|
Trojan-download.agent Hallo, seit gestern zeigt mir Spyware Doctor immer einen Trojaner mit dem Namen Trojan-downloader.agent.ogp an. Obwohl ich diesen bereits mehrfach gelöscht habe kommt er nach jedem Neustart wieder. Ich hoffe nun ihr könnt mir bitte helfen. Des Weiteren bekomme ich noch folgende Meldung: "Behavior Guard hat in SVHOST.EXE (C:\WINDOWS\TEMP\KIKB.TMP\SVHOST.EXE) eine verdächtige Aktivität erkannt. Dieses Programm versucht, sich sleber in mehrere Standorte in ihrem Computer zu kopieren." Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:08:09, on 10.04.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spyware Doctor\TFEngine\TFService.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Spyware Doctor\pctsGui.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\system32\drwtsn32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: C:\WINDOWS\system32\p9jrkipg3g.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [\\SOFIANE\EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P33 "\\SOFIANE\EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [EPSON Stylus Photo R285 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKE.EXE /FU "C:\WINDOWS\TEMP\E_SA1.tmp" /EF "HKCU" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: ThreatFire - PC Tools - C:\Programme\Spyware Doctor\TFEngine\TFService.exe -- End of file - 7703 bytes |
Hallo und :hallo: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Hallo und vielen Dank für deine Hilfe. Hier sind alle 3 Logs gespeichert hxxp://www.file-upload.net/download-2424536/Logs.rar.html |
File-Upload hat gerade ein paar Macken. Kannst Du die Logs auch hier posten? Du kannst die RAR-Datei auch hier anhängen. |
Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3974 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 10.04.2010 17:04:54 mbam-log-2010-04-10 (17-04-54).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|) Durchsuchte Objekte: 142009 Laufzeit: 18 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 14 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\p9jrkipg3g.dll (Trojan.Ertfor) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{a9ba40a1-74f1-52bd-f431-00b15a2c8953} (Trojan.Ertfor) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a9ba40a1-74f1-52bd-f431-00b15a2c8953} (Trojan.Ertfor) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a9ba40a1-74f1-52bd-f431-00b15a2c8953} (Trojan.Ertfor) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken. HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a9ba40a1-74f1-52bd-f431-00b15a2c8953} (Trojan.Ertfor) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\p9jrkipg3g.dll (Trojan.Ertfor) -> No action taken. C:\Dokumente und Einstellungen\PC10\Lokale Einstellungen\Temp\gmfrxpgv.exe (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\PC10\Lokale Einstellungen\Temp\Mrp.exe (Trojan.FraudPack) -> No action taken. C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken. ----------------------------------------- Logfile of random's system information tool 1.06 (written by random/random) Run by PC10 at 2010-04-10 17:08:21 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 87 GB (87%) free of 100 GB Total RAM: 3070 MB (72% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:08:30, on 10.04.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Spyware Doctor\TFEngine\TFService.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Programme\Registry Mechanic\RegMech.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Dokumente und Einstellungen\PC10\Eigene Dateien\RSIT.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\PC10.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [\\SOFIANE\EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P33 "\\SOFIANE\EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [EPSON Stylus Photo R285 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKE.EXE /FU "C:\WINDOWS\TEMP\E_SA1.tmp" /EF "HKCU" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKUS\S-1-5-21-527237240-746137067-839522115-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator') O4 - HKUS\S-1-5-21-527237240-746137067-839522115-500\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H (User 'Administrator') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: ThreatFire - PC Tools - C:\Programme\Spyware Doctor\TFEngine\TFService.exe -- End of file - 7982 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\1-Klick-Wartung.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {472734EA-242A-422B-ADF8-83D1E48CC825} - PC Tools Browser Guard - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll [2010-01-22 567248] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-06-20 577536] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-01-15 13680640] "nwiz"=nwiz.exe /install [] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "\\SOFIANE\EPSON Stylus D68 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE [2005-01-25 98304] "LVCOMS"=C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE [2002-12-10 127022] "LogitechCommunicationsManager"=C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe [2007-02-08 488984] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-01-15 86016] "EPSON Stylus D68 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE [2005-01-25 98304] "ISTray"=C:\Programme\Spyware Doctor\pctsTray.exe [2010-03-09 1286608] "Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2010-03-29 1086856] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2010-03-29 437584] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "EPSON Stylus Photo R285 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKE.EXE [2007-04-13 182272] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2006-02-28 15360] "AdobeUpdater"=C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [2007-03-01 2321600] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [2007-03-01 2321600] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [2006-02-28 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] C:\Programme\DAEMON Tools\daemon.exe [2007-09-18 171464] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core] [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon] C:\Programme\Logitech\QuickCam10\QuickCam10.exe [2007-02-08 774168] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor] [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe [2005-08-25 139264] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NVSvc"=2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler] hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll [2010-04-09 20000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=149 "NoFolderOptions"=0 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\World