Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Antispyware? ich sach nur plagegeist (https://www.trojaner-board.de/54897-antispyware-sach-nur-plagegeist.html)

Maaakus 28.06.2008 09:55
Antispyware? ich sach nur plagegeist
 
Hey ihr!
Ich hab des selbe problem wie Tacco und bestimmt auch viele andre auch.
Bei mir öffnen sich andauernd fenster mit so virus allerts,
un auf meim desktop sin auch 3 neue verknüpfungen die ich bis heut morgen nicht gesehn hab -.-
Und es kommen noch so spyware alerts fenster,.
ich hab kp was ich machen soll:heulen:


Meine HJT log

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

schrauber 28.06.2008 10:14
hi,

Zitat:
I:\WINDOWS\system32\winsys2.exe
I:\WINDOWS\gxvpsafm.dll
I:\WINDOWS\system32\yxwdcxlk.dll
I:\WINDOWS\qegbdmwf.dll
I:\WINDOWS\pntqkflv.dll
bitte bei virustotal scannen lassen und ergebnis hier posten.
  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus .
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.


Lade das SmitfraudFix von S!Ri runter: SmitfraudFix
Anwendung:

Suche:
  • Doppelklick auf die SmitfraudFix.exe
  • Wähle die 1 und drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht soll gespeichert werden, als C:\rapport-1.txt

Reinigung:
  • Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
  • Mach einen Doppelklick auf SmitfraudFix.exe
  • Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen
  • Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.
  • Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
  • Du solltest deinen Rechner nun neu aufstarten, um den Reinigungsprozess zu beenden. Das Logfile solltest du speichern, als C:\rapport-2.txt
Optional:
  • Wenn du die Zones und Restricted Zones wiederherstellen willst, gib die 3 ein und drücke auf Enter.
  • Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen.
Mehr dazu -> hier Starte dein System neu auf.[/U]


scanne mit Malwarebytes Anti-Malware und poste das log.


gruß

schrauber

Maaakus 28.06.2008 10:47
Also hier die Analysen:

Zitat:
hi,

Zitat:
I:\WINDOWS\system32\winsys2.exe
I:\WINDOWS\gxvpsafm.dll
I:\WINDOWS\system32\yxwdcxlk.dll
I:\WINDOWS\qegbdmwf.dll
I:\WINDOWS\pntqkflv.dll
bitte bei virustotal scannen lassen und ergebnis hier posten.

Datei WinSys2.exe empfangen 2008.06.28 11:33:47 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 -
AVG 7.5.0.516 2008.06.28 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 -
Ikarus T3.1.1.26.0 2008.06.28 -
Kaspersky 7.0.0.125 2008.06.28 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 -
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.28 -
Rising 20.50.52.00 2008.06.28 -
Sophos 4.30.0 2008.06.28 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.28 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 -
weitere Informationen
File size: 217088 bytes
MD5...: 431a18c5e9f8827193afcb74e3880888
SHA1..: c7cf0efdde387f2f9bf0b679efc3457fb2b4f007
SHA256: 7a7366b9b0f64c93537de2de560f342df61aa537d46905768f1e79d98881e4e3
SHA512: b9f4423e918ef7378e64e4f9927eaaa2d43a4736aec37dc5332a45b317b4fce3
83659f4533a2e4a72ed50da4375249eaa0ca948091b60bf51e059430bda8defb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40eee7
timedatestamp.....: 0x45820f7e (Fri Dec 15 02:59:10 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f6d6 0x20000 6.61 2597fdefa7ef0d72e6b9d042d179f807
.rdata 0x21000 0x7656 0x8000 4.79 899ec8e85f3cc8ad1813912de26c157a
.data 0x29000 0x5a74 0x2000 3.85 6d7f74470b50f6760435bdc1865de721
.rsrc 0x2f000 0x9290 0xa000 5.56 b596ffd3a165cb398764578107bedac4

( 8 imports )
> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA
> KERNEL32.dll: SetErrorMode, HeapFree, HeapAlloc, VirtualAlloc, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, RtlUnwind, ExitProcess, HeapSize, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapDestroy, HeapCreate, VirtualFree, GetStdHandle, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, GetVersionExA, InterlockedDecrement, GetModuleFileNameW, FreeResource, CloseHandle, WritePrivateProfileStringA, GlobalAddAtomA, GetCurrentProcessId, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, LoadLibraryA, lstrcmpA, FreeLibrary, GlobalDeleteAtom, GetModuleHandleA, GetProcAddress, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetVersion, CompareStringA, GetLastError, InterlockedExchange, MultiByteToWideChar, WideCharToMultiByte, lstrlenA
> USER32.dll: LoadCursorA, GetSysColorBrush, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, UnhookWindowsHookEx, GetSysColor, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, EnableWindow, GetSystemMetrics, GetDlgItem, GetNextDlgTabItem, EndDialog, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, DestroyMenu, UnregisterClassA, PostMessageA, SendMessageA, GetClientRect, DrawIcon, LoadIconA, IsIconic, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, CheckMenuItem, EnableMenuItem, ModifyMenuA, GetParent, ValidateRect, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, PostQuitMessage, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetClassInfoExA
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, RectVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, GetDeviceCaps, PtVisible, GetObjectA, DeleteObject, GetClipBox, SetMapMode, SetTextColor, SetBkColor, RestoreDC, SaveDC, CreateBitmap, TextOutA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegCloseKey, RegOpenKeyExA, RegCreateKeyExA, RegQueryValueExA, RegSetValueExA
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -

( 0 exports )



Datei gxvpsafm.dll empfangen 2008.06.28 11:38:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 15/33 (45.46%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 ADSPY/AdSpy.Gen
Authentium 5.1.0.4 2008.06.27 W32/Adware-Vapsup!Maximus
Avast 4.8.1195.0 2008.06.27 -
AVG 7.5.0.516 2008.06.28 Downloader.Zlob.SE
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.28 Trojan.Vapsup.hbd
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 Win32/Pripecs!generic
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 W32/Adware-Vapsup!Maximus
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 Trojan.Win32.Vapsup.hhb
Ikarus T3.1.1.26.0 2008.06.28 AdWare.AdSpy
Kaspersky 7.0.0.125 2008.06.28 Trojan.Win32.Vapsup.hhb
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 Adware:Win32/Vapsup
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.28 Malware Downloader
Rising 20.50.52.00 2008.06.28 Trojan.DL.Win32.Zlob.gbo
Sophos 4.30.0 2008.06.28 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.28 suspected of Downloader.Zlob.7
VirusBuster 4.5.11.0 2008.06.23 Trojan.Zlob.IYR.Gen
Webwasher-Gateway 6.6.2 2008.06.28 Ad-Spyware.AdSpy.Gen
weitere Informationen
File size: 188416 bytes
MD5...: 0db22a7faffd0dc0768eb39420554ca8
SHA1..: f822d5f7f834889f7444f6c57d4f79c1a6ccd26a
SHA256: 6d1abf3bfb2f8f0e14f69680ddc96e7acba0524e8b3b92cc8dce08b1168edd9c
SHA512: e6652fdc0d90f4178df1d8e03c38446ac29f987c7635acc8b5faf36c344342bb
748cb03ad2dc491f3400bdb02d4d218413713644c2ed2652ef39b64cee3f5bd1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100124df
timedatestamp.....: 0x48649cfc (Fri Jun 27 07:55:40 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e1a9 0x1f000 6.41 2a360d6bbac4c8b8a9292e992412c40d
.rdata 0x20000 0x6795 0x7000 4.94 7a282af1e055604e29ed821a442a1f23
.data 0x27000 0x38a0 0x2000 3.63 d490de6439cbdec282c15a9d389df626
.rsrc 0x2b000 0x1d20 0x2000 4.32 cc01e7a87066d6df5ae6949f6b46f9d1
.reloc 0x2d000 0x26b6 0x3000 4.32 e86f13dc5d175341692b8babc580d279

( 6 imports )
> COMCTL32.dll: ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy
> KERNEL32.dll: GetLastError, RaiseException, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetModuleHandleW, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, lstrlenW, InterlockedIncrement, InitializeCriticalSection, DisableThreadLibraryCalls, GetModuleFileNameW, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentProcess, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, LocalFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, Sleep, HeapSize, ExitProcess, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetStdHandle, GetModuleFileNameA, HeapDestroy, HeapCreate, SetHandleCount, GetFileType, GetStartupInfoA
> USER32.dll: SetWindowLongW, ShowWindow, GetClassInfoExW, UnregisterClassA, RegisterClassExW, CreateWindowExW, GetClientRect, CharNextW, CallWindowProcW, GetWindowLongW, LoadCursorW, GetSysColor, SendMessageW, IsWindow, DestroyWindow, DefWindowProcW
> ADVAPI32.dll: RegDeleteValueW, RegDeleteKeyW, RegCloseKey, RegCreateKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegOpenKeyExW, RegSetValueExW
> ole32.dll: CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer




