:\Programme\ScanSoft\PaperPort\pptd40nt.exe G:\Programme\Brother\Brmfcmon\BrMfcWnd.exe G:\Programme\Real\RealPlayer\RealPlay.exe G:\Programme\Brother\ControlCenter3\brccMCtl.exe G:\Programme\QuickTime\qttask.exe G:\WINDOWS\PixArt\PAC7302\Monitor.exe G:\Martina\Programme\iTunes\iTunesHelper.exe G:\Andy\Programme\3.0\Apps\apdproxy.exe G:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe G:\WINDOWS\system32\ctfmon.exe G:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe G:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe G:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe G:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe G:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe G:\Programme\ICQ6Toolbar\ICQ Service.exe G:\WINDOWS\system32\LckFldService.exe G:\WINDOWS\system32\svchost.exe G:\PROGRA~1\MOZILL~1\FIREFOX.EXE G:\Programme\iPod\bin\iPodService.exe G:\Dokumente und Einstellungen\default\Desktop\RSIT.exe G:\Programme\trend micro\default.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - G:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - G:\Programme\AskBarDis\bar\bin\askBar.dll (file missing) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - G:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - G:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - G:\Programme\AskBarDis\bar\bin\askBar.dll (file missing) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - G:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [PaperPort PTD] G:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [BrMfcWnd] G:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] G:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [RealTray] G:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PAC7302_Monitor] G:\WINDOWS\PixArt\PAC7302\Monitor.exe O4 - HKLM\..\Run: [iTunesHelper] "G:\Martina\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "G:\Andy\Programme\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "G:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [avgnt] "G:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] G:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Martina\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Martina\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - G:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Andy\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Andy\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/obj/NpFv415.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - G:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - G:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - G:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - G:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - G:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - G:\WINDOWS\system32\brsvc01a.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - G:\Martina\Programme\Common\Database\bin\fbserver.exe (file missing) O23 - Service: Google Software Updater (gusvc) - Google - G:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - G:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - G:\Programme\iPod\bin\iPodService.exe O23 - Service: LckFldService - Unknown owner - G:\WINDOWS\system32\LckFldService.exe O23 - Service: UPnPService - Unknown owner - G:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 8975 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}] XTTBPos00 Class - G:\PROGRA~1\ICQTOO~1\toolbaru.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - G:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] AskBar BHO - G:\Programme\AskBarDis\bar\bin\askBar.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - G:\Programme\Java\jre1.6.0_03\bin\ssv.dll [2007-09-25 501136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - G:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-27 263280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - G:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-11-27 764912] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - G:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808] {3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - G:\Programme\AskBarDis\bar\bin\askBar.dll [] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - G:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-27 263280] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "PaperPort PTD"=G:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2005-03-17 57393] "BrMfcWnd"=G:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2006-03-28 622592] "ControlCenter3"=G:\Programme\Brother\ControlCenter3\brctrcen.exe [2006-04-10 61440] "RealTray"=G:\Programme\Real\RealPlayer\RealPlay.exe [2007-02-12 26112] "QuickTime Task"=G:\Programme\QuickTime\qttask.exe [2007-06-29 286720] "PAC7302_Monitor"=G:\WINDOWS\PixArt\PAC7302\Monitor.exe [2006-11-03 319488] "iTunesHelper"=G:\Martina\Programme\iTunes\iTunesHelper.exe [2007-08-15 271672] "Adobe Photo Downloader"=G:\Andy\Programme\3.0\Apps\apdproxy.exe [2005-06-23 57344] "Sony Ericsson PC Suite"=G:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2006-11-24 487424] "avgnt"=G:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=G:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer] G:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [2004-11-09 