of Warcraft\WoW-1.12.0-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-1.12.0-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"="C:\Programme\World of Warcraft\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\BackgroundDownloader.exe"="C:\Programme\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\The Creative Assembly\Rome - Total War\RomeTW.exe"="C:\Programme\The Creative Assembly\Rome - Total War\RomeTW.exe:*:Enabled:Rome: Total War" "C:\Programme\World of Warcraft\WoW-2.0.3-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-2.0.3-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-2.0.4.6314-to-2.0.5.6320-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-2.0.4.6314-to-2.0.5.6320-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\Valve\Steam\SteamApps\hector123\counter-strike\hl.exe"="C:\Programme\Valve\Steam\SteamApps\hector123\counter-strike\hl.exe:*:Enabled:Half-Life Launcher" "C:\Programme\World of Warcraft\WoW-2.0.5.6320-to-2.0.6.6337-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-2.0.5.6320-to-2.0.6.6337-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\Anno 1701\Anno1701.exe"="C:\Programme\Anno 1701\Anno1701.exe:*:Enabled:Anno 1701" "C:\Programme\Starcraft\StarCraft.exe"="C:\Programme\Starcraft\StarCraft.exe:*:Enabled:Starcraft" "C:\Programme\Doom 3\DOOM3.exe"="C:\Programme\Doom 3\DOOM3.exe:*:Enabled:DOOM 3" "C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire" "C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L] shell\AutoRun\command - "L:\WD SmartWare.exe" autoplay=true [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e3eb8fb-ffae-11dc-9f61-00173156824e}] shell\AutoRun\command - L:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56d12982-7874-11de-a028-00173156824e}] shell\explore\command - explorer.exe shell\open\command - explorer.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{60e6e9ee-e42d-11db-9eef-00173156824e}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb8b3188-77af-11de-a027-00173156824e}] shell\AutoRun\command - L:\wd_windows_tools\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2cf9768-51ab-11dd-9fab-00173156824e}] shell\1\command - .\recycled\info.exe shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb6a8dc1-3729-11df-a072-00173156824e}] shell\AutoRun\command - "L:\WD SmartWare.exe" autoplay=true ======List of files/folders created in the last 1 months====== 2010-04-10 17:08:21 ----D---- C:\rsit 2010-04-10 15:26:41 ----D---- C:\Dokumente und Einstellungen\PC10\Anwendungsdaten\Malwarebytes 2010-04-10 15:26:28 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-04-10 15:26:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-10 15:18:15 ----D---- C:\Programme\CCleaner 2010-04-10 10:08:26 ----D---- C:\Programme\Trend Micro 2010-04-09 18:47:55 ----D---- C:\Dokumente und Einstellungen\PC10\Anwendungsdaten\Registry Mechanic 2010-04-09 17:34:28 ----D---- C:\Programme\Registry Mechanic 2010-04-09 17:22:44 ----A---- C:\WINDOWS\system32\ArmAccess.dll 2010-04-09 13:42:22 ----A---- C:\WINDOWS\BDTSupport.dll 2010-04-09 13:42:21 ----A---- C:\WINDOWS\SGDetectionTool.dll 2010-04-09 13:42:21 ----A---- C:\WINDOWS\PCTBDRes.dll 2010-04-09 13:42:21 ----A---- C:\WINDOWS\PCTBDCore.dll 2010-04-09 13:41:59 ----D---- C:\Programme\Spyware Doctor 2010-04-09 13:41:59 ----D---- C:\Programme\Gemeinsame Dateien\PC Tools 2010-04-09 13:41:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools 2010-04-09 12:14:07 ----A---- C:\WINDOWS\Mlocua.exe 2010-04-09 12:12:51 ----N---- C:\WINDOWS\system32\p9jrkipg3g.dll 2010-04-09 12:12:36 ----D---- C:\Dokumente und Einstellungen\PC10\Anwendungsdaten\8629240345C3389CABC04AA25DB045E4 2010-04-09 11:21:39 ----D---- C:\Output Files 2010-04-09 10:40:11 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\imgpdf2.dll 2010-04-09 10:27:16 ----D---- C:\Dokumente und Einstellungen\PC10\Anwendungsdaten\UDC Profiles 2010-03-29 08:28:25 ----D---- C:\Programme\Gemeinsame Dateien\Skype ======List of files/folders modified in the last 1 months====== 2010-04-10 17:08:25 ----D---- C:\WINDOWS\Temp 2010-04-10 17:07:58 ----D---- C:\WINDOWS\Prefetch 2010-04-10 17:07:37 ----SD---- C:\WINDOWS\Tasks 2010-04-10 17:07:37 ----D---- C:\WINDOWS\system32\drivers 2010-04-10 17:06:32 ----D---- C:\Dokumente und Einstellungen\PC10\Anwendungsdaten\Skype 2010-04-10 17:05:23 ----D---- C:\WINDOWS\system32 2010-04-10 16:07:50 ----D---- C:\Dokumente und Einstellungen\PC10\Anwendungsdaten\skypePM 2010-04-10 15:30:51 ----D---- C:\WINDOWS 2010-04-10 15:26:28 ----RD---- C:\Programme 2010-04-10 15:23:11 ----D---- C:\WINDOWS\Minidump 2010-04-10 15:23:11 ----D---- C:\WINDOWS\Debug 2010-04-10 12:39:17 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2010-04-10 12:20:49 ----D---- C:\WINDOWS\system32\CatRoot2 2010-04-10 12:14:15 ----N---- C:\WINDOWS\SchedLgU.Txt 2010-04-10 10:37:44 ----D---- C:\Programme\Mozilla Firefox 2010-04-09 18:46:43 ----D---- C:\WINDOWS\system32\config 2010-04-09 14:07:13 ----SHD---- C:\RECYCLER 2010-04-09 13:58:32 ----SHD---- C:\Config.Msi 2010-04-09 13:51:26 ----SHD---- C:\WINDOWS\Installer 2010-04-09 13:51:26 ----D---- C:\WINDOWS\WinSxS 2010-04-09 13:41:59 ----D---- C:\Programme\Gemeinsame Dateien 2010-04-06 08:32:00 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-07-02 75096] R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2005-07-25 29696] R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\incdrm.sys [2005-07-25 28672] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R1 pctgntdi;pctgntdi; \??\C:\WINDOWS\system32\drivers\pctgntdi.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-21 21248] R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2006-07-24 5632] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2006-02-28 12032] R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2007-05-03 271360] R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2007-05-03 18048] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2006-06-27 3972672] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 LVPr2Mon;Logitech LVPr2Mon Driver; C:\WINDOWS\system32\DRIVERS\LVPr2Mon.sys [2007-02-06 25632] R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys [] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-01-15 6301248] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-09-30 34048] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-09-30 13056] R3 pctplsg;pctplsg; \??\C:\WINDOWS\system32\drivers\pctplsg.sys [] R3 SunkFilt;Alcor Micro Corp Reader; \??\C:\WINDOWS\System32\Drivers\sunkfilt.sys [] R3 TfNetMon;TfNetMon; \??