Datei yxwdcxlk.dll empfangen 2008.06.28 11:39:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/33 (15.16%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 -
AVG 7.5.0.516 2008.06.28 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.28 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 Suspicious File
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 -
Ikarus T3.1.1.26.0 2008.06.28 Virus.Win32.Vundo@dll
Kaspersky 7.0.0.125 2008.06.28 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 -
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 Suspicious file
Prevx1 V2 2008.06.28 Fraudulent Security Program
Rising 20.50.52.00 2008.06.28 -
Sophos 4.30.0 2008.06.28 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.28 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 92032 bytes
MD5...: 4b756c7603502acc1b42bfd8eb87735e
SHA1..: 374d3c17b9b1a18aa32209681e18ee2662dfe8ee
SHA256: 7a2939a41360b09a836b10e9748ca97b31914c11abf5e0af290c87bcd32fa8e9
SHA512: 67dd91b03f217d121cbddffd487a34da5f2e6ed49e2e8d52ee1ec4f5c43e8b8b
2351e97e299067fd3f8529b62762f8e1fab4997771007bce19fefbb0afeb487c
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000150f
timedatestamp.....: 0x4847fdbe (Thu Jun 05 14:52:46 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.96 da04c4ca20ac4beccb2179008d15381a
.idata 0x3000 0x1000 0x600 4.90 7716552917bdc0fe0801bea9f99efeea
.rsrc 0x4000 0x4000 0x4000 7.99 0f08ff5604bdef85e0565059e82e413f
.data 0x8000 0x4000 0x3c00 7.99 6aea5e16a2a5804604f7fe57fc0f5b45
.data 0xc000 0x1a000 0xa780 7.98 42d72f91b52bbb3f3acbc1250a6952a6

( 1 imports )
> user32.dll: BeginPaint, BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetDesktopWindow, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA

( 0 exports )


Datei qegbdmwf.dll empfangen 2008.06.28 11:41:05 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/33 (36.37%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 Win-Trojan/Vapsup.258048.AV
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 Win32:Vapsup-CF
AVG 7.5.0.516 2008.06.28 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.28 Trojan.Vapsup.gqn
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 Win32/Pripecs!generic
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 Trojan.Win32.Vapsup.hhb
Ikarus T3.1.1.26.0 2008.06.28 Virus.Win32.Agent.LTS
Kaspersky 7.0.0.125 2008.06.28 Trojan.Win32.Vapsup.hhb
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 TrojanDownloader:Win32/Zlob.ZWU
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.28 Cloaked Malware
Rising 20.50.52.00 2008.06.28 Trojan.Win32.Undef.int
Sophos 4.30.0 2008.06.28 Mal/Zlob-Q
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.28 suspected of Downloader.Zlob.7
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 -
weitere Informationen
File size: 258048 bytes
MD5...: afca2d4694dd36c3db9eb9e4d9013dc8
SHA1..: 88e2768cbee514d985fb3b12643854b2cef3a2c7
SHA256: 9f747e8c0cca4db02607a2d4c4b38ce331f2f27e4bafa9e6ded5cccf7bfefad0
SHA512: 1bafac2d61e4ce5eaa5414653b1641df6b4dc48eda0975aa3adcd8d8b4d744ac
c2226f6b3bef075b4c6436a40a137624d88964c092f7308dda2925119f47cc96
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10011df8
timedatestamp.....: 0x486498fc (Fri Jun 27 07:38:36 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x37532 0x38000 6.32 6e07848f941b1511feb1dadf6b26aaea
.data 0x39000 0x2eac 0x2000 1.58 2a17122b7981304e6504b77827964e92
.rsrc 0x3c000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.reloc 0x3d000 0x2640 0x3000 4.22 cbf351afc85d40b29e84da009ea80105

( 2 imports )
> KERNEL32.dll: GetLastError, CloseHandle, GetSystemTime, CreateEventW, WaitForSingleObject, MultiByteToWideChar, SetFilePointer, LoadLibraryW, GetFileAttributesW, CreateFileW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, CreateDirectoryW, WriteFile, SetFileTime, GetProcAddress, FindClose, SystemTimeToFileTime, FindFirstFileW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, Sleep, HeapSize, ExitProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FlushFileBuffers, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, InitializeCriticalSection, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetEndOfFile, CreateFileA
> ADVAPI32.dll: RegSetValueExW, RegQueryValueExW, RegDeleteValueW

( 0 exports )

Maaakus 28.06.2008 10:48
Hier noch der letzte bricht

Datei pntqkflv.dll empfangen 2008.06.28 11:42:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/33 (33.34%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 Win-Trojan/Vapsup.286720.J
AntiVir 7.8.0.59 2008.06.27 ADSPY/Agent.PB
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 Win32:Agent-LTS
AVG 7.5.0.516 2008.06.28 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.28 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 Trojan.Win32.Vapsup.hgf
Ikarus T3.1.1.26.0 2008.06.28 Virus.Win32.Agent.LTS
Kaspersky 7.0.0.125 2008.06.28 Trojan.Win32.Vapsup.hgf
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 TrojanDownloader:Win32/Zlob.IC
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.28 Cloaked Malware
Rising 20.50.52.00 2008.06.28 Trojan.Win32.Undef.inu
Sophos 4.30.0 2008.06.28 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.28 suspected of Downloader.Zlob.7
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 Ad-Spyware.Agent.PB
weitere Informationen
File size: 286720 bytes
MD5...: 8fe4bd95f5878cbe6287e422f9ea8a9a
SHA1..: 50374cf013e24ea338d13bed8a2fbccb9e8a5648
SHA256: 0434dd97b8e249251a039428c24c66ec58a723b7f7cfcfc3c466bea1ae0fbb7e
SHA512: e50ea504f4c61d3f600fbd234f33854bde6f62b296297ec1428163eea8c56428
36162757f23ca4e909adcd038a48a625918e6d2ad46f40f82ddc58cd9a7fdeb8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10013eca
timedatestamp.....: 0x48649ac5 (Fri Jun 27 07:46:13 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x39f70 0x3a000 6.34 1e600931799fd6e01270da4a79d031ad
.data 0x3b000 0x32e0 0x2000 2.61 77fb67a6e4b0a523484ba6e4bc548fae
.rsrc 0x3f000 0x51e0 0x6000 4.10 5cdae128269570a0c9545cb2a361a0e3
.reloc 0x45000 0x2734 0x3000 4.42 5a34bf4cb24a5257de4483276a0ebc54

( 3 imports )
> KERNEL32.dll: CloseHandle, CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, WriteFile, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, CreateFileW, lstrcpynW, GetSystemTime, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, HeapSize, ExitProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, LoadLibraryA, InitializeCriticalSection, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, CreateFileA
> USER32.dll: GetWindow, MessageBoxW, GetDesktopWindow
> ADVAPI32.dll: RegSetValueExW, RegQueryValueExW, RegDeleteValueW

( 0 exports )

schrauber 28.06.2008 11:13
gut,dann wende bitte jetzt die anderen tools an,die ich oben genannt habe.

gruß

schrauber

Maaakus 28.06.2008 11:45
System Report
*************

Run on 28.06.2008 at 11:56: VIRUS ALERT!

Microsoft Windows XP [Version 5.1.2600]

Current user is an administrator

Running Processes:

\SystemRoot\System32\smss.exe [716]
\??\I:\WINDOWS\system32\csrss.exe [784]
\??\I:\WINDOWS\system32\winlogon.exe [820]
I:\WINDOWS\system32\services.exe [864]
I:\WINDOWS\system32\lsass.exe [876]
I:\WINDOWS\system32\svchost.exe [1060]
I:\WINDOWS\system32\svchost.exe [1108]
I:\WINDOWS\System32\svchost.exe [1460]
I:\WINDOWS\system32\svchost.exe [1500]
I:\WINDOWS\system32\svchost.exe [1616]
I:\WINDOWS\system32\svchost.exe [1760]
I:\WINDOWS\system32\spoolsv.exe [1940]
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe [1988]
I:\WINDOWS\Explorer.EXE [604]
I:\WINDOWS\RTHDCPL.EXE [776]
I:\WINDOWS\system32\winsys2.exe [948]
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [1016]
I:\Programme\Java\jre1.6.0_03\bin\jusched.exe [1028]
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [1152]
I:\Programme\MSI\Live Update 3\LMonitor.exe [1180]
L:\Acrobat Reader\Reader\Reader_sl.exe [1216]
I:\WINDOWS\system32\RUNDLL32.EXE [1252]
I:\WINDOWS\system32\rundll32.exe [1260]
I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [1284]
I:\WINDOWS\system32\ctfmon.exe [1292]
L:\Last.fm\LastFMHelper.exe [1348]
I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [1372]
I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [1380]
I:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe [596]
I:\Programme\AntiVir PersonalEdition Classic\sched.exe [1648]
I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [1672]
I:\WINDOWS\system32\nvsvc32.exe [1728]
I:\WINDOWS\system32\PnkBstrA.exe [1812]
I:\WINDOWS\system32\svchost.exe [1976]
I:\WINDOWS\System32\alg.exe [2684]
I:\WINDOWS\system32\wscntfy.exe [3080]
I:\WINDOWS\system32\wbem\wmiprvse.exe [3112]
I:\Programme\ArcorOnline\AOButler.exe [1880]


Drivers - Running:

ACEDRV05
ACPI
AFD
Arp1394
atapi
atksgt
audstub
avgio
avgntflt
avipbb
Beep
Cdfs
Cdrom
Disk
DualCoreCenter
Fdc
Fips
Flpydisk
FltMgr
Ftdisk
Gpc
hamachi
HDAudBus
hidusb
HTTP
i8042prt
Imapi
IntcAzAudAddService
intelppm
IpNat
IPSec
isapnp
Kbdclass
kbdhid
kmixer
KSecDD
lirsgt
mnmdd
Mouclass
MountMgr
MRxDAV
MRxSmb
Msfs
mssmbios
Mup
NDIS
NdisTapi
Ndisuio
NdisWan
NDProxy
NetBIOS
NetBT
NIC1394
Npfs
Ntfs
Null
nv
NVENETFD
nvnetbus
NVR0Dev
ohci1394
ovt519
Parport
PartMgr
ParVdm
PCI
PCIIde
PptpMiniport
PSched
Ptilink
RasAcd
Rasl2tp
RasPppoe
Raspti
Rdbss
RDPCDD
redbook
RushTopDevice2
Secdrv
serenum
Serial
sptd
sr
Srv
ssmdrv
swenum
sysaudio
Tcpip
TermDD
Udfs
Update
usbaudio
usbccgp
usbehci
usbhub
usbohci
usbprint
usbstor
VgaSave
VolSnap
Wanarp
wdmaud
WudfPf


Drivers - Stopped:

Abiosdsk
abp480n5
ACPIEC
adpu160m
aec
Aha154x
aic78u2
aic78xx
AliIde
amsint
asc
asc3350p
asc3550
AsyncMac
Atdisk
Atmarpc
cbidf2k
CCDECODE
cd20xrnt
Cdaudio
Changer
CmdIde
Cpqarray
dac960nt
dmboot
dmio
dmload
DMusic
dpti2o
drmkaud
EagleNT
ENTECH
Fastfat
GMSIPCI
hpn
i2omgmt
i2omp
InCDFs
InCDPass
InCDRm
ini910u
IntelIde
Ip6Fw
IpFilterDriver
IpInIp
IRENUM
lbrtfdc
Modem
mraid35x
MSICPL
MSKSSRV
MSPCLOCK
MSPQM
MSTEE
NABTSFEC
NdisIP
NTACCESS
NwlnkFlt
NwlnkFwd
PCIDump
Pcmcia
PDCOMP
PDFRAME
PDRELI
PDRFRAME
perc2
perc2hib
ql1080
Ql10wnt
ql12160
ql1240
ql1280
RDPWD
s117bus
s117mdfl
s117mdm
s117mgmt
s117nd5
s117obex
s117unic
Sfloppy
Simbad
SLIP
Sparrow
splitter
streamip
swmidi
symc810
symc8xx
sym_hi
sym_u3
TDPIPE
TDTCP
TosIde
ultra
ViaIde
WDICA
WpdUsb
WSTCODEC
WudfRd
zlportio


Services - Running:

ALG
AntiVirScheduler
AntiVirService
Apple
AudioSrv
BITS
CryptSvc
DcomLaunch
Dhcp
Dnscache
ERSvc
Eventlog
EventSystem
FastUserSwitchingCompatibility
helpsvc
lanmanserver
lanmanworkstation
LmHosts
Netman
Nla
NVSvc
PlugPlay
PnkBstrA
PolicyAgent
ProtectedStorage
RasMan
RpcSs
SamSs
Schedule
seclogon
SENS
SharedAccess
ShellHWDetection
Spooler
srservice
SSDPSRV
stisvc
TapiSrv
TermService
Themes
TrkWks
W32Time
WebClient
winmgmt
wscsvc
WudfSvc
WZCSVC


Services - Stopped:

Alerter
AppMgmt
aspnet_state
Browser
CiSvc
ClipSrv
clr_optimization_v2.0.50727_32
COMSysApp
dmadmin
dmserver
HidServ
HTTPFilter
IDriverT
ImapiService
Messenger
mnmsrvc
MSDTC
MSIServer
NetDDE
NetDDEdsdm
Netlogon
NtLmSsp
NtmsSvc
RasAuto
RDSessMgr
RemoteAccess
RpcLocator
RSVP
SCardSvr
SwPrv
SysmonLog
upnphost
UPS
usprserv
VSS
WmdmPmSN
WmiApSrv
WMPNetworkSvc
wuauserv
xmlprov


Files Created/Modified - 60 Days:


I:\

28 Jun 2008 10:03:54 0 A.... I:\FIRSTR~1.LOG
28 Jun 2008 11:52:22 2.146.799.616 A.SH. I:\HIBERFIL.SYS
28 Jun 2008 11:52:20 2.145.386.496 A.SH. I:\PAGEFILE.SYS