497240] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] G:\Martina\Programme\ICQLite\ICQLite.exe -minimize [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoCockpit] G:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE [2007-01-16 176128] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] G:\Programme\Messenger\msmsgs.exe /background [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] G:\Programme\QuickTime\qttask.exe [2007-06-29 286720] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] G:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] G:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe] G:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe [2007-02-15 282624] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\G:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk] G:\PROGRA~1\AOL9~1.0\aoltray.exe [2004-05-10 156784] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\G:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VR-NetWorld Auftragsprüfung.lnk] G:\PROGRA~1\VR-NET~1\VRTOOL~1.EXE [2009-12-02 565248] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\G:^Dokumente und Einstellungen^Andy^Startmenü^Programme^Autostart^T-Online ISDN SpeedManager.lnk] G:\PROGRA~1\T-Online\T-ONLI~2\TOMCAT.EXE [2006-12-08 1101824] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\G:^Dokumente und Einstellungen^Moni^Startmenü^Programme^Autostart^T-Online ISDN SpeedManager.lnk] G:\PROGRA~1\T-Online\T-ONLI~2\TOMCAT.EXE [2006-12-08 1101824] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\G:^Dokumente und Einstellungen^Stephan^Startmenü^Programme^Autostart^T-Online ISDN SpeedManager.lnk] G:\PROGRA~1\T-Online\T-ONLI~2\TOMCAT.EXE [2006-12-08 1101824] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "MZCCntrl"=2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] G:\WINDOWS\system32\Ati2evxx.dll [2007-02-02 110592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] G:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - G:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "authentication packages"=msv1_0 relog_ap [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "G:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="G:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL" "G:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="G:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL" "G:\Programme\AOL 9.0\waol.exe"="G:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0" "G:\Programme\Windows Live\Messenger\wlcsdk.exe"="G:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "G:\Programme\Windows Live\Messenger\msnmsgr.exe"="G:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2010-01-07 18:08:19 ----D---- G:\Programme\trend micro 2010-01-07 18:08:18 ----D---- G:\rsit 2010-01-06 18:32:18 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\ICQ 2010-01-06 11:32:25 ----D---- G:\default 2010-01-05 21:58:41 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\T-Online 2010-01-05 21:46:41 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\Macromedia 2010-01-05 21:45:27 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\Mozilla 2010-01-05 21:39:22 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\Teleca 2010-01-05 21:37:53 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\Adobe 2010-01-05 21:37:48 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\Sony Ericsson 2010-01-05 21:37:39 ----D---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\Identities 2010-01-05 21:37:31 ----SD---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\Microsoft 2010-01-05 21:37:31 ----ASH---- G:\Dokumente und Einstellungen\default\Anwendungsdaten\desktop.ini 2010-01-05 19:11:29 ----D---- G:\Programme\Avira 2010-01-05 19:11:29 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2010-01-05 18:42:08 ----A---- G:\avenger.txt 2010-01-05 14:04:57 ----A---- G:\WINDOWS\system32\krl32mainweq.dll 2009-12-23 15:15:55 ----D---- G:\Programme\Hyplay 2009-12-23 15:15:53 ----D---- G:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2009-12-23 15:15:49 ----D---- G:\Programme\Gemeinsame Dateien\Windows Live 2009-12-23 15:15:49 ----D---- G:\Programme\Gemeinsame Dateien\SWF Studio 2009-12-23 15:15:48 ----D---- G:\Programme\Gemeinsame Dateien\ScanSoft Shared 2009-12-23 15:15:48 ----D---- G:\Programme\Gemeinsame Dateien\ODBC 2009-12-23 15:15:48 ----D---- G:\Programme\Gemeinsame Dateien\Oberon Media 2009-12-23 15:15:47 ----D---- G:\Programme\Gemeinsame Dateien\Nullsoft 2009-12-23 15:15:47 ----D---- G:\Programme\Gemeinsame Dateien\Nero 2009-12-23 15:15:45 ----D---- G:\Programme\Gemeinsame Dateien\Marmiko Shared 2009-12-23 15:15:45 ----D---- G:\Programme\Gemeinsame Dateien\MAGIX Shared 2009-12-23 15:15:39 ----D---- G:\Programme\Gemeinsame Dateien\Lexware 2009-12-23 15:15:39 ----D---- G:\Programme\Gemeinsame Dateien\Java 2009-12-23 15:15:32 ----D---- G:\Programme\Gemeinsame Dateien\InstallShield 2009-12-23 15:15:32 ----D---- G:\Programme\Gemeinsame Dateien\Hypnotizer 2009-12-23 15:15:30 ----D---- G:\Programme\Gemeinsame Dateien\Hewlett-Packard 2009-12-23 15:15:24 ----D---- G:\Programme\Gemeinsame Dateien\DVDVideoSoft 2009-12-23 15:15:24 ----D---- G:\Programme\Gemeinsame Dateien\Dienste 2009-12-23 15:15:22 ----D---- G:\Programme\Gemeinsame