\C:\WINDOWS\system32\drivers\TfNetMon.sys [] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2006-02-28 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2006-02-28 57600] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2006-02-28 17024] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2006-02-28 26496] R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2005-07-25 101504] S3 abf2ozwg;abf2ozwg; C:\WINDOWS\system32\drivers\abf2ozwg.sys [] S3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024] S3 FilterService;UVC Filter Service; C:\WINDOWS\system32\DRIVERS\lvuvcflt.sys [2007-02-03 22560] S3 LVcKap;Logitech AEC Driver; C:\WINDOWS\system32\DRIVERS\LVcKap.sys [2007-02-06 1691808] S3 LVMVDrv;Logitech Machine Vision Engine Loader; C:\WINDOWS\system32\DRIVERS\LVMVDrv.sys [2007-02-06 1964064] S3 lvpopflt;Logitech POP Suppression Filter; C:\WINDOWS\system32\DRIVERS\lvpopflt.sys [2007-02-03 1507232] S3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\drivers\LVUSBSta.sys [2007-02-03 41504] S3 LVUVC;Logitech QuickCam Pro 5000(UVC); C:\WINDOWS\system32\DRIVERS\lvuvc.sys [2007-02-03 1939360] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-04 59264] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856] S3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2004-08-03 78464] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2006-02-28 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865] R2 Browser Defender Update Service;Browser Defender Update Service; C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe [2010-01-22 112592] R2 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE [2007-01-11 113664] R2 InCDsrvR;InCD Helper (read only); C:\Programme\Ahead\InCD\InCDsrv.exe [2005-07-25 876032] R2 LVPrcSrv;Process Monitor; c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe [2007-02-06 109344] R2 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service; C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe [2010-04-09 632792] R2 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2010-03-11 366840] R2 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2010-03-15 1142224] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2006-02-28 14336] R3 ThreatFire;ThreatFire; C:\Programme\Spyware Doctor\TFEngine\TFService.exe [2010-02-02 70928] S2 LVSrvLauncher;LVSrvLauncher; C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe [2007-02-06 105248] S3 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S4 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-01-15 163908] -----------------EOF----------------- info.txt logfile of random's system information tool 1.06 2010-04-10 17:08:34 ======Uninstall list====== -->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL -->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER -->C:\WINDOWS\unmrw.exe /UNINSTALL -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Adobe® Photoshop® Album Starter Edition 3.0-->MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B} Anno 1701-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A2433A63-5F5D-40E5-B529-9123C2B3E734}\setup.exe" -l0x7 -removeonly Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Browser Defender 2.0.6.15-->"C:\Programme\Spyware Doctor\BDT\unins000.exe" Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch-->C:\Programme\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409 Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch-->C:\Programme\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe -runfromtemp -l0x0409 CCleaner-->"C:\Programme\CCleaner\uninst.exe" DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN EPSON Attach To Email-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG EPSON Easy Photo Print-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3D78F2A2-C893-4ABD-B5FE-AD7011837755}\SETUP.EXE" -l0x7 UNINST EPSON File Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2EB81825-E9EE-44F4-8F51-1240C3898DC6}\Setup.exe" -l0x7 UNINST EPSON Print CD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FF477885-5EA8-40D0-ADF3-D4C1B86FAEA4}\SETUP.EXE" -l0x7 -SYSTEM EPSON Scan Assistant-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x7 -u EPSON-Drucker-Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R EVEREST Ultimate Edition v4.20-->"C:\Programme\Lavalys\EVEREST Ultimate Edition\unins000.exe" HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe" Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe" Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe" Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} K-Lite Codec Pack 3.9.0 Full-->"C:\Programme\K-Lite Codec Pack\unins000.exe" Logitech Audio Echo Cancellation Component-->MsiExec.exe /X{BEF726DD-4037-4214-8C6A-E625C02D2870} Logitech QuickCam-->MsiExec.exe /X{7D2370AC-D8E6-4996-986A-19824F8A167C} Logitech Video Enumerator-->MsiExec.exe /X{EA516024-D84D-41F1-814F-83175A6188F2} Logitech® Camera-Treiber-->"C:\Programme\Gemeinsame Dateien\LogiShrd\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE} Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE} Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (2.0.0.20)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Multimedia Card Reader-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{07B02BD4-E799-4945-B240-166CA9A9BE2D} /l1031 MVision-->MsiExec.exe /I{35725FBC-A136-4A46-9F29-091759D9BB93} Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID="" NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly Registry Mechanic 9.0-->"C:\Programme\Registry Mechanic\unins000.exe" /Log Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896424)-->"C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921398)-->"C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921503)-->"C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922616)-->"C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924191)-->"C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB925454)-->"C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938829)-->"C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe" Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36} Spyware Doctor 7.0-->C:\Programme\Spyware Doctor\unins001.exe /LOG Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe" Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe" Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe" Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe" Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe" Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe" Update für Windows XP (KB929338)-->"C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe" Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe" Update für Windows XP (KB931836)-->"C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe" Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe =====HijackThis Backups===== O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll [2010-04-10] O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll [2010-04-10] O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll [2010-04-10] O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll [2010-04-10] O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll [2010-04-10] O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\p9jrkipg3g.dll [2010-04-10] O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL [2010-04-10] ======Security center information====== AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic (disabled) AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic (disabled) (outdated) AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic (disabled) AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic (outdated) AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic ======System event log====== Computer Name: EXACT Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet. Record Number: 20703 Source Name: Service Control Manager Time Written: 20100305095858.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: EXACT Event Code: 7036 Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt". Record Number: 20702 Source Name: Service Control Manager Time Written: 20100305095856.000000+060 Event Type: Informationen User: Computer Name: EXACT Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Gatewaydienst auf Anwendungsebene" gesendet. Record Number: 20701 Source Name: Service Control Manager Time Written: 20100305095856.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: EXACT Event Code: 7036 Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt". Record Number: 20700 Source Name: Service Control Manager Time Written: 20100305095856.000000+060 Event Type: Informationen User: Computer Name: EXACT Event Code: 7036 Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 20699 Source Name: Service Control Manager Time Written: 20100305095856.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: EXACT Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 153 Source Name: SecurityCenter Time Written: 20070113153236.000000+060 Event Type: Informationen User: Computer Name: EXACT Event Code: 4097 Message: Die Anwendung "C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe" hat einen Programmfehler verursacht. Datum und Zeit des Fehlers: 11.01.2007 um 19:26:53.236 Ausnahme: c0000005 an Adresse 00401914 (avnotify) Record Number: 152 Source Name: DrWatson Time Written: 20070111192653.000000+060 Event Type: Informationen User: Computer Name: EXACT Event Code: 1000 Message: Fehlgeschlagene Anwendung avnotify.exe, Version 7.0.1.0, fehlgeschlagenes Modul avnotify.exe, Version 7.0.1.0, Fehleradresse 0x00001914. Record Number: 151 Source Name: Application Error Time Written: 20070111182305.000000+060 Event Type: Fehler User: Computer Name: EXACT Event Code: 0 Message: Record Number: 150 Source Name: Time Written: 20070110210801.000000+060 Event Type: Fehler User: Computer Name: EXACT Event Code: 0 Message: Record Number: 149 Source Name: Time Written: 20070110210801.000000+060 Event Type: Fehler User: =====Security event log===== Computer Name: EXACT Event Code: 540 Message: Erfolgreiche Netzwerkanmeldung: Benutzername: Domäne: Anmeldekennung: (0x0,0x1FABD8) Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Arbeitsstationsname: MHOMBERG Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Record Number: 124157 Source Name: Security Time Written: 20100309150614.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer Name: EXACT Event Code: 538 Message: Benutzerabmeldung: Benutzername: ANONYMOUS-ANMELDUNG Domäne: NT-AUTORITÄT Anmeldekennung: (0x0,0x1F8F73) Anmeldetyp: 3 Record Number: 124156 Source Name: Security Time Written: 20100309150406.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer Name: EXACT Event Code: 540 Message: Erfolgreiche Netzwerkanmeldung: Benutzername: Domäne: Anmeldekennung: (0x0,0x1F8F73) Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Arbeitsstationsname: DESIGNER2-PC Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Record Number: 124155 Source Name: Security Time Written: 20100309150355.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer Name: EXACT Event Code: 538 Message: Benutzerabmeldung: Benutzername: ANONYMOUS-ANMELDUNG Domäne: NT-AUTORITÄT Anmeldekennung: (0x0,0x1F7032) Anmeldetyp: 3 Record Number: 124154 Source Name: Security Time Written: 20100309150112.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer Name: EXACT Event Code: 540 Message: Erfolgreiche Netzwerkanmeldung: Benutzername: Domäne: Anmeldekennung: (0x0,0x1F7032) Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Arbeitsstationsname: DESIGNER2-PC Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Record Number: 124153 Source Name: Security Time Written: 20100309150059.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Samsung\Samsung PC Studio 3\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 75 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=4b02 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- |
Hast Du die Funde alle entfernt? Da steht "no action taken" im MBAM-Log! |
Ich glaube ich konnte nicht alle löschen. Da kam so ein satz wie " nicht alle Infizierungen konnten gelöscht werden". Hatte ich ganz vergessen Dieser ist ganz noch von gerade: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3974 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 11.04.2010 22:24:51 mbam-log-2010-04-11 (22-24-51).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|) Durchsuchte Objekte: 142053 Laufzeit: 19 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Ok. Dann mach mal bitte ein Log mit CF, das nimmt uns etwas Arbeit ab: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