I:\WINDOWS\

28 Jun 2008 11:53:50 0 A.... I:\WINDOWS\0.LOG
28 Jun 2008 11:52:24 2.048 A.S.. I:\WINDOWS\BOOTSTAT.DAT
18 May 2008 18:54:02 261.061 A.... I:\WINDOWS\COMSETUP.LOG
14 May 2008 15:18:32 374.090 A.... I:\WINDOWS\DIRECTX.LOG
2 Jun 2008 21:15:12 31.258 A.... I:\WINDOWS\DPINST.LOG
27 Jun 2008 10:06:28 163.840 A.... I:\WINDOWS\EQWT.EXE
18 May 2008 18:54:02 742.913 A.... I:\WINDOWS\FAXSETUP.LOG
27 Jun 2008 10:06:28 307.200 A.... I:\WINDOWS\GFETQA~1.DLL
27 Jun 2008 10:06:30 188.416 A.... I:\WINDOWS\GXVPSAFM.DLL
18 May 2008 18:54:02 117.398 A.... I:\WINDOWS\IIS6.LOG
6 May 2008 21:39:32 1.891 A.... I:\WINDOWS\IMSINS.BAK
18 May 2008 18:54:02 1.374 A.... I:\WINDOWS\IMSINS.LOG
18 May 2008 18:54:02 15.750 A.... I:\WINDOWS\KB950749.LOG
18 May 2008 18:54:02 37.843 A.... I:\WINDOWS\MSGSOCM.LOG
27 Jun 2008 21:49:22 116 A.... I:\WINDOWS\NERODI~1.INI
18 May 2008 18:54:02 157.036 A.... I:\WINDOWS\NTDTCS~1.LOG
18 May 2008 18:54:02 367.212 A.... I:\WINDOWS\OCGEN.LOG
18 May 2008 18:54:02 41.622 A.... I:\WINDOWS\OCMSN.LOG
28 May 2008 22:58:26 151 A.... I:\WINDOWS\PHOTOS~1.INI
27 Jun 2008 10:06:28 286.720 A.... I:\WINDOWS\PNTQKFLV.DLL
27 Jun 2008 10:06:26 258.048 A.... I:\WINDOWS\QEGBDMWF.DLL
3 Jun 2008 12:23:08 1.409 A.... I:\WINDOWS\QTFONT.FOR
10 Jun 2008 13:37:06 54.156 A..H. I:\WINDOWS\QTFONT.QFN
28 Jun 2008 11:51:18 32.584 A.... I:\WINDOWS\SCHEDLGU.TXT
3 Jun 2008 14:42:36 173.588 A.... I:\WINDOWS\SETUPACT.LOG
3 Jun 2008 14:42:36 52.817 A.... I:\WINDOWS\SETUPAPI.LOG
13 May 2008 12:07:46 1.093.370 A.... I:\WINDOWS\SETUPA~1.OLD
27 Jun 2008 10:06:30 81.920 A.... I:\WINDOWS\TOVAFRNM.EXE
18 May 2008 18:54:02 291.383 A.... I:\WINDOWS\TSOC.LOG
18 May 2008 18:53:58 41.287 A.... I:\WINDOWS\UPDSPAPI.LOG
28 Jun 2008 11:53:46 157 A.... I:\WINDOWS\WIADEBUG.LOG
28 Jun 2008 11:53:40 50 A.... I:\WINDOWS\WIASERVC.LOG
28 Jun 2008 11:51:16 1.072.798 A.... I:\WINDOWS\WINDOW~1.LOG
9 Jun 2008 15:40:52 80.413 A.... I:\WINDOWS\WMSETUP.LOG
18 May 2008 18:53:34 7.354 A.... I:\WINDOWS\DEBUG\MRT.LOG
18 May 2008 18:53:34 5.814 A.... I:\WINDOWS\DEBUG\MRTENG.LOG
28 Jun 2008 11:52:24 0 A.... I:\WINDOWS\DEBUG\PASSWD.LOG
29 May 2008 13:37:52 4.100 A.... I:\WINDOWS\INF\BRANCHES.PNF
29 May 2008 13:39:32 62.444 A.... I:\WINDOWS\INF\FONT.PNF
2 Jun 2008 21:19:52 1.387.032 A.... I:\WINDOWS\INF\INFCACHE.1
2 Jun 2008 21:15:12 9.536 A.... I:\WINDOWS\INF\OEM11.PNF
2 Jun 2008 21:15:12 21.130 A.... I:\WINDOWS\INF\OEM12.PNF
2 Jun 2008 21:15:12 12.410 A.... I:\WINDOWS\INF\OEM13.PNF
2 Jun 2008 21:15:12 5.522 A.... I:\WINDOWS\INF\OEM14.PNF
2 Jun 2008 21:15:12 8.594 A.... I:\WINDOWS\INF\OEM15.PNF
2 Jun 2008 21:15:12 8.938 A.... I:\WINDOWS\INF\OEM16.PNF
2 Jun 2008 21:15:12 10.002 A.... I:\WINDOWS\INF\OEM17.PNF
3 Jun 2008 14:42:34 10.668 A.... I:\WINDOWS\INF\PTPUSB.PNF
2 Jun 2008 21:36:30 694.784 A.... I:\WINDOWS\INSTAL~1\164BF768.MSI
2 Jun 2008 21:36:48 331.264 A.... I:\WINDOWS\INSTAL~1\164C5EB4.MSI
2 Jun 2008 21:38:02 5.429.760 A.... I:\WINDOWS\INSTAL~1\164C5EB8.MSI
28 Jun 2008 10:03:14 98.304 A.... I:\WINDOWS\MINIDUMP\MINI06~1.DMP
27 Jun 2008 13:47:18 619.420 A.... I:\WINDOWS\SOFTWA~1\REPORT~1.LOG
27 Jun 2008 21:49:24 0 A.... I:\WINDOWS\SYSTEM32\0B23C5~1.TXT
27 Jun 2008 15:09:56 317.696 A.... I:\WINDOWS\SYSTEM32\AWTTSPFD.DLL
27 Jun 2008 15:04:52 43.008 A.... I:\WINDOWS\SYSTEM32\CLBDLL.DLL
28 Jun 2008 11:56:36 135.748 A.SH. I:\WINDOWS\SYSTEM32\DFPSTTWA.INI
28 Jun 2008 11:53:56 135.431 A.SH. I:\WINDOWS\SYSTEM32\DFPSTT~1.INI
27 Jun 2008 15:04:50 28.288 A.... I:\WINDOWS\SYSTEM32\EFCYPHYV.DLL
27 Jun 2008 15:11:04 1.623.974 ..SH. I:\WINDOWS\SYSTEM32\FLCERPSW.INI
13 Jun 2008 17:00:18 116.560 A.... I:\WINDOWS\SYSTEM32\FNTCACHE.DAT
28 Jun 2008 11:52:56 1.624.235 ..SH. I:\WINDOWS\SYSTEM32\KLXCDWXY.INI
9 May 2008 23:35:04 16.863.864 A.... I:\WINDOWS\SYSTEM32\MRT.EXE
29 May 2008 21:30:48 828.824 A.... I:\WINDOWS\SYSTEM32\RVAXO.BAT
28 Jun 2008 9:02:14 13.646 A.... I:\WINDOWS\SYSTEM32\WPA.DBL
27 Jun 2008 21:49:50 92.032 A.... I:\WINDOWS\SYSTEM32\YXWDCXLK.DLL
28 Jun 2008 11:52:28 6 A..H. I:\WINDOWS\TASKS\SA.DAT
28 Jun 2008 10:04:54 16.384 A.... I:\WINDOWS\TEMP\PERFLI~1.DAT
28 Jun 2008 11:53:54 16.384 A.... I:\WINDOWS\TEMP\PERFLI~2.DAT
28 Jun 2008 11:56:38 2.376 A.... I:\WINDOWS\TEMP\SCS6.TMP
18 May 2008 18:54:02 16.852 A.... I:\WINDOWS\$N8CB2~1\SPUNINST\SPUNINST.INF
18 May 2008 18:53:56 4.364 A.... I:\WINDOWS\$N8CB2~1\SPUNINST\SPUNINST.TXT
2 Jun 2008 21:38:02 45.646 A...R I:\WINDOWS\INSTAL~1\{5C726~1\MMM.ICO
28 Jun 2008 10:47:52 7.348.224 A.... I:\WINDOWS\SOFTWA~1\DATAST~1\DATAST~1.EDB
7 May 2008 12:58:58 28.850 A.... I:\WINDOWS\SOFTWA~1\DOWNLOAD\6124B7~1
20 May 2008 14:20:16 8 A.... I:\WINDOWS\SOFTWA~1\EVENTC~1\{01F12~1.BIN
5 May 2008 15:37:32 8 A.... I:\WINDOWS\SOFTWA~1\EVENTC~1\{08824~1.BIN
1 May 2008 12:22:16 8 A.... I:\WINDOWS\SOFTWA~1\EVENTC~1\{27905~1.BIN
10 May 2008 9:51:20 8 A.... I:\WINDOWS\SOFTWA~1\EVENTC~1\{C4164~1.BIN
18 May 2008 17:31:52 8 A.... I:\WINDOWS\SOFTWA~1\EVENTC~1\{D55C7~1.BIN
18 May 2008 18:19:40 8 A.... I:\WINDOWS\SOFTWA~1\EVENTC~1\{E1D1A~1.BIN
24 Jun 2008 17:09:40 25.384 A.... I:\WINDOWS\SOFTWA~1\WEBSETUP\WSUS3S~1.CAB
24 Jun 2008 17:09:38 10.144 A.... I:\WINDOWS\SOFTWA~1\WEBSETUP\WUIDENT.CAB
2 Jun 2008 21:38:42 142.062 A.... I:\WINDOWS\MICROS~1.NET\FRAMEW~1\V20~1.507\NGEN.LOG
28 Jun 2008 10:47:52 8.192 A.... I:\WINDOWS\SOFTWA~1\DATAST~1\LOGS\EDB.CHK
28 Jun 2008 10:47:52 131.072 A.... I:\WINDOWS\SOFTWA~1\DATAST~1\LOGS\EDB.LOG
25 Jun 2008 12:25:02 131.072 A.... I:\WINDOWS\SOFTWA~1\DATAST~1\LOGS\EDB00091.LOG
27 Jun 2008 13:46:52 25.384 A.... I:\WINDOWS\SOFTWA~1\SELFUP~1\DEFAULT\WSUS3S~1.CAB
28 Apr 2008 15:57:00 10.040 A.... I:\WINDOWS\SOFTWA~1\WUREDIR\9482F4~1\WUREDIR.CAB
2 Jun 2008 21:15:12 8 A.... I:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\TIMEST~1
28 Jun 2008 10:03:48 22 A.... I:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
28 Jun 2008 11:53:38 27.136 A.... I:\WINDOWS\SYSTEM32\LOGFILES\PUNKBU~1\PNKBSTRA.LOG
28 Jun 2008 11:52:26 4.096 A.... I:\WINDOWS\SYSTEM32\LOGFILES\WUDF\WUDFTR~1.ETL
16 May 2008 22:21:34 17.425 A.... I:\WINDOWS\SYSTEM32\MACROMED\FLASH\INSTALL.LOG
16 May 2008 22:21:34 74.649 A.... I:\WINDOWS\SYSTEM32\MACROMED\FLASH\UNINST~2.EXE
28 Jun 2008 11:53:52 20 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\$WINMGMT.CFG
28 Jun 2008 11:55:48 1.253.376 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\FS\INDEX.BTR
28 Jun 2008 11:55:48 644 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\FS\INDEX.MAP
28 Jun 2008 11:55:48 4 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\FS\MAPPING.VER
28 Jun 2008 11:55:48 4.864 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\FS\MAPPING1.MAP
28 Jun 2008 11:55:40 4.864 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\FS\MAPPING2.MAP
28 Jun 2008 11:55:48 4.220 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\FS\OBJECTS.MAP
28 Jun 2008 11:55:48 8.536.064 A.... I:\WINDOWS\SYSTEM32\WBEM\REPOSI~1\FS\OBJECT~1.DAT

Maaakus 28.06.2008 11:49
I:\Programme\



Files with hidden attributes:

Sat 29 Dec 2007 4,348 A.SH. --- I:\DOKUME~1\ALLUSE~1\DRM\DRMV1.BAK
Tue 24 Jun 2008 33,100 ...H. --- I:\DOKUME~1\ADMIN\LOKALE~1\TEMP\Z@R6C6.TMP
Tue 30 Oct 2007 0 A.SH. --- I:\DOKUME~1\ALLUSE~1\DRM\CACHE\INDIV01.TMP
Tue 16 Oct 2007 0 A..H. --- I:\WINDOWS\SOFTWA~1\DOWNLOAD\DF5639~1\BIT2.TMP
Sun 9 Mar 2008 65,673,358 A..H. --- I:\WINDOWS\SOFTWA~1\DOWNLOAD\F071AF~1\BIT1DE.TMP


Program Folders:

I:\Programme\

Adobe
AntiVir PersonalEdition Classic
Apple Software Update
ArcorOnline
aTube Catcher 1.0 rc2
Avanquest update
DivX
EA GAMES
Electronic Arts
Gemeinsame Dateien
Google
HJT
ICQToolbar
InstallShield Installation Information
Internet Explorer
Java
Messenger
microsoft frontpage
Microsoft Office
Microsoft Visual Studio
Movie Maker
Mozilla Firefox
Mozilla Thunderbird
MSI
MSN
MSN Gaming Zone
MSXML 4.0
Nero
NetMeeting
Online Services
Online-Dienste
Outlook Express
pdf995
Pegasys Inc
QuickTime
Real
Realtek
Setup Files
Sierra On-Line
Thoosje Sidebar V2.3
Uninstall Information
VID_0E8F&PID_0012
Winamp Toolbar
Windows Media Connect 2
Windows Media Player
Windows NT
WindowsUpdate
xerox

I:\Programme\Gemeinsame Dateien\

Adobe
Ahead
Apple
Blizzard Entertainment
Designer
Dienste
InstallShield
Java
Microsoft Shared
MSSoap
ODBC
Real
SpeechEngines
SWF Studio
System
xing shared


Add/Remove Programs:

4Story 1.01b
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Shockwave Player 11
Age of Mythology
Age of Mythology - The Titans Expansion
Avira AntiVir Personal – Free Antivirus
D-Link VGA Webcam
DualCoreCenter
Dungeon Siege
Free WMA to MP3 Converter 1.16
Hamachi 1.0.2.3
HijackThis 2.0.2
ICQ 5.1
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
High Definition Audio Driver Package - KB888111
Windows XP-Hotfix - KB888302
Sicherheitsupdate für Windows XP (KB890046)
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Sicherheitsupdate für Windows XP (KB893756)
Windows Installer 3.1 (KB893803)
Update für Windows XP (KB894391)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896428)
Update für Windows XP (KB898461)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Update für Windows XP (KB900485)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911164)
Update für Windows XP (KB911280)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Update für Windows XP (KB916595)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Update für Windows XP (KB920872)
Sicherheitsupdate für Windows XP (KB921503)
Update für Windows XP (KB922582)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB925902)
Hotfix for Windows XP (KB926239)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Update für Windows XP (KB927891)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Hotfix for Windows Media Format 11 SDK (KB929399)
Sicherheitsupdate für Windows XP (KB930178)
Update für Windows XP (KB930916)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Update für Windows XP (KB933360)
Sicherheitsupdate für Windows XP (KB933729)
Hotfix für Windows XP (KB935448)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Update für Windows XP (KB936357)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
Sicherheitsupdate für Windows XP (KB937143)
Sicherheitsupdate für Windows XP (KB938127)
Update für Windows XP (KB938828)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB939653)
Hotfix für Windows Media Player 11 (KB939683)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB942615)
Update für Windows XP (KB942763)
Update für Windows XP (KB942840)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944338)
Sicherheitsupdate für Windows XP (KB944533)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Update für Windows XP (KB946627)
Sicherheitsupdate für Windows XP (KB947864)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Last.fm 1.4.2.59470
Microsoft .NET Framework 2.0 Language Pack - DEU
Mozilla Firefox (2.0.0.14)
Mozilla Thunderbird (2.0.0.14)
Microsoft Compression Client Pack 1.0 for Windows XP
MSI Live Update 3
NVIDIA Drivers
Pack Vista Inspirat 2 1.0
PasswordKeeper
RealPlayer
Riva FLV Encoder 2.0
Adobe Flash Player 9 ActiveX
Silkroad
Solid State ION Internet Explorer Plugin
Sony Eyetoy Webcam
Streamripper Plugin 1.62.2 (Remove only)
TeamSpeak 2 RC2
UltraStar Deluxe
Verteidigung des Auenlandes Mod (remove only)
Virtual DJ - Atomix Productions
WebVideo Support
Winamp
Winamp Toolbar for Internet Explorer
Winamp Toolbar for Firefox
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR
Windows Media Format 11 runtime
Windows Media Player 11
World of Warcraft
Microsoft User-Mode Driver Framework Feature Pack 1.0
ICQ Toolbar
Zero Assumption Recovery Version 8.3
Microsoft Office 2000 Premium
MSXML4 Parser
aTube Catcher 1.0 rc2
PunkBuster für Battlefield 1942
TMPGEnc 4.0 XPress Testversion
Google Earth
Deinstallation der Arcor Online Software
Deinstallation der Arcor Online Software
Die Schlacht um Mittelerde™ II
KalOnlineEng
Sony Ericsson PC Suite 3.010.00
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Apple Mobile Device Support
Die Schlacht um Mittelerde(tm)
Titan Quest
Sony Ericsson Media Manager 1.0
ICQ6
Battlefield 1942
Microsoft Visual C++ 2005 Redistributable
Avanquest update
3DMark06
NBA LIVE 07
SpeechRedist
Microsoft .NET Framework 2.0 Language Pack - DEU
Assassin's Creed
Project64 1.6
QuickTime
Adobe Reader 8.1.2 - Deutsch
Speed-Link SL-6535 USB Pad
Microsoft .NET Framework 2.0 Service Pack 1
Titan Quest Immortal Throne
Nero 7 Premium
DivX Web Player
Apple Software Update
Aufstieg des Hexenkönigs™
MSXML 4.0 SP2 (KB936181)
NHL06
DIE SIEDLER - Aufstieg eines Königreichs
Rappelz_USA
Realtek High Definition Audio Driver


Run Values:

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SkyTel"="SkyTel.EXE"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"SW20"="I:\\WINDOWS\\system32\\sw20.exe"
"SW24"="I:\\WINDOWS\\system32\\sw24.exe"
"WinSys2"="I:\\WINDOWS\\system32\\winsys2.exe"
"Arcor Online"=""
"avgnt"="\"I:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"I:\\Programme\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"NWEReboot"=""
"NeroFilterCheck"="I:\\WINDOWS\\system32\\NeroCheck.exe"
"TkBellExe"="\"I:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"I:\\Programme\\QuickTime\\QTTask.exe\" -atboottime"
"LiveMonitor"="I:\\Programme\\MSI\\Live Update 3\\LMonitor.exe"
"Adobe Reader Speed Launcher"="\"L:\\Acrobat Reader\\Reader\\Reader_sl.exe\""
"NvCplDaemon"="RUNDLL32.EXE I:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE I:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"WinampAgent"="L:\\Winamp\\winampa.exe"
"000000af"="rundll32.exe \"I:\\WINDOWS\\system32\\yxwdcxlk.dll\",b"
"KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,6b,\
00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Arcor Online"=""
"RocketDock"="\"I:\\WINDOWS\\BricoPacks\\Vista Inspirat 2\\RocketDock\\RocketDock.exe\""
"ctfmon.exe"="I:\\WINDOWS\\system32\\ctfmon.exe"


Bot Check:

SERVICE_NAME: wscsvc
DISPLAY_NAME : Sicherheitscenter
START_TYPE : 2 AUTO_START

SERVICE_NAME: sharedaccess
DISPLAY_NAME : Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
START_TYPE : 2 AUTO_START

SERVICE_NAME: wuauserv
DISPLAY_NAME : Automatische Updates
START_TYPE : 4 DISABLED

SERVICE_NAME: srservice
DISPLAY_NAME : Systemwiederherstellungsdienst
START_TYPE : 2 AUTO_START

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"WaitToKillServiceTimeout"="20000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000000
"SfcScan"=dword:00000000
"Shell"="Explorer.exe"
"Userinit"="I:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions]



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"TransportBindName"="\\Device\\"


ShellExecuteHooks:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6B2585FF-02FA-413C-906F-9672F4DF821A}"=""



Environment:


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\environment
ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe
Path REG_EXPAND_SZ %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;I:\Programme\QuickTime\QTSystem\
windir REG_EXPAND_SZ %SystemRoot%
OS REG_SZ Windows_NT
PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP REG_EXPAND_SZ %SystemRoot%\TEMP
TMP REG_EXPAND_SZ %SystemRoot%\TEMP
CLASSPATH REG_SZ .;I:\Programme\Java\jre1.6.0_02\lib\ext\QTJava.zip
QTJAVA REG_SZ I:\Programme\Java\jre1.6.0_02\lib\ext\QTJava.zip

SecurityProviders:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Authentication Packages:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Authentication Packages REG_MULTI_SZ msv1_0\0I:\WINDOWS\system32\awttsPfD\0\0


Subsystem Startup:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"


Midi Drivers:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi"="wdmaud.drv"
"midi1"="wdmaud.drv"
"midi2"="wdmaud.drv"
"midi3"="wdmaud.drv"
"midi4"="wdmaud.drv"
"midi5"="wdmaud.drv"


Non-Default IFEO Debugger:


Non-Default Installed Components:


Non-Default Safeboot Minimal:


File Associations:


[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\cmdfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\htafile\shell\open\command]
@="I:\\WINDOWS\\system32\\mshta.exe \"%1\" %*"

[HKEY_CLASSES_ROOT\http\shell\open\command]
@="I:\\PROGRA~1\\MOZILL~1\\FIREFOX.EXE -requestPending -osint -url \"%1\""

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
@="\"I:\\Programme\\Internet Explorer\\iexplore.exe\" %1"

[HKEY_CLASSES_ROOT\regedit\shell\open\command]
@="regedit.exe %1"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="%SystemRoot%\system32\NOTEPAD.EXE %1"


Finished!

des is teil 2 von dem syscheck

Maaakus 28.06.2008 11:55
raport1


SmitFraudFix v2.328

Scan done at 12:50:42,48, 28.06.2008
Run from I:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\WINDOWS\system32\winsys2.exe
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\RTHDCPL.EXE
I:\WINDOWS\system32\RUNDLL32.EXE
I:\Programme\MSI\Live Update 3\LMonitor.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\system32\rundll32.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
I:\WINDOWS\system32\ctfmon.exe
L:\Last.fm\LastFMHelper.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
I:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\PnkBstrA.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Programme\ArcorOnline\AOButler.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\WINDOWS\explorer.exe
L:\Malwarebytes' Anti-Malware\mbam.exe
I:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» I:\


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» I:\Dokumente und Einstellungen\Admin


»»»»»»»»»»»»»»»»»»»»»»»» I:\Dokumente und Einstellungen\Admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» I:\DOKUME~1\Admin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» I:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="I:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.50.140.178
DNS Server Search Order: 195.50.140.114

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer=195.50.140.178 195.50.140.114


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Maaakus 28.06.2008 11:56
rapport2

SmitFraudFix v2.328

Scan done at 12:52:19,43, 28.06.2008
Run from I:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.50.140.178
DNS Server Search Order: 195.50.140.114

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer=195.50.140.178 195.50.140.114


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Maaakus 28.06.2008 12:15
und jetzt noch die scanfile von dem letzten prog.