Dateien\Designer 2009-12-23 15:15:22 ----D---- G:\Programme\Gemeinsame Dateien\Corel 2009-12-23 15:15:21 ----D---- G:\Programme\Gemeinsame Dateien\Blizzard Entertainment 2009-12-23 15:15:16 ----D---- G:\Programme\Gemeinsame Dateien\aolshare 2009-12-23 15:15:09 ----D---- G:\Programme\Gemeinsame Dateien\Ahead 2009-12-23 15:15:07 ----D---- G:\Programme\Gemeinsame Dateien\Adobe 2009-12-23 15:15:02 ----D---- G:\Programme\CyberLink 2009-12-23 15:14:26 ----D---- G:\Programme\Corel 2009-12-23 15:14:11 ----D---- G:\Programme\Apple Software Update 2009-12-23 15:13:59 ----D---- G:\Programme\AOL 9.0 2009-12-10 21:49:28 ----A---- G:\WINDOWS\system32\d3dx9_24.dll 2009-12-09 22:47:57 ----HDC---- G:\WINDOWS\$NtUninstallKB970430$ 2009-12-09 22:47:49 ----HDC---- G:\WINDOWS\$NtUninstallKB974318$ 2009-12-09 22:46:59 ----HDC---- G:\WINDOWS\$NtUninstallKB973904$ 2009-12-09 22:46:52 ----HDC---- G:\WINDOWS\$NtUninstallKB974392$ 2009-12-09 22:46:41 ----HDC---- G:\WINDOWS\$NtUninstallKB971737$ 2009-12-08 19:01:28 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2009-12-08 19:00:57 ----D---- G:\Programme\Gemeinsame Dateien\Sony Ericsson Shared 2009-12-08 19:00:44 ----D---- G:\Programme\Gemeinsame Dateien\Teleca Shared 2009-12-08 19:00:42 ----D---- G:\Programme\Sony Ericsson 2009-12-08 19:00:42 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca ======List of files/folders modified in the last 1 months====== 2010-01-07 18:08:19 ----RD---- G:\Programme 2010-01-07 17:53:05 ----D---- G:\WINDOWS\Temp 2010-01-07 17:53:05 ----D---- G:\WINDOWS\system32 2010-01-07 17:52:28 ----A---- G:\WINDOWS\system32\lckfldservicelog.txt 2010-01-07 13:01:28 ----A---- G:\WINDOWS\SchedLgU.Txt 2010-01-06 18:17:06 ----D---- G:\WINDOWS\Prefetch 2010-01-05 22:07:46 ----D---- G:\WINDOWS 2010-01-05 22:00:29 ----SHD---- G:\WINDOWS\Installer 2010-01-05 22:00:29 ----HD---- G:\Config.Msi 2010-01-05 22:00:28 ----D---- G:\WINDOWS\WinSxS 2010-01-05 21:55:34 ----D---- G:\WINDOWS\system32\drivers 2010-01-05 21:55:33 ----HD---- G:\WINDOWS\inf 2010-01-05 21:55:27 ----D---- G:\WINDOWS\system32\CatRoot2 2010-01-05 21:39:28 ----SHD---- G:\RECYCLER 2010-01-05 21:37:41 ----A---- G:\WINDOWS\OEWABLog.txt 2010-01-05 21:37:31 ----D---- G:\Dokumente und Einstellungen 2010-01-05 18:58:47 ----D---- G:\Andy 2009-12-29 09:02:24 ----D---- G:\Programme\VR-NetWorld 2009-12-25 10:53:12 ----D---- G:\Programme\FinePixViewer 2009-12-23 15:18:18 ----D---- G:\WINDOWS\system32\config 2009-12-23 15:17:53 ----D---- G:\WINDOWS\system32\wbem 2009-12-23 15:17:53 ----D---- G:\WINDOWS\Registration 2009-12-23 15:17:20 ----HD---- G:\Programme\InstallShield Installation Information 2009-12-23 15:17:20 ----D---- G:\Programme\Gemeinsame Dateien 2009-12-23 15:17:19 ----D---- G:\Programme\Google 2009-12-23 15:13:53 ----SD---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2009-12-23 15:13:36 ----D---- G:\WINDOWS\system32\Restore 2009-12-18 21:05:40 ----D---- G:\Programme\Adobe 2009-12-18 18:44:44 ----A---- G:\WINDOWS\NeroDigital.ini 2009-12-13 15:38:18 ----D---- G:\Programme\Mozilla Firefox 2009-12-10 21:49:38 ----RSD---- G:\WINDOWS\assembly 2009-12-10 21:49:38 ----D---- G:\WINDOWS\system32\DirectX 2009-12-10 12:51:37 ----A---- G:\WINDOWS\system32\PerfStringBackup.INI 2009-12-09 22:48:00 ----RSHDC---- G:\WINDOWS\system32\dllcache 2009-12-09 22:47:53 ----A---- G:\WINDOWS\imsins.BAK 2009-12-09 22:47:39 ----D---- G:\Programme\Internet Explorer 2009-12-09 22:47:27 ----D---- G:\WINDOWS\ie8updates 2009-12-09 22:47:21 ----HD---- G:\WINDOWS\$hf_mig$ 2009-12-08 19:04:14 ----DC---- G:\WINDOWS\system32\DRVSTORE 2009-12-08 19:00:25 ----D---- G:\WINDOWS\Downloaded Installations 2009-12-08 18:55:23 ----RSD---- G:\WINDOWS\Fonts 2009-12-08 18:55:18 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK8;AMD Athlon64-Prozessortreiber; G:\WINDOWS\system32\DRIVERS\AmdK8.sys [2003-11-07 38400] R1 avgio;avgio; \??\G:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; G:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 SSHDRV76;SSHDRV76; \??\G:\WINDOWS\system32\drivers\SSHDRV76.sys [] R1 SSHDRV86;SSHDRV86; \??\G:\WINDOWS\system32\drivers\SSHDRV86.sys [] R1 ssmdrv;ssmdrv; G:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 ASCTRM;ASCTRM; G:\WINDOWS\system32\drivers\ASCTRM.sys [2007-02-12 8552] R2 Aspi32;Aspi32; G:\WINDOWS\System32\drivers\aspi32.sys [2007-02-13 16512] R2 atksgt;atksgt; G:\WINDOWS\system32\DRIVERS\atksgt.sys [2007-02-16 271360] R2 avgntflt;avgntflt; G:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] R2 GDTdiInterceptor;GDTdiInterceptor; \??