ComboFix 10-04-12.01 - PC10 12.04.2010 18:42:52.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.3070.2706 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\PC10\Desktop\cofi.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated) {859487C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {856BC7C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {859027C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {857F07C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {855DEDDC-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8576A7C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8578B7C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8579C7C4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {857DD7C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8584D7C4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {858DF7C4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {859847C4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {859CC7C4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85B097C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85B0F7C4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85EF8C34-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85F1C91C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85F55514-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {86038DDC-FFA4-00EF-0D24-347CA8A3377C} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\PC10\Anwendungsdaten\.# c:\dokumente und einstellungen\PC10\Anwendungsdaten\8629240345C3389CABC04AA25DB045E4 c:\dokumente und einstellungen\PC10\Anwendungsdaten\8629240345C3389CABC04AA25DB045E4\enemies-names.txt c:\dokumente und einstellungen\PC10\Anwendungsdaten\8629240345C3389CABC04AA25DB045E4\lsrslt.ini c:\windows\system32\_000006_.tmp.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS ((((((((((((((((((((((( Dateien erstellt von 2010-03-12 bis 2010-04-12 )))))))))))))))))))))))))))))) . 2010-04-12 16:42 . 2005-08-18 08:52 93568 ----a-r- c:\windows\system32\drivers\nvata_2.sys 2010-04-12 16:36 . 2010-04-12 16:39 -------- d-----w- C:\cofi 2010-04-12 08:54 . 2010-04-12 08:54 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe 2010-04-10 15:08 . 2010-04-10 15:08 -------- d-----w- C:\rsit 2010-04-10 13:26 . 2010-04-10 13:26 -------- d-----w- c:\dokumente und einstellungen\PC10\Anwendungsdaten\Malwarebytes 2010-04-10 13:26 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-10 13:26 . 2010-04-10 13:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-10 13:26 . 2010-04-10 13:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-10 13:26 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-10 13:18 . 2010-04-10 13:18 -------- d-----w- c:\programme\CCleaner 2010-04-10 08:08 . 2010-04-10 08:08 -------- d-----w- c:\programme\Trend Micro 2010-04-09 16:47 . 2010-04-09 16:47 -------- d-----w- c:\dokumente und einstellungen\PC10\Anwendungsdaten\Registry Mechanic 2010-04-09 16:15 . 2010-04-09 16:15 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü 2010-04-09 15:38 . 2010-02-02 08:13 59664 --s---w- c:\windows\system32\drivers\TfSysMon.sys 2010-04-09 15:38 . 2010-02-02 08:13 51984 --s---w- c:\windows\system32\drivers\TfFsMon.sys 2010-04-09 15:38 . 2010-02-02 08:13 33552 --s---w- c:\windows\system32\drivers\TfNetMon.sys 2010-04-09 15:22 . 2005-07-15 12:44 49152 ----a-w- c:\windows\system32\ArmAccess.dll 2010-04-09 11:42 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll 2010-04-09 11:42 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll 2010-04-09 11:42 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll 2010-04-09 11:42 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll 2010-04-09 11:42 . 2009-10-27 23:36 1152444 ----a-w- c:\windows\UDB.zip 2010-04-09 11:42 . 2008-11-26 10:08 131 ----a-w- c:\windows\IDB.zip 2010-04-09 11:42 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys 2010-04-09 11:42 . 2010-03-10 09:36 217032 ----a-w- c:\windows\system32\drivers\PCTCore.sys 2010-04-09 11:42 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys 2010-04-09 11:42 . 2010-02-05 07:25 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys 2010-04-09 11:41 . 2010-04-12 16:02 -------- d-----w- c:\programme\Spyware Doctor 2010-04-09 11:41 . 2010-04-09 15:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools 2010-04-09 11:41 . 2010-04-09 15:34 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools 2010-04-09 11:37 . 2010-04-09 11:37 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-04-09 10:30 . 2010-04-09 10:30 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Talkback 2010-04-09 10:29 . 2010-04-09 10:29 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla 2010-04-09 10:14 . 2010-04-09 10:14 184832 ----a-w- c:\windows\Mlocua.exe 2010-04-09 09:21 . 2010-04-09 09:21 -------- d-----w- C:\Output Files 2010-04-09 08:40 . 2010-04-09 08:40 1024 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\imgpdf2.dll 2010-04-09 08:27 . 2010-04-09 08:29 -------- d-----w- c:\dokumente und einstellungen\PC10\Anwendungsdaten\UDC Profiles 2010-03-29 06:28 . 2010-03-29 06:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2010-03-24 09:45 . 2010-03-24 09:45 -------- d-----w- c:\dokumente und einstellungen\PC10\Lokale Einstellungen\Anwendungsdaten\Western Digital . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-12 16:51 . 2006-12-28 12:49 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-04-12 09:15 . 2006-02-28 12:00 53248 ----a-w- c:\windows\system32\drivers\i8042prt.sys 2010-04-10 17:26 . 2008-01-03 15:58 -------- d-----w- c:\dokumente und einstellungen\PC10\Anwendungsdaten\Skype 2010-04-10 14:07 . 2008-01-03 16:00 -------- d-----w- c:\dokumente und einstellungen\PC10\Anwendungsdaten\skypePM 2010-04-06 06:32 . 2006-02-28 12:00 71590 ----a-w- c:\windows\system32\perfc007.dat 2010-04-06 06:32 . 2006-02-28 12:00 408628 ----a-w- c:\windows\system32\perfh007.dat 2010-03-09 10:01 . 2008-01-27 08:53 -------- d-----w- c:\programme\EPSON 2010-03-05 09:07 . 2007-09-16 21:59 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-03-05 09:07 . 2006-12-13 15:22 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2010-03-05 09:06 . 2006-12-13 08:27 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-03-05 09:03 . 2009-11-06 10:07 -------- d-----r- c:\programme\Skype 2010-03-05 09:03 . 2008-01-30 18:07 -------- d-----w- c:\dokumente und einstellungen\PC10\Anwendungsdaten\Samsung 2010-03-05 08:59 . 2008-05-29 14:15 -------- d-----w- c:\programme\MAGIX 2010-03-05 08:59 . 2008-05-29 14:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX 2010-03-05 08:57 . 2008-11-05 22:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Logitech 2010-03-05 08:57 . 2008-11-05 22:01 -------- d-----w- c:\programme\Logitech 2010-03-05 08:44 . 2008-06-17 11:53 2892 ----a-w- c:\windows\system32\ealregsnapshot1.reg 2009-01-05 17:31 . 2006-12-28 12:43 67688 ----a-w- c:\programme\mozilla firefox\components\jar50.dll 2009-01-05 17:31 . 2006-12-28 12:43 54368 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll 2009-01-05 17:31 . 2006-12-28 12:43 34944 ----a-w- c:\programme\mozilla firefox\components\myspell.dll 2009-01-05 17:31 . 2006-12-28 12:43 46712 ----a-w- c:\programme\mozilla firefox\components\spellchk.dll 2009-01-05 17:31 . 2006-12-28 12:43 172136 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll . Code: <pre>. . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2006-06-20 577536] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640] "nwiz"="nwiz.exe" [2009-01-15 1657376] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "\\SOFIANE\EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304] "LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 127022] "LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016] "EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] 2005-06-23 18:33 57344 ----a-w- c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-01-11 20:16 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] 2007-03-01 08:37 2321600 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2006-02-28 12:00 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] 2007-09-18 14:16 171464 ----a-w- c:\programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2006-10-26 23:47 31016 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon] 2007-02-08 00:13 774168 ----a-w- c:\programme\Logitech\QuickCam10\QuickCam10.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2004-10-13 16:24 1694208 ------w- c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sunkist2k] 2005-08-25 18:46 139264 ----a-w- c:\programme\Multimedia Card Reader\shwicon2k.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NVSvc"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Anno 1701\\Anno1701.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [09.04.2010 13:42 217032] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09.10.2007 13:53 685816] R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [09.04.2010 17:38 51984] R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [09.04.2010 17:38 59664] R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [09.04.2010 13:42 233136] R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [09.04.2010 13:42 112592] R2 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service;c:\programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe [09.04.2010 17:34 632792] S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys --> c:\windows\system32\DRIVERS\ElbyVCD.sys [?] S3 pctplsg;pctplsg;c:\windows\system32\drivers\pctplsg.sys [09.04.2010 13:42 70408] S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [09.04.2010 13:51 366840] S3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [09.04.2010 17:38 33552] S3 ThreatFire;ThreatFire;c:\programme\Spyware Doctor\TFEngine\TFService.exe service --> c:\programme\Spyware Doctor\TFEngine\TFService.exe service [?] . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll FF - ProfilePath - c:\dokumente und einstellungen\PC10\Anwendungsdaten\Mozilla\Firefox\Profiles\njjk74ha.default\ FF - prefs.js: browser.search.defaulturl - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-divx&p= FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll FF - component: c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll FF - component: c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll FF - component: c:\programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-12 18:51 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys PCTCore.sys ACPI.sys hal.dll >>UNKNOWN [0x893B4AC8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xba0ecfc3 \Driver\ACPI -> ACPI.sys @ 0xb9e7ccb8 \Driver\atapi -> 0x8a44d1e8 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c ParseProcedure -> ntkrnlpa.exe @ 0x8058155c \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c ParseProcedure -> ntkrnlpa.exe @ 0x8058155c NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xb9cceba0 PacketIndicateHandler -> NDIS.sys @ 0xb9cdbb21 SendHandler -> NDIS.sys @ 0xb9cb987b Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-527237240-746137067-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:d2,01,70,c2,a6,5c,90,da,b6,25,6e,c7,ef,d8,e9,49,89,78,e2,59,61,72,f6, 91,a9,0a,2c,71,32,63,4e,0b,5c,f7,2a,37,79,d4,f9,e4,7b,e5,0e,27,36,0d,c5,f2,\ "??"=hex:54,6a,34,63,1b,57,eb,04,2a,98,20,c1,25,50,38,f7 [HKEY_USERS\S-1-5-21-527237240-746137067-839522115-1004\Software\SecuROM\License information*] "datasecu"=hex:93,09,ef,72,9d,38,c4,dd,bb,32,2e,35,5a,93,b7,5a,7f,0c,4a,b0,95, b9,d2,f5,40,e3,f8,6a,18,b1,69,a0,31,f9,d4,44,f6,05,8c,1d,fe,66,10,ae,86,4b,\ "rkeysecu"=hex:97,48,17,f8,9a,50,09,3c,bc,66,99,5a,3a,a0,13,bb . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(836) c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll - - - - - - - > 'explorer.exe'(4948) c:\programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Ahead\InCD\InCDsrv.exe c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE c:\windows\system32\wscntfy.exe c:\windows\SOUNDMAN.EXE c:\windows\system32\RUNDLL32.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-04-12 18:55:31 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-12 16:55 Vor Suchlauf: 10 Verzeichnis(se), 91.233.579.008 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 91.168.088.064 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - B30FD9EEACB28950010C339AF9470D34 |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken |
Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\programme\Java\jre1.6.0_07\bin\jusched .exe" deleted successfully. File "c:\windows\Mlocua.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. hxxp://www.file-upload.net/download-2430607/backup.zip.html |
Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Beide zeigen nichts an. Spyware doctor blockt aber noch immer gefährliche Popups die immer wieder kommen. Spyware Doctor steckt diese dann immer in Quarantäne. Schon mal danke für eure hilfe :D Zum Beispiel: Aktion: vom Benutzter gesperrt Details: Dieses Programm versucht, Anweisungen aus einem unbefugten Bereichs Ihres Computer auszuführen Risiko: SEHR HOCH Ablauf:C:\Windows\Temp\DVIG.TMP\SVCHOST.EXE 12.04.2010 18:01:31:703 IntelliGuard: Verhalten gesperrt Aktion: Vom Benutzer gesperrt Details: Dieses Programm versucht, eine andere gegenwärtig auf Ihrem Computer laufende Anwendung zu manipulieren, zu verändern oder zu fälschen. Risiko: HOCH Ablauf: C:\WINDOWS\TEMP\0.40043518471053785.EXE 12.04.2010 18:01:43:718 IntelliGuard: Verhalten gesperrt Aktion: Vom Benutzer gesperrt Details: Dieses Programm versucht, Anweisungen aus einem unbefugten Bereich Ihres Computers auszuführen. Risiko: SEHR HOCH Ablauf: C:\PROGRAMME\ADOBE\READER 8.0\READER\ACRORD32.EXE SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 04/12/2010 bei 09:20 PM Version der Applikation : 4.35.1002 Version der Kern-Datenbank : 4795 Version der Spur-Datenbank : 2607 Scan Art : kompletter Scann Totale Scann-Zeit : 00:23:02 Gescannte Speicherelemente : 419 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 5596 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 37963 Erfasste Datei-Elemente : 0 Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3974 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 12.04.2010 22:53:41 mbam-log-2010-04-12 (22-53-41).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|) Durchsuchte Objekte: 141791 Laufzeit: 18 Minute(n), 34 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Zitat:
|
Sorry ich verstehe 0 :P habe noch 2 gepostet. :killpc: |
Naja, ich wollte damit ausdrücken, dass ich ich kein Hellseher bin http://www.greensmilies.com/smile/sm...glaskugel2.gif und Du schon beschreiben solltest, was für Popups Du da genau meinst bzw welche gefunden wurden. So, da Du die Funde nachgreicht hast: 1.) Lade Dir von hier Avenger: http://swandog46.geekstogo.com/avenger2/avenger2.html (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken |
Da hatte ich deine Fähigkeiten wohl etwas überschätzt :dankeschoen: Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\TEMP\0.40043518471053785.EXE" not found! Deletion of file "C:\WINDOWS\TEMP\0.40043518471053785.EXE" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Folder "C:\Windows\Temp\DVIG.TMP" deleted successfully. Completed script processing. ******************* Finished! Terminate. hxxp://www.file-upload.net/download-2431824/backup-13.04.2010-13.12.36-26.zip.html |
War da keine andere backup.zip? Das was Du hochgeladen hast war die alte aus dem ersten Durchgang... |
Noch immer kommen dies Popups Spyware doctor findet auch Infizierungen. Leider weiss ich nicht, wie ich mit Spyware Doctor logs erstellen kann bzw. posten kann. Malwarebytes und SUPERantiSpyware zeigen aber beide 0 Infizierungen an :( Evtl. kann ja das helfen: 13.04.2010 13:25:18:203 Scan gestartet Scan-Art - Vollständiger Scan 13.04.2010 13:25:20:171 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - ad.adition.net/ ad.adition.net 13.04.2010 13:25:20:328 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Adware.Advertising Typ - Cookie Risiko-Stufe - Niedrig Infektion - adtech.de/ adtech.de 13.04.2010 13:25:20:343 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - apmebf.com/ apmebf.com 13.04.2010 13:25:20:484 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - de.sitestat.com/ de.sitestat.com 13.04.2010 13:25:20:484 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - de.sitestat.com/ de.sitestat.com 13.04.2010 13:25:21:281 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - ivwbox.de/ ivwbox.de 13.04.2010 13:25:21:343 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Adware.Advertising Typ - Cookie Risiko-Stufe - Niedrig Infektion - mediaplex.com/ mediaplex.com 13.04.2010 13:25:22:78 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - www.superantispyware.com/ www.superantispyware.com hxxp://www.file-upload.net/download-2431925/backup.zip.html |
Dann erstell mal ein Log mit GMER und poste es, da könnte noch ein Rootkit aktiv sein. Zitat:
|
Ach ja, das sind die einzigen Funden von Spyware Doctor, die kamen nach dem der Explorer auf ging und so eine "Antivirus page" geladen hatte. Leider war ich nicht schnell genug in der Lage diese zu schliessen GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-13 14:46:19 Windows 5.1.2600 Service Pack 2 Running: l52u5l8j.exe; Driver: C:\DOKUME~1\PC10\LOKALE~1\Temp\fgtdapog.sys ---- System - GMER 1.0.15 ---- SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwCreateKey [0xB9DB3AC2] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xB9DC9EEE] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xB9DCA0E0] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteKey [0xB9DB3CB6] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteValueKey [0xB9DB3D5C] SSDT sptd.sys ZwEnumerateKey [0xB9EC3FB2] SSDT sptd.sys ZwEnumerateValueKey [0xB9EC4340] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwOpenKey [0xB9DB39B2] SSDT sptd.sys ZwQueryKey [0xB9EC4418] SSDT sptd.sys ZwQueryValueKey [0xB9EC4298] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xB9DEAD72] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwSetValueKey [0xB9DB3EF8] SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA91E6320] ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload B8A0962C 5 Bytes JMP 8A2261C8 .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7F5C360, 0x3535DF, 0xE8000020] ? System32\Drivers\a1iwi8jo.SYS Das System kann den angegebenen Pfad nicht finden. ! .rsrc C:\WINDOWS\system32\DRIVERS\i8042prt.sys entry point in ".rsrc" section [0xAC338294] init C:\WINDOWS\System32\Drivers\sunkfilt.sys entry point in "init" section [0xAB6D52E0] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA8C56300, 0x3ACC8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA390300, 0x1B7E, 0xE8000020] pnidata C:\WINDOWS\system32\DRIVERS\secdrv.sys unknown last section [0xA8B8FF00, 0x24000, 0x48000000] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0097000A .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0098000A .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 3 Bytes JMP 0096000C .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!KiUserExceptionDispatcher + 4 7C91EAF0 1 Byte [84] .text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A .text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00C3000A .text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C .text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0052000A .text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0053000A .text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 0051000C ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EBEAD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EBEC1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EBEB9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EBF748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EBF61E] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9ED429A] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00802EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00802C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00802C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00802C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A44C1E8 AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools) AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBPDO-0 8A228790 Device \Driver\usbehci \Device\USBPDO-1 8A231790 AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A44E1E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A44E1E8 Device \Driver\Cdrom \Device\CdRom0 8A1741E8 Device \Driver\Cdrom \Device\CdRom1 8A1741E8 Device \Driver\atapi \Device\Ide\IdePort0 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A4C01E8 Device \Driver\atapi \Device\Ide\IdePort1 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A4C01E8 Device \Driver\Cdrom \Device\CdRom2 8A1741E8 Device \Driver\usbstor \Device\00000080 89FD5790 Device \Driver\NetBT \Device\NetBt_Wins_Export 89F37790 Device \Driver\NetBT \Device\NetbiosSmb 89F37790 Device \Driver\usbstor \Device\00000079 89FD5790 Device \Driver\PCI_NTPNP5970 \Device\0000004d sptd.sys AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBFDO-0 8A228790 Device \Driver\usbehci \Device\USBFDO-1 8A231790 Device \Driver\nvata \Device\NvAta0 8A44D1E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89F9C790 Device \Driver\nvata \Device\NvAta1 8A44D1E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{9E55F02A-1DD5-487C-9D08-9779006E6F16} 89F37790 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89F9C790 Device \Driver\usbstor \Device\0000007d 89FD5790 Device \Driver\Ftdisk \Device\FtControl 8A44E1E8 Device \Driver\usbstor \Device\0000007e 89FD5790 Device \Driver\usbstor \Device\0000007f 89FD5790 Device \Driver\a1iwi8jo \Device\Scsi\a1iwi8jo1 8A0CF1E8 Device \Driver\a1iwi8jo \Device\Scsi\a1iwi8jo1Port4Path0Target0Lun0 8A0CF1E8 Device \FileSystem\Cdfs \Cdfs 89F85790 Device -> \Driver\nvata \Device\Harddisk0\DR0 892FAAC8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\DRIVERS\i8042prt.sys suspicious modification File C:\WINDOWS\system32\drivers\nvata.sys suspicious modification ---- EOF - GMER 1.0.15 ---- |
Lad Dir diese saubere Datei bitte mal direkt auf C: herunter => File-Upload.net - i8042prt.sys Danach Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to move:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Neues Log mit GMER erstellen und posten |
Ok nr.1 fertig nr.2 folgt gleich Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File move operation "c:\i8042prt.sys|c:\windows\system32\drivers\i8042prt.sys" completed successfully. Completed script processing. ******************* Finished! Terminate. |
Das Nr.2. Leider konnte ich den Beitrag zuvor nicht mehr bearbeiten. Tut mir leid wegen dem doppelpost. GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-13 16:31:01 Windows 5.1.2600 Service Pack 2 Running: l52u5l8j.exe; Driver: C:\DOKUME~1\PC10\LOKALE~1\Temp\fgtdapog.sys ---- System - GMER 1.0.15 ---- SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwCreateKey [0xB9DB3AC2] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xB9DC9EEE] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xB9DCA0E0] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteKey [0xB9DB3CB6] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteValueKey [0xB9DB3D5C] SSDT sptd.sys ZwEnumerateKey [0xB9EC3FB2] SSDT sptd.sys ZwEnumerateValueKey [0xB9EC4340] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwOpenKey [0xB9DB39B2] SSDT sptd.sys ZwQueryKey [0xB9EC4418] SSDT sptd.sys ZwQueryValueKey [0xB9EC4298] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xB9DEAD72] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwSetValueKey [0xB9DB3EF8] SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAB0E6320] ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload B86F562C 5 Bytes JMP 8A28D1C8 .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7C48360, 0x3535DF, 0xE8000020] ? System32\Drivers\agc89ffs.SYS Das System kann den angegebenen Pfad nicht finden. ! init C:\WINDOWS\System32\Drivers\sunkfilt.sys entry point in "init" section [0xA7BAD2E0] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA58D3300, 0x3ACC8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB476F300, 0x1B7E, 0xE8000020] pnidata C:\WINDOWS\system32\DRIVERS\secdrv.sys unknown last section [0xA580CF00, 0x24000, 0x48000000] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EBEAD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EBEC1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EBEB9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EBF748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EBF61E] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01B42EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01B42C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01B42C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01B42C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003A2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003A2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003A2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003A2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A44C1E8 AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools) AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBPDO-0 8A256790 Device \Driver\usbehci \Device\USBPDO-1 8A28B5E0 AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A44E1E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A44E1E8 Device \Driver\Cdrom \Device\CdRom0 8A1861E8 Device \Driver\nvata \Device\00000072 8A44D1E8 Device \Driver\Cdrom \Device\CdRom1 8A1861E8 Device \Driver\atapi \Device\Ide\IdePort0 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A4C01E8 Device \Driver\atapi \Device\Ide\IdePort1 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A4C01E8 Device \Driver\Cdrom \Device\CdRom2 8A1861E8 Device \Driver\usbstor \Device\00000080 8939F6C0 Device \Driver\NetBT \Device\NetBt_Wins_Export 89EA5790 Device \Driver\NetBT \Device\NetbiosSmb 89EA5790 Device \Driver\usbstor \Device\00000079 8939F6C0 Device \Driver\PCI_NTPNP6530 \Device\0000004d sptd.sys AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBFDO-0 8A256790 Device \Driver\usbehci \Device\USBFDO-1 8A28B5E0 Device \Driver\nvata \Device\NvAta0 8A44D1E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89EB5790 Device \Driver\nvata \Device\NvAta1 8A44D1E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{9E55F02A-1DD5-487C-9D08-9779006E6F16} 89EA5790 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89EB5790 Device \Driver\usbstor \Device\0000007d 8939F6C0 Device \Driver\Ftdisk \Device\FtControl 8A44E1E8 Device \Driver\usbstor \Device\0000007e 8939F6C0 Device \Driver\usbstor \Device\0000007f 8939F6C0 Device \Driver\agc89ffs \Device\Scsi\agc89ffs1 8A0E4790 Device \Driver\agc89ffs \Device\Scsi\agc89ffs1Port4Path0Target0Lun0 8A0E4790 Device \FileSystem\Cdfs \Cdfs 89FC9790 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... ---- EOF - GMER 1.0.15 ---- |
Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Bis jetzt nichts mehr gekommen :D hoffe das bleibt so. Meld mich später wenn ich mehr weiss. Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3984 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 13.04.2010 18:34:47 mbam-log-2010-04-13 (18-34-47).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|) Durchsuchte Objekte: 140583 Laufzeit: 13 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Dann wars wohl nur noch das letzte Rootkit (das mit dem letzten Avenger, wo Du die i8042prt.sys beu herunterladen musstest ;) ) Wenn nun wieder alles ok ist, bitte umgehend(!)Updates prüfen, da fehlen auf jeden Fall das SP3, der IE8 und die Folgeupdates für Dein Windows XP! Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:50 Uhr. |
Copyright ©2000-2024, Trojaner-Board