Malwarebytes' Anti-Malware 1.18
Datenbank Version: 870

13:14:42 28.06.2008
mbam-log-6-28-2008 (13-14-38).txt

Scan Art: Komplett Scan (I:\|J:\|K:\|L:\|)
Objekte gescannt: 154935
Scan Dauer: 30 minute(s), 47 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 4
Infizierte Datei Objekte der Registrierung: 15
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicher Prozesse:
I:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> No action taken.

Infizierte Speicher Module:
I:\WINDOWS\system32\awttsPfD.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\yxwdcxlk.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\efcYPHyv.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9d9b14d1-1376-4612-ad8f-c40043829449} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9d9b14d1-1376-4612-ad8f-c40043829449} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6b2585ff-02fa-413c-906f-9672f4df821a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b2585ff-02fa-413c-906f-9672f4df821a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcyphyv (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\WinSys2 (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\Source (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6b2585ff-02fa-413c-906f-9672f4df821a} (Trojan.Vundo) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: i:\windows\system32\awttspfd -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: i:\windows\system32\awttspfd -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0042512-64844) -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
I:\WINDOWS\system32\awttsPfD.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\DfPsttwa.ini (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\DfPsttwa.ini2 (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\yxwdcxlk.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\klxcdwxy.ini (Trojan.Vundo) -> No action taken.
I:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP1\A0000014.dll (Trojan.Zlob) -> No action taken.
L:\UltraStar Deluxe\sqlite3.dll (Rogue.Multiple) -> No action taken.
I:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> No action taken.
I:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> No action taken.
I:\WINDOWS\system32\efcYPHyv.dll (Trojan.Vundo) -> No action taken.

Maaakus 28.06.2008 12:17
und jetzt nachdem allem noch die Hjt logfile


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17: VIRUS ALERT!, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\WINDOWS\system32\winsys2.exe
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\RTHDCPL.EXE
I:\WINDOWS\system32\RUNDLL32.EXE
I:\Programme\MSI\Live Update 3\LMonitor.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\system32\rundll32.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
I:\WINDOWS\system32\ctfmon.exe
L:\Last.fm\LastFMHelper.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
I:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\PnkBstrA.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Programme\ArcorOnline\AOButler.exe
I:\Programme\Mozilla Firefox\firefox.exe
L:\Malwarebytes' Anti-Malware\mbam.exe
I:\WINDOWS\explorer.exe
I:\Programme\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - I:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [WinSys2] I:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [WinampAgent] L:\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SW24] I:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] I:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LiveMonitor] I:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "L:\Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [000000af] rundll32.exe "I:\WINDOWS\system32\yxwdcxlk.dll",b
O4 - HKCU\..\Run: [RocketDock] "I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = L:\Last.fm\LastFMHelper.exe
O4 - Startup: RocketDock.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: DualCoreCenter.lnk = I:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Winamp Search - I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - I:\Dokumente und Einstellungen\Admin\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - **tp://**w.acclaim.com/cabs/acclaim_v5. cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://h**p://arcade.icq.com/online/...olauncher. cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://h**p://cdn1.acclaimdownloads....dstateion. cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - I:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: Privacy Protection - file:///I:\WINDOWS\privacy_danger\index.htm

--
End of file - 7388 bytes

schrauber 28.06.2008 12:33
malwarebytes bitte nochmal laufen lassen,diesmal die funde auch löschen lassen ;)

Maaakus 28.06.2008 13:11
is dann wieder alles okay?

schrauber 28.06.2008 13:22
hast du malwarebytes wieder laufen lassen? wo ist das logfile?

zur kontrolle bitte noch das hier:

lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.


Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Browser öffnen und
  • Kaspersky Online Scanner ansurfen.
  • Die Datenschutzerklärung akzeptieren.
  • Die nötigen ActiveX-Steuerelemente installieren lassen.
  • Update der Signaturen installieren lassen => Weiter
  • Scan-Einstellungen => Standard wählen => OK
  • Link "Arbeitsplatz" anklicken
  • Scan beginnt automatisch
  • Untersuchung wurde abgeschlossen => Protokoll speichern als...
  • Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
  • Logdatei hier posten.
  • Deinstallation
  • nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
    => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>
Zitat:
Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

gruß

schrauber

Maaakus 28.06.2008 16:20
noch mal malwarebytes

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 870

17:19:56 28.06.2008
mbam-log-6-28-2008 (17-19-53).txt

Scan Art: Komplett Scan (I:\|J:\|K:\|L:\|)
Objekte gescannt: 155330
Scan Dauer: 28 minute(s), 53 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 4
Infizierte Datei Objekte der Registrierung: 15
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicher Prozesse:
I:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> No action taken.

Infizierte Speicher Module:
I:\WINDOWS\system32\awttsPfD.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\yxwdcxlk.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\efcYPHyv.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9d9b14d1-1376-4612-ad8f-c40043829449} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9d9b14d1-1376-4612-ad8f-c40043829449} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6b2585ff-02fa-413c-906f-9672f4df821a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b2585ff-02fa-413c-906f-9672f4df821a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcyphyv (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\WinSys2 (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\Source (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6b2585ff-02fa-413c-906f-9672f4df821a} (Trojan.Vundo) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: i:\windows\system32\awttspfd -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: i:\windows\system32\awttspfd -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0042512-64844) -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
I:\WINDOWS\system32\awttsPfD.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\DfPsttwa.ini (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\DfPsttwa.ini2 (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\yxwdcxlk.dll (Trojan.Vundo) -> No action taken.
I:\WINDOWS\system32\klxcdwxy.ini (Trojan.Vundo) -> No action taken.
I:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP1\A0000014.dll (Trojan.Zlob) -> No action taken.
L:\UltraStar Deluxe\sqlite3.dll (Rogue.Multiple) -> No action taken.
I:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> No action taken.
I:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> No action taken.
I:\WINDOWS\system32\efcYPHyv.dll (Trojan.Vundo) -> No action taken.

schrauber 28.06.2008 16:23
Zitat:
No action taken.
mein englisch ist zwar nicht weltspitze,aber das heißt soviel wie,"gescannt,aber keine lust auch zu bereinigen"


hast du die funde von malwarebytes bereinigen lassen??

Maaakus 28.06.2008 16:40
Dss Log Main:
Deckard's System Scanner v20071014.68
Run by Admin on 2008-06-28 17:37:43
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 2 Restore Point(s) --
2: 2008-06-28 15:37:45 UTC - RP2 - Deckard's System Scanner Restore Point
1: 2008-06-28 10:22:15 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.




[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ACEDRV05 - i:\windows\system32\drivers\acedrv05.sys <Not Verified; Protect Software GmbH; >
R1 ssmdrv - i:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R3 DualCoreCenter - i:\programme\msi\dualcorecenter\ntglm7x.sys <Not Verified; MICRO-STAR INT'L CO., LTD.; MSI DualCoreCenter>
R3 NVR0Dev - i:\windows\nvoclock.sys <Not Verified; NVidia Corp.; NVidia System Utility Driver>
R3 ovt519 (D-Link VGA Webcam) - i:\windows\system32\drivers\ov519vid.sys <Not Verified; OmniVision Technologies, Inc.; Dual Mode USB Camera 519>
R3 RushTopDevice2 - i:\programme\msi\dualcorecenter\rushtop.sys <Not Verified; Your Corporation; Your Product Name>

S1 InCDPass - i:\windows\system32\drivers\incdpass.sys (file missing)
S1 InCDRm (InCD Reader) - i:\windows\system32\drivers\incdrm.sys (file missing)
S3 EagleNT - i:\windows\system32\drivers\eaglent.sys (file missing)
S3 ENTECH - i:\windows\system32\drivers\entech.sys <Not Verified; EnTech Taiwan; PowerStrip>
S3 GMSIPCI - h:\install\gmsipci.sys (file missing)
S3 MSICPL - g:\install4\msicpl.sys (file missing)
S3 NTACCESS - g:\ntaccess.sys (file missing)
S3 zlportio - l:\ultrastar deluxe\zlportio.sys (file missing)
S4 InCDFs (InCD File System) - i:\windows\system32\drivers\incdfs.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "i:\programme\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Apple Mobile Device - "i:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96B-E325-11CE-BFC1-08002BE10318}
Description: Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
Device ID: ACPI\PNP0303\4&136225A3&0
Manufacturer: (Standardtastaturen)
Name: Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
PNP Device ID: ACPI\PNP0303\4&136225A3&0
Service: i8042prt


-- Files created between 2008-05-28 and 2008-06-28 -----------------------------

2008-06-28 17:22:56 150996 --ahs---- I:\WINDOWS\system32\DfPsttwa.ini2
2008-06-28 12:33:06 3372 --a------ I:\WINDOWS\system32\tmp.reg
2008-06-28 12:09:17 0 d-------- I:\WINDOWS\pss
2008-06-28 09:49:24 828824 --a------ I:\WINDOWS\system32\RVAXO.bat
2008-06-28 09:49:24 16384 --a------ I:\WINDOWS\system32\Restart.exe <Not Verified; WareSoft Software; restart>
2008-06-28 09:49:24 69632 --a------ I:\WINDOWS\system32\remove.exe
2008-06-28 09:24:24 0 d-------- I:\Programme\HJT
2008-06-27 15:09:51 0 -----n--- I:\WINDOWS\system32\awttsPfD.dll
2008-06-27 15:04:08 81920 --a------ I:\WINDOWS\tovafrnm.exe
2008-06-27 15:04:08 163840 --a------ I:\WINDOWS\eqwt.exe
2008-06-02 21:15:14 0 d-------- I:\Programme\Avanquest update