\G:\WINDOWS\system32\drivers\GDTdiIcpt.sys [] R2 lirsgt;lirsgt; G:\WINDOWS\system32\DRIVERS\lirsgt.sys [2007-02-16 18048] R2 tifsfilter;Acronis True Image FS Filter; G:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2007-10-31 32768] R3 ALCXSENS;Service for WDM 3D Audio Driver; G:\WINDOWS\system32\drivers\ALCXSENS.SYS [2003-12-11 391424] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); G:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-02-18 610988] R3 ati2mtag;ati2mtag; G:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-02-02 1975296] R3 AVMCOWAN;AVMCOWAN; G:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2003-06-18 51200] R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; G:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165] R3 GEARAspiWDM;GEARAspiWDM; G:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664] R3 TOMCATWAN;T-Online ISDN SpeedManager; G:\WINDOWS\system32\DRIVERS\TOMCAT.SYS [2007-01-15 161608] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; G:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; G:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbstor;USB-Massenspeichertreiber; G:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; G:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] R3 vulfnths;VIA USB Host Controller Lower Filter; G:\WINDOWS\System32\Drivers\vulfnth.sys [2005-01-05 6912] R3 vulfntrs;VIA USB Roothub Lower Filter; G:\WINDOWS\System32\Drivers\vulfntr.sys [2005-06-06 11264] R3 wanatw;WAN Miniport (ATW); G:\WINDOWS\system32\DRIVERS\wanatw4.sys [2003-01-10 33588] S1 kbdhid;Tastatur-HID-Treiber; G:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; G:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568] S3 BrScnUsb;Brother USB Still Image driver; G:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 15295] S3 CCDECODE;Untertiteldecoder; G:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 E100B;Intel(R) PRO-Adaptertreiber; G:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760] S3 FINEPIX_PCC;FinePix Digital Camera 020523; G:\WINDOWS\System32\Drivers\V4CB0115.SYS [2001-11-25 81924] S3 fpcibase;FRITZ!Card PCI; G:\WINDOWS\system32\DRIVERS\fpcibase.sys [2003-06-18 481408] S3 HidUsb;Microsoft HID Class-Treiber; G:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver; \??\G:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [] S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\G:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [] S3 mouhid;Maus-HID-Treiber; G:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; G:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver; \??\G:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [] S3 NABTSFEC;NABTS/FEC VBI-Codec; G:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; G:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 nm;Netzwerkmonitortreiber; G:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320] S3 nv;nv; G:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408] S3 PAC7302;PAC7302 VGA USB Camera; G:\WINDOWS\system32\DRIVERS\PAC7302.SYS [2007-06-14 457856] S3 se44bus;Sony Ericsson Device 068 driver (WDM); G:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536] S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; G:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360] S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; G:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088] S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); G:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624] S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); G:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704] S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; G:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432] S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); G:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800] S3 SLIP;BDA Slip De-Framer; G:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 streamip;BDA-IPSink; G:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 SunkFilt;Alcor Micro Corp Reader; \??\G:\WINDOWS\System32\Drivers\sunkfilt.sys [] S3 usbaudio;USB-Audiotreiber (WDM); G:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; G:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 usbprint;Microsoft USB-Druckerklasse; G:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; G:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 WpdUsb;WpdUsb; G:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528] S3 WSTCODEC;World Standard Teletext-Codec; G:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; G:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; G:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AcrSch2Svc;Acronis Scheduler2 Service; G:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2007-02-16 411168] R2 AOL ACS;AOL Connectivity Service; G:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe [2004-11-09 1140312] R2 Apple Mobile Device;Apple Mobile Device; G:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-08-15 106496] R2 Ati HotKey Poller;Ati HotKey Poller; G:\WINDOWS\system32\Ati2evxx.exe [2007-02-02 446464] R2 Brother XP spl Service;BrSplService; G:\WINDOWS\system32\brsvc01a.exe [2003-08-27 57344] R2 ICQ Service;ICQ Service; G:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968] R2 LckFldService;LckFldService; G:\WINDOWS\system32\LckFldService.exe [2005-06-22 36864] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; G:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R3 iPod Service;iPod-Dienst; G:\Programme\iPod\bin\iPodService.exe [2007-08-15 501048] S2 AntiVirSchedulerService;Avira AntiVir Planer; G:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] S2 AntiVirService;Avira AntiVir Guard; G:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] S2 ATI Smart;ATI Smart; G:\WINDOWS\system32\ati2sgag.exe [2007-02-02 520192] S3 aspnet_state;ASP.NET-Zustandsdienst; G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; G:\Martina\Programme\Common\Database\bin\fbserver.exe [] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; g:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 gusvc;Google Software Updater; G:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-01 182768] S3 IDriverT;InstallDriver Table Manager; G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632] S3 idsvc;Windows CardSpace; g:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 UPnPService;UPnPService; G:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2005-11-08 647242] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; G:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst; G:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; g:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- Ich hoffe, dass ich das bisjetzt richtig gemacht habe und bitte um weitere Schritte zur Bekämpfung. |
Hi, poste bitte ein Log von Gmer... Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Meldung kam direkt, habe ich das Richtige kopiert? GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover Rootkit quick scan 2010-01-07 19:33:38 Windows 5.1.2600 Service Pack 3 Running: zsrm8c7z.exe; Driver: G:\DOKUME~1\default\LOKALE~1\Temp\fwldypoc.sys ---- System - GMER 1.0.15 ---- Code 83B10FD8 ZwEnumerateKey Code 83B24E48 ZwFlushInstructionCache Code 83B14E96 IofCallDriver Code 83B17956 IofCompleteRequest ---- Devices - GMER 1.0.15 ---- Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys ---- Services - GMER 1.0.15 ---- Service G:\WINDOWS\system32\drivers\H8SRTomurrwabwu.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- |
Hi, Bereinigung für Rootkit "H8SRTd" Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris |
Hat soweit alles geklappt. MAM lies sich nach dem reboot auch ohne umbennenen installieren und der Full-Scan ist jetzt am laufen. Hier der Report vom Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at G:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "H8SRTd.sys" found! ImagePath: \systemroot\system32\drivers\H8SRTomurrwabwu.sys Start Type: 4 (Disabled) Rootkit scan completed. Driver "H8SRTd.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Hi, Rootkit ist nun "aus", also ran an den Feind ;) MAM im Fullscanmodus alles bereinigen lassen, danach Avira: Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Führe einen Systemscan durch und poste das Ergebnis! chris |
So habe über Nacht MAM und danach Avira durchlaufen lassen. Log von MAM: Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3509 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.01.2010 06:42:43 mbam-log-2010-01-08 (06-42-43).txt Scan-Methode: Vollständiger Scan (G:\|) Durchsuchte Objekte: 209856 Laufzeit: 3 hour(s), 7 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: G:\WINDOWS\system32\H8SRThrqakfhxdq.dll (Trojan.Vundo) -> Quarantined and deleted successfully. G:\WINDOWS\system32\H8SRTjkhltbqvka.dll (Trojan.Vundo) -> Quarantined and deleted successfully. G:\WINDOWS\system32\H8SRTniltimquiw.dll (Trojan.Vundo) -> Quarantined and deleted successfully. G:\WINDOWS\system32\drivers\H8SRTomurrwabwu.sys (Malware.Packer) -> Quarantined and deleted successfully. G:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. G:\WINDOWS\system32\H8SRTpqolmvgote.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. G:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temp\H8SRT33e.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. Log von Avira: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 8. Januar 2010 06:49 Es wird nach 1501318 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : STEPHAN Versionsinformationen: BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 21:00:54 VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 21:00:54 VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 21:00:54 VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 21:00:54 VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 21:00:54 VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 21:00:54 VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 21:00:54 VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 21:00:55 VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 21:00:55 VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 21:00:55 VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 21:00:55 VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 21:00:55 VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 21:00:57 VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 21:01:00 VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 21:01:02 VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 21:01:04 VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 21:01:07 VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 21:01:09 VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 21:01:12 VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 21:01:14 VBASE021.VDF : 7.10.2.94 2048 Bytes 29.12.2009 21:01:14 VBASE022.VDF : 7.10.2.95 2048 Bytes 29.12.2009 21:01:14 VBASE023.VDF : 7.10.2.96 2048 Bytes 29.12.2009 21:01:14 VBASE024.VDF : 7.10.2.97 2048 Bytes 29.12.2009 21:01:14 VBASE025.VDF : 7.10.2.98 2048 Bytes 29.12.2009 21:01:15 VBASE026.VDF : 7.10.2.99 2048 Bytes 29.12.2009 21:01:15 VBASE027.VDF : 7.10.2.100 2048 Bytes 29.12.2009 