-- Find3M Report ---------------------------------------------------------------

2008-06-28 16:48:31 0 d-------- I:\Programme\Mozilla Thunderbird
2008-06-28 12:39:04 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-06-28 10:04:55 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TmpRecentIcons
2008-06-28 08:49:00 0 d-------- I:\Programme\ICQToolbar
2008-06-24 17:04:49 0 d--h----- I:\Programme\InstallShield Installation Information
2008-06-02 21:40:33 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sony
2008-05-21 19:01:51 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-05-15 11:32:51 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-05-14 15:09:05 0 d-------- I:\Programme\Electronic Arts
2008-05-11 10:29:34 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\mIRC
2008-05-06 22:07:42 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2008-05-06 21:42:24 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\My Battle for Middle-earth(tm) II Files
2008-05-05 15:50:40 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Winamp
2008-05-04 11:53:02 0 d-------- I:\Programme\Winamp Toolbar
2008-05-01 13:50:35 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-04-12 20:37:33 411596 --a----c- I:\WINDOWS\system32\perfh007.dat
2008-04-12 20:37:33 72688 --a----c- I:\WINDOWS\system32\perfc007.dat
2008-03-29 15:09:58 18944 --a------ I:\WINDOWS\system32\wk32.dll
2008-03-29 15:09:58 3584 --a------ I:\WINDOWS\system32\ic32.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
20.03.2008 00:36 1267040 --a------ I:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= I:\Programme\Winamp Toolbar\winamptb.dll [20.03.2008 00:36 1267040]

[-HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="L:\Winamp\winampa.exe" []
"TkBellExe"="I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [08.09.2007 15:35]
"SW24"="I:\WINDOWS\system32\sw24.exe" [15.12.2006 04:58]
"SW20"="I:\WINDOWS\system32\sw20.exe" [15.12.2006 04:58]
"SunJavaUpdateSched"="I:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 02:11]
"SkyTel"="SkyTel.EXE" [16.05.2006 12:04 I:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [19.12.2006 05:12 I:\WINDOWS\RTHDCPL.EXE]
"QuickTime Task"="I:\Programme\QuickTime\QTTask.exe" [29.06.2007 06:24]
"nwiz"="nwiz.exe" [05.12.2007 02:41 I:\WINDOWS\system32\nwiz.exe]
"NWEReboot"="" []
"NvMediaCenter"="I:\WINDOWS\system32\NvMcTray.dll" [05.12.2007 02:41]
"NvCplDaemon"="I:\WINDOWS\system32\NvCpl.dll" [05.12.2007 02:41]
"NeroFilterCheck"="I:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50]
"LiveMonitor"="I:\Programme\MSI\Live Update 3\LMonitor.exe" [17.01.2007 18:01]
"KernelFaultCheck"="I:\WINDOWS\system32\dumprep 0 -k" []
"avgnt"="I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [14.04.2008 20:31]
"Arcor Online"="" []
"Alcmtr"="ALCMTR.EXE" [03.05.2005 12:43 I:\WINDOWS\ALCMTR.EXE]
"Adobe Reader Speed Launcher"="L:\Acrobat Reader\Reader\Reader_sl.exe" [11.01.2008 23:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [19.03.2007 00:05]
"ctfmon.exe"="I:\WINDOWS\system32\ctfmon.exe" [28.02.2006 14:00]

I:\Dokumente und Einstellungen\Admin\Startmen\Programme\Autostart\
Last.fm Helper.lnk - L:\Last.fm\LastFMHelper.exe [28.09.2007 15:50:20]
RocketDock.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [19.03.2007 00:05:02]
TransBar.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [01.06.2005 21:41:18]
UberIcon.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [21.05.2006 09:43:08]
Y'z Shadow.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [21.05.2006 09:43:14]

I:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
DualCoreCenter.lnk - I:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe [01.09.2007 15:46:55]
Microsoft Office.lnk - I:\Programme\Microsoft Office\Office\OSA9.EXE [30.04.1999]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuMorePrograms"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"NoToolbarCustomize"=0 (0x0)
"NoSetFolders"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,




-- End of Deckard's System Scanner: finished at 2008-06-28 17:38:42 ------------

schrauber 28.06.2008 17:03
kannst du mir noch meine fragen beantworten ?

Maaakus 28.06.2008 17:42
jau hab ich.
da kam ja ne liste nachm scannnen, un dann hab ich die datein gelöscht.

schrauber 28.06.2008 17:47
ich würde aber gerne das logfile sehen,indem removed und nicht no action taken steht,sehen :).

hast du den onlinescan auch schon gemacht?

Maaakus 28.06.2008 19:08
Kaspersky

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 28. Juni 2008 20:08:08
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 28/06/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 797999
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 123023
Viren gefunden: 4
Infizierte Objekte gefunden: 6
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:49:06

Name des infizierten Objekts / Virusname / Letzte Aktion
I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\cert8.db Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\formhistory.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\history.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\key3.db Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\parent.lock Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\search.sqlite Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Cookies\index.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Desktop\ICQ Status Checker.exe Infizierte Objekte: HackTool.Win32.ICQPass.v übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Last.fm\Client\lastfmhelper.log Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zlps928a.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\~DFD207.tmp Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\NTUSER.DAT Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
I:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
I:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
I:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP1\A0000011.dll Infizierte Objekte: Trojan.Win32.Vapsup.hgs übersprungen
I:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP1\A0000012.dll Infizierte Objekte: Trojan.Win32.Vapsup.hhb übersprungen
I:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP1\A0000013.dll Infizierte Objekte: Trojan.Win32.Vapsup.hhb übersprungen
I:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP2\change.log Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\eqwt.exe Infizierte Objekte: Trojan.Win32.Vapsup.hgp übersprungen
I:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
I:\WINDOWS\tovafrnm.exe Infizierte Objekte: Trojan.Win32.Vapsup.hhb übersprungen
I:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
I:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
J:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
J:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP2\change.log Das Objekt ist gesperrt übersprungen
K:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
K:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP2\change.log Das Objekt ist gesperrt übersprungen
L:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
L:\System Volume Information\_restore{9DBCB888-5E1B-484C-B589-2CFFB457FB9B}\RP2\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

schrauber 28.06.2008 19:30
Dateien mit OTMoveIt verschieben Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere das Programm auf Deinem Desktop.
  • Doppelklick auf die OTMoveIt2.exe, um das Programm auszuführen.
  • http://www.hijackthis-forum.de/attac...2&d=1207341348
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTMoveIT-Box mit dem gelben Titel (Paste List Of Files/Folders to Move)
    Code:


    I:\Dokumente und Einstellungen\Admin\Desktop\ICQ Status Checker.exe
    I:\WINDOWS\eqwt.exe
    I:\WINDOWS\tovafrnm.exe

  • Einen Haken setzen bei "Unregister Dll's and Ocx's"
  • Den roten Moveit! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
  • den Inhalt der Datei C:\_OTMoveIt\MovedFiles\<datum_nr.>.log kopieren und das Ergebnis in Deine nächste Antwort posten.
  • Die Dateien und/oder Ordner werden nach C:\_OTMoveIt\MovedFiles\ verschoben.
  • Schließe OTMoveIt
Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.


Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten


Tool-Bereinigung mit OTMoveIt2
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.


gruß

schrauber

Maaakus 28.06.2008 21:02
und noch en malewarebites dingens


Malwarebytes' Anti-Malware 1.18
Datenbank Version: 870

22:01:48 28.06.2008
mbam-log-6-28-2008 (22-01-48).txt

Scan Art: Komplett Scan (I:\|J:\|K:\|L:\|)
Objekte gescannt: 155899
Scan Dauer: 23 minute(s), 51 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Maaakus 28.06.2008 21:08
File/Folder not found.
File/Folder not found.
I:\Dokumente und Einstellungen\Admin\Desktop\ICQ Status Checker.exe moved successfully.
I:\WINDOWS\eqwt.exe moved successfully.
I:\WINDOWS\tovafrnm.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 06282008_220727

Maaakus 28.06.2008 21:12
Deckard's System Scanner v20071014.68
Run by Admin on 2008-06-28 22:11:03
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Admin.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:04, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\PnkBstrA.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\system32\wscntfy.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\system32\RUNDLL32.EXE
I:\Programme\MSI\Live Update 3\LMonitor.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
L:\Last.fm\LastFMHelper.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
I:\Programme\ArcorOnline\AOButler.exe
I:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Dokumente und Einstellungen\Admin\Desktop\dss.exe
I:\PROGRA~1\HJT\Admin.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - I:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - I:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [WinampAgent] L:\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SW24] I:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] I:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LiveMonitor] I:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "L:\Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [RocketDock] "I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] I:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = L:\Last.fm\LastFMHelper.exe
O4 - Startup: RocketDock.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: DualCoreCenter.lnk = I:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Winamp Search - I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - I:\Dokumente und Einstellungen\Admin\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://**w.kaspersky.com/kos/german/...an_unicode.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http:/*w*w.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://h**p://arcade.icq.com/online/...jolauncher.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://h**p://cdn1.acclaimd*wnloads....idstateion.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - I:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: Privacy Protection - (no file)

--
End of file - 8028 bytes

-- Files created between 2008-05-28 and 2008-06-28 -----------------------------

2008-06-28 17:59:35 0 d-------- I:\WINDOWS\system32\Kaspersky Lab
2008-06-28 17:59:35 0 d-------- I:\WINDOWS\LastGood
2008-06-28 17:22:56 150996 --ahs---- I:\WINDOWS\system32\DfPsttwa.ini2
2008-06-28 12:33:06 3372 --a------ I:\WINDOWS\system32\tmp.reg
2008-06-28 12:09:17 0 d-------- I:\WINDOWS\pss
2008-06-28 09:49:24 828824 --a------ I:\WINDOWS\system32\RVAXO.bat
2008-06-28 09:49:24 16384 --a------ I:\WINDOWS\system32\Restart.exe <Not Verified; WareSoft Software; restart>
2008-06-28 09:49:24 69632 --a------ I:\WINDOWS\system32\remove.exe
2008-06-28 09:24:24 0 d-------- I:\Programme\HJT
2008-06-02 21:15:14 0 d-------- I:\Programme\Avanquest update


-- Find3M Report ---------------------------------------------------------------

2008-06-28 20:10:15 0 d-------- I:\Programme\Mozilla Thunderbird
2008-06-28 12:39:04 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-06-28 10:04:55 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TmpRecentIcons
2008-06-28 08:49:00 0 d-------- I:\Programme\ICQToolbar
2008-06-24 17:04:49 0 d--h----- I:\Programme\InstallShield Installation Information
2008-06-02 21:40:33 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sony
2008-05-21 19:01:51 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-05-15 11:32:51 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-05-14 15:09:05 0 d-------- I:\Programme\Electronic Arts
2008-05-11 10:29:34 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\mIRC
2008-05-06 22:07:42 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2008-05-06 21:42:24 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\My Battle for Middle-earth(tm) II Files
2008-05-05 15:50:40 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Winamp
2008-05-04 11:53:02 0 d-------- I:\Programme\Winamp Toolbar
2008-05-01 13:50:35 0 d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-04-12 20:37:33 411596 --a----c- I:\WINDOWS\system32\perfh007.dat
2008-04-12 20:37:33 72688 --a----c- I:\WINDOWS\system32\perfc007.dat
2008-03-29 15:09:58 18944 --a------ I:\WINDOWS\system32\wk32.dll
2008-03-29 15:09:58 3584 --a------ I:\WINDOWS\system32\ic32.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
20.03.2008 00:36 1267040 --a------ I:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= I:\Programme\Winamp Toolbar\winamptb.dll [20.03.2008 00:36 1267040]

[-HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="L:\Winamp\winampa.exe" []
"TkBellExe"="I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [08.09.2007 15:35]
"SW24"="I:\WINDOWS\system32\sw24.exe" [15.12.2006 04:58]
"SW20"="I:\WINDOWS\system32\sw20.exe" [15.12.2006 04:58]
"SunJavaUpdateSched"="I:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 02:11]
"SkyTel"="SkyTel.EXE" [16.05.2006 12:04 I:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [19.12.2006 05:12 I:\WINDOWS\RTHDCPL.EXE]
"QuickTime Task"="I:\Programme\QuickTime\QTTask.exe" [29.06.2007 06:24]
"nwiz"="nwiz.exe" [05.12.2007 02:41 I:\WINDOWS\system32\nwiz.exe]
"NWEReboot"="" []
"NvMediaCenter"="I:\WINDOWS\system32\NvMcTray.dll" [05.12.2007 02:41]
"NvCplDaemon"="I:\WINDOWS\system32\NvCpl.dll" [05.12.2007 02:41]
"NeroFilterCheck"="I:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50]
"LiveMonitor"="I:\Programme\MSI\Live Update 3\LMonitor.exe" [17.01.2007 18:01]
"KernelFaultCheck"="I:\WINDOWS\system32\dumprep 0 -k" []
"avgnt"="I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [14.04.2008 20:31]
"Arcor Online"="" []
"Alcmtr"="ALCMTR.EXE" [03.05.2005 12:43 I:\WINDOWS\ALCMTR.EXE]
"Adobe Reader Speed Launcher"="L:\Acrobat Reader\Reader\Reader_sl.exe" [11.01.2008 23:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [19.03.2007 00:05]
"ctfmon.exe"="I:\WINDOWS\system32\ctfmon.exe" [28.02.2006 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"FlashPlayerUpdate"=I:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p

I:\Dokumente und Einstellungen\Admin\Startmen\Programme\Autostart\
Last.fm Helper.lnk - L:\Last.fm\LastFMHelper.exe [28.09.2007 15:50:20]
RocketDock.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [19.03.2007 00:05:02]
TransBar.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [01.06.2005 21:41:18]
UberIcon.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [21.05.2006 09:43:08]
Y'z Shadow.lnk - I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [21.05.2006 09:43:14]

I:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
DualCoreCenter.lnk - I:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe [01.09.2007 15:46:55]
Microsoft Office.lnk - I:\Programme\Microsoft Office\Office\OSA9.EXE [30.04.1999]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuMorePrograms"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"NoToolbarCustomize"=0 (0x0)
"NoSetFolders"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,




-- End of Deckard's System Scanner: finished at 2008-06-28 22:11:20 ------------

schrauber 29.06.2008 09:56
mach noch bitte einen onlinescan mit f-secure.



gruß

schrauber

Maaakus 29.06.2008 11:24
Scanning Report
Sunday, June 29, 2008 11:34:24 - 12:23:59
Computer name: MARKUS
Scanning type: Scan system for malware, rootkits
Target: I:\ J:\ K:\ L:\


--------------------------------------------------------------------------------

Result: 1 malware found
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 44907
System: 5245
Not scanned: 9
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 0
Files not scanned:
I:\HIBERFIL.SYS
I:\PAGEFILE.SYS
I:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
I:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
I:\WINDOWS\SYSTEM32\CONFIG\SAM
I:\WINDOWS\SYSTEM32\CONFIG\SECURITY
I:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
I:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
I:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{7C98BBF3-D988-4AAA-B15D-54E0AC5DBF98}.BIN

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-06-28
F-Secure AVP: 7.0.171, 2008-06-29
F-Secure Pegasus: 1.20.0, 2008-04-15
F-Secure Blacklight: 1.0.68
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

--------------------------------------------------------------------------------

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

schrauber 29.06.2008 11:37
hi,

sieht gut aus,zeig mir noch bitte zur kontrolle ein frisches Hijackthis logfile.


gruß

schrauber

Maaakus 29.06.2008 12:18
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

schrauber 29.06.2008 12:23
starte hijackthis, klicke do a system scan only und setze einen haken vor folgende kästchen:

Code:
O8 - Extra context menu item: &Winamp Search - I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - I:\Dokumente und Einstellungen\Admin\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w**.kaspersky.com/kos/german/...an_unic*de.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://h**p://cdn1.acclaimd*wnloads....idstateion.cab
O24 - Desktop Component 0: Privacy Protection - (no file)
schließe den webbrowser und klicke nun auf fix checked und starte den rechner neu. zeige mir nun ein frisches logfile.

gruß

schrauber

Maaakus 29.06.2008 13:37
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:37:34, on 29.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\RTHDCPL.EXE
I:\WINDOWS\system32\RUNDLL32.EXE
I:\Programme\MSI\Live Update 3\LMonitor.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
L:\Acrobat Reader\Reader\Reader_sl.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
I:\WINDOWS\system32\ctfmon.exe
L:\Last.fm\LastFMHelper.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
I:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\PnkBstrA.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\ArcorOnline\AOButler.exe
I:\Programme\HJT\HijackThis.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - I:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - I:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [WinampAgent] L:\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SW24] I:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] I:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LiveMonitor] I:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "L:\Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [RocketDock] "I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = L:\Last.fm\LastFMHelper.exe
O4 - Startup: RocketDock.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: DualCoreCenter.lnk = I:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - I:\Dokumente und Einstellungen\Admin\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h..p://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://h..p://arcade.icq.com/online/...jolauncher.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h..p://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0366FF8B-DB60-473A-AAFE-0105300DE8A6}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - I:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: Privacy Protection - (no file)

--
End of file - 7188 bytes

schrauber 29.06.2008 13:42
Zitat:
O24 - Desktop Component 0: Privacy Protection - (no file)
der ist immer noch da. hast du auf dem desktop noch das symbol,wenn ja, löschen.

rechtsklick auf den desktop,geh die einstellungseigenschaften durch. wenn du dort auch das teil findest, löschen.

ansonsten bist du sauber :daumenhoc


gruß

schrauber

Maaakus 29.06.2008 14:11
ne aufm desktop is die nich.
ansonsten find ich die auch nirgends,....

schrauber 29.06.2008 14:16
Start => Systemsteuerung => Anzeige => Desktop
=> Desktop anpassen => den Reiter Web wählen
=> hier siehst Du nun eine Liste der Active Desktop Komponenten
=> selektiere die Komponente, die Du entfernen willst
=> rechts dann auf löschen klicken => OK => Fenster schließen
=> übernehmen => OK

versuch das mal.


gruß

schrauber

Maaakus 29.06.2008 14:20
Jau danke.
so hats funktioniert.

Bin ich denn jetzt vierenfrei???
wenn jaaa

danke für die hilfe!!!
habt mir echt en großen gefallen getan!

schrauber 29.06.2008 14:21
jupp, du bist sauber :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131