21:01:15 VBASE028.VDF : 7.10.2.101 2048 Bytes 29.12.2009 21:01:15 VBASE029.VDF : 7.10.2.102 2048 Bytes 29.12.2009 21:01:15 VBASE030.VDF : 7.10.2.103 2048 Bytes 29.12.2009 21:01:15 VBASE031.VDF : 7.10.2.126 197120 Bytes 05.01.2010 21:01:17 Engineversion : 8.2.1.130 AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52 AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05.01.2010 21:01:43 AESCN.DLL : 8.1.3.0 127348 Bytes 05.01.2010 21:01:40 AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44 AERDL.DLL : 8.1.3.4 479605 Bytes 05.01.2010 21:01:39 AEPACK.DLL : 8.2.0.4 422263 Bytes 05.01.2010 21:01:36 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38 AEHEUR.DLL : 8.1.0.192 2195833 Bytes 05.01.2010 21:01:34 AEHELP.DLL : 8.1.9.0 237943 Bytes 05.01.2010 21:01:22 AEGEN.DLL : 8.1.1.83 369014 Bytes 05.01.2010 21:01:21 AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26 AECORE.DLL : 8.1.9.1 180598 Bytes 05.01.2010 21:01:19 AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: g:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: G:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Freitag, 8. Januar 2010 06:49 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '71445' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realplay.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BrccMCtl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LckFldService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '44' Prozesse mit '44' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '61' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'G:\' G:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. G:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. G:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temp\is-P0Q85.tmp\spybotsd_includes.exe [0] Archivtyp: NSIS --> [UnknownDir]/TrojansC.sbi [WARNUNG] Die Datei konnte nicht geschrieben werden! [WARNUNG] Die Datei konnte nicht geschrieben werden! G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299841.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299842.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299843.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299844.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen Beginne mit der Desinfektion: G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299841.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b78eb91.qua' verschoben! G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299842.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a055612.qua' verschoben! G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299843.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afa0ffa.qua' verschoben! G:\System Volume Information\_restore{4935987E-2A80-4A0E-9033-C3022CDBCD7E}\RP549\A0299844.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a045e2a.qua' verschoben! Ende des Suchlaufs: Freitag, 8. Januar 2010 09:22 Benötigte Zeit: 44:38 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7915 Verzeichnisse wurden überprüft 186562 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 186556 Dateien ohne Befall 1089 Archive wurden durchsucht 4 Warnungen 6 Hinweise 71445 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Ich bedanke mich schon einmal herzlich für die äuserst schnelle und unkomplizierte Hilfe von dir, Chris, und hoffe du kannst mir noch sagen ob jetzt soweit wieder alles in Ordnung ist. |
Hi, die Systemwiederherstellung muss noch bereinigt werden: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Dann sollten wir erstmal durch sein... chris |
Ich möchte mich noch herzlich bei diesem Board bedanken und besonders bei Chris, der mir durch seine schnellen Anweisungen sehr geholfen hat. Ich kann dieses Board nur jedem weiterempfehlen, der Probleme mit Malware hat. :dankeschoen: |
Hallo liebe Trojanerboarder! Ich erlaube mir mal die Frechheit mein Anliegen einfach hier mit rein zu packen, da ich keins auf den Deckel kriegen will, wenn ich einen neuen Tread eröffne und ggf. nicht ausreichend genug recherchiert habe. Mein Problem Habe mir Gestern ebendieses Fake Security Center eingefangen und werde es nicht mehr los. CCleaner, MalwareBytes und RSIT habe ich mit viel Mühe (alles läd ewig und hängt sich auf) auf besagten Rechner bekommen, CCleaner im abgesicherten Modus (bringt das überhaupt was?) erfolgreich ausgeführt. Mit MalwareBytes wollte ich ebenso verfahren, bei Abschluss der Installation blieb jedoch alles hängen und seit daher habe ich folgendes Problem, welches mich am weiteren Fixversuchen hindert: Kurz nach dem vollständigen Hochfahren von Windows hängt alles! Teilweise kann ich den Cursor noch bewegen, anklicken kann ich jedoch nichts mehr! Das einzige was ich noch schnell genug schaffe, ist den Task Manager aufzurufen. Dort habe ich folgenden Prozess entdeckt, den das Ergebnis meiner Google-Suche als gefährlich bewertet hat: winhlp64.exe Habe diesen Prozess zweimal beenden können, half jedoch nichts - kurze Zeit später friert wieder alles ein, inkl Cursor. Kann also nichts mehr machen ausser den Rechner über langes drücken des Powerschalters wieder aus zu machen. Ich weiß wie ungesund das ist, daher habe ich alle weiteren Festplatten fürs erste vom System getrennt. Nun, weiß mir jemand Rat, wie ich die Reaktionsunfähigkeit kurz nach dem Hochfahren beheben kann? Kann sonst nicht versuchen die hier in den Threads beschriebenen Schritte auszuführen um das ganze zu fixen. Falls genau DIESES Problem schonmal besprochen wurde bitte ich um einen direkten Link dazu - bin langsam zu fertig um da alles durchzukauen, zumal ich vom meisten nichtmal die Hälfte verstehe - sorry! Benutze XP Pro SP3 mit Avast! LG und DANKE!!! im voraus! Isabelle |
Hi Isabelle, der Prozess gehört tatsächlich zu Malware, und das Problem mit dem unbootbaren System hatten wir auch schon... Allerdings ist es noch nicht gelungen nachzuvollziehen, wer sich das mit wem "verhakt" hat...(TDSS, Defence / Securitycenter mit MAM)... Versuche in den abgesicherten Modus zu booten (F8 beim Starten drücken)... Hast Du einen sauberen PC zur Verfügung um eine Boot-CD zu erstellen? Wie sieht es mit einem Backup aus bzw. mit einer Boot-CD aus (was für ein System hast Du?) chris |
edit: unter construction, sry |
Hi poste ein RSIT und GMER-Log: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Hi, ich habe ziemlich genau das gleiche Problem wie Andy, ebenfalls den malware defence draufgehabt, antivir, spybot s&d etc funktionieren nichtmehr. Das Problem ist, dass der Link zum Avenger, bzw die ganze Seite von swandog down zu sein scheint (zumindest kommt bei mir immer ein Ladefehler, sowohl mit FireFox als auch mit dem IE) log von Gmer: Zitat:
|
|
Hallo Chris! Erstmal DANKE für Deine rasche Antwort!! :) Im sicheren Modus und unter meinem Benutzerkonto als auch unter Administrator (in den Logs "yyy") bin ich tatsächlich ohne aufhängerei reingekommen! Unter Administrator hatte es sich zuvor wieder aufgehängt, ka warum es nun wieder geht. RSIT konnte ich nun ausführen, die Logs findest Du im Folgepost (zuviele Zeichen für einen ^^) Probleme nun Wollte GData (habe TotalCare2010 mit BootCD und AntiVirus 2010 ohne BootCD getestet) installieren zwecks Virencheck dann kam "The System administrator has set policies to prevent this installation" – obwohl ich als Admin eingeloggt bin! oO Kaspersky hab ich ebenfalls erfolgslos getestet - nach der Suche nach neuen Updates kam „Installation wird vorbereitet“ dann schloss sich das Fenster und keine Spur von Kaspersky mehr auf dem Rechner ausser die runtergeladene Datei – warum auch immer. Avast (mein vorhandener Scanner) habe ich geupdatet und zweimal einen kompletten Systemcheck gemacht . Konnte das Ergebnis leider nicht sehen da einmal der Screensaver hängen bleib und beim zweiten mal eine Website, die sich nach einiger Zeit seit von alleine aufzubauen versucht (scheitert am deaktivierten W-Lan) die Adresse lautet w*w.lux-software.com - evtl. ein Hinweis auf den Trojaner? Von allein ploppte da bisher nie was auf. Nach Reboot zeigte Avast-Viren Container bzw Report folgendes an (das selbe wie bisher): Initialisierung von Containerdateien Reiter „Abbrechen“: Aktion wurde mit Fehlern beendet! Reiter „Fehler-Report“: Programm kann nicht verwenden Container Client (null) --> Beschreibung: Virus Container Server läuft nicht RPC-Kommunikation fehlgeschlagen. Reiter „Detailierte Informationen“: Programm versucht Laden aller Container-Dateien von folgendem Server (null). Aktion wurde mit Fehlern beendet. (letzte Amtshandlung vor GMER daher letzter Forenbeitrag editiert) Malwarebytes habe ich versucht zu installieren, sobald die Installation jedoch beendet wird, gibt’s keinen weiteren Fortschritt mehr – passiert nichts bzw. bleibt einfach stehen. Deinstallieren und Neuinstall habe ich einige male unter beiden Konten versucht, mit dem selben Ergebnis. Update: Install hat geklappt, Programm lässt sich jedoch nicht öffnen. Ein Backup vom befallenen Rechner habe ich leider nicht (ironischerweise stand genau DAS und der Kauf einer externen Sicherungsplatte für Ende der Woche auf dem Plan -.-) Schreibe hier vom Laptop aus, welches sauber ist, hat allerdings Vista drauf, daher ka ob ich damit Boot CDs für XP machen kann?! Kenn mich leider nicht soo gut aus, daher die ggf. dumme Frage - inwiefern wäre eine Boot CD hier von nutzen bzw. was könnte ich damit anstellen? Mir scheint, dass speziell diese Malware noch nicht so lange im Umlauf ist, kann das sein? So, hoffe das wären die Infos, mit denen Du was anfangen kannst :) Merci! Isabelle P.S.: Nach dem Scan mit GMER kam folgende Meldung: Warning!!! GMER has found system modification caused by ROOTKIT activity! |
RSIT (inkl. Hijackthis?!) hat funktioniert, hier die Ergebnisse: RSIT log.txt Code: Logfile of random's system information tool 1.06 (written by random/random)RSIT info.txt Code: info.txt logfile of random's system information tool 1.06 2010-01-19 02:52:48 |
GMER Log: Code: GMER 1.0.15.15281 - http://www.gmer.net |
@sensurround: Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\umonit.exe
Achtung: Da ist neben Malware Defence auch noch was neues drauf, was beim Beseitigen schon einige Rechner zerschossen hat! Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop (Alternativer Downloadlink: http://www.file-upload.net/download-..._le.exe.html): http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code: O4 - HKCU\..\Run: [cls_pack.exe] C:\DOCUME~1\yyy\LOCALS~1\Temp\cls_pack.exeNun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris |
Hi Chris! Sorry für die späte Antwort, hab aufgrund Prüfungen an der Uni keine Zeit zum fixen gehabt. Folgendes hab ich vorhin hinbekommen: 1.Ordneroptionen wie bei Punnkt 1 umgestellt 2.Log von VirusTotal für umonit.exe: Code: 4.Avenger Log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: O4 - HKCU\..\Run: [cls_pack.exe] C:\DOCUME~1\yyy\LOCALS~1\Temp\cls_pack.exehttp://i117.photobucket.com/albums/o57/blasmich/kein_cls_pack_da.jpg Stattdessen stieß ich hier auf zwei Verdächtige, die ich zuvor als ich kurz im Normalen Windows Modus im Taskmanager unter Prozesse kurz gesehen hatte (bevor sich wieder alles aufhing): http://i117.photobucket.com/albums/o57/blasmich/stattdessenverdaechtig.jpg gefixt hab ich mit Avenger erstmal garnix. MAM hab ich auch noch nicht angeschmissen, da ich net weiß ob das ohne Abschluss der bisher nicht korrekt durchgeführten Schritte gut/schlecht/nötig/wwi ist. und nu? Merci & VG Isa |
Hi, das ist seltsam, der Rootkit ist verschwunden...? Lass MAM mal von der Leine und danach bitte noch mal ein neues RSIT-Log und GMER-Log. Die Dateien die Du meinst sind im Normalfall ungefährlich... chris |
Hi Chris! Here we go again: RSIT hat nur HijackThis gestartet, weiter kam nichts - warum auch immer oO HijackThis-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Code: GMER 1.0.15.15281 - hxxp://www.gmer.netVG Isa |
Hi, hah, sieh an, ein alter Bekannter... Da ist TDSS auf dem Rechner, in einer der "letzten funktionierende Konfigurationen"... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Das ist ein Sicherheitsmaßnahme, normalerweise erledigt das CF selbst... Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Als letztes dann bitte noch ein OSAM-Log... OSAM Prüft Programme/Treiber die gestartet werden online. Folge den Anweisungen hier ( http://www.trojaner-board.de/84180-a...n-manager.html ) zur Erstellung eines Logs und poste das hier in Deinem Thread. chris Ps.: Was ist das für ein Prozess: C:\Documents and Settings\Administrator.VALAFOR.000\Desktop\Administrator.exe Bitte bei Virustotal.com prüfen lassen... Log posten.... |
hi chris, analyse log der admin.exe datei: Code: frage: kann ich das machen oder soll ichs lassen weil risiko gering und komplett prüfung absolut notwenig etc? merci & frohes eier suchen ^^ isa |
Hi, wenn nur Daten auf der Platte sind ist es mit einem gewissen Restrisiko vertretbar die Platte vom System zu trennen und später genauer unter die Lupe zu nehmen... Bitte CF-log und OSAM-Log posten (OASM ist ungefährliche, CF hat ein gewisses Risiko)... chris |
Sodele, bei Combofix gabs ein Problem mit der Tatsache, dass ich Win im abgesichterten Modus betrieben hab (ansonsten würd sich alles aufhängen), dazu kam diese Meldung: http://666kb.com/i/bi3ybfcvrfd1vcsjy.jpg Hab das ganze mit YES bestätigt und im abgesicherten Modus rebootet, hoffe das war richtig. Combofix Log: Code: ComboFix 10-04-04.01 - Administrator 05.04.2010 20:59:17.1.2 - x86 NETWORKCode: Report of OSAM: Autorun Manager v5.0.11926.0 |
Hi, gibt auch nicht viel her, ein paar Datein sind zu untersuchen, JAVA solltest Du unbedingt mal updaten... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\windows\system32\umonit.exe
Du schreibst das ausser im abgesicherten Modus alles Abstürzt, was genau macht der Rechner zur Zeit? chris |
Hatte wegen Combofix Avast deinstalliert (@abgesichertem Modus weil ich den nicht deaktivieren konnte) und eben die neue Version versucht zu installen, was (logischerweise?) nicht ging, dann Win normal gestartet und siehe da - nichts hängt sich auf, alles läuft! Avast scannt eben die Platte, gerademal 25% überprüft und schon 5 infizierte Dateien gefunden. Nur so zur Info. Virustotal-Analyse und Java-Update will ich danach machen, hoffe das geht ok. Sag an, ob ich die Analyse machen soll, BEVOR ich infizierte Dateien, die Avast gefunden hat/finden wird, lösche. vg isa |
http://666kb.com/i/bi50hmtzwykw0hn6j.jpg das hat Avast ausgespuckt, angeblich wurden alle gefundenen dateien erfolgreich gelöscht. scan eben nochmal das ganze system durch und lass danach mal MAM drübergucken. wär ja zu schön, wenns so schnell ginge :O |
So, Avast hat beim zweiten Durchlauf nichts mehr gefunden, MAM dagegen schon: MAM Log: Code: Malwarebytes' Anti-Malware 1.44Code: Datei umonit.exe empfangen 2010.04.06 23:15:30 (UTC)Code: Datei mv614x.sys empfangen 2010.04.06 23:17:41 (UTC) |
Hi, ein Banker, von einem sauberen Rechner aus alle Passwörter ändern... Den hat ComboFix erwischt und MAM in der Quarantäne von CF gefunden: C:\Qoobox\Quarantine\C\cleanup.exe.vir (Trojan.Banker) -> Quarantined and deleted successfully. Der Rest liegt in der Systemwiederherstellung... Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Combofix entfernen: Start->Ausführen, dann combofix /uninstall reinschreiben und OK drücken... Poste bitte noch mal ein neues OTL-Log... chris |
Hi, hat bisschen gedauert aber nu fand ich Zeit mich wieder um die Kiste zu kümmern.
neues OTL log: OTL Logfile: Code: OTL logfile created on: 24.08.2010 13:42:17 - Run 1[/CODE] Wäre das nu erledigt oder steht noch was aus? Merci & VG |
Hi, vielleicht die Scanner updaten und noch mal drüberjagen... DHCP richtig? DhcpNameServer = 141.46.140.31 193.174.102.202 Fix für OTL:
Code:
chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board