ebenfalls VIRUS ALERT
 

Hallo Zusammen.

habe ebenfalls das Problem mit dem VIRUS ALTER in der Taskleiste.
nur etwas anders als bis jetzt schon beschrieben, habe die anderen Beiträge schon gelesen.

Habe Malware-AntiMaleware nicht auf meinem Rechner. Leider lässt sich nichts installieren, d.h. beim Doppelklick passiert einfach nichts.
ComboFix funktioniert auch nicht.
Auf den Taskmanager kann ich wieder zugreifen.

Anbei Hijack.txt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11: VIRUS ALERT!, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender professional edition\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [b8469b5f] rundll32.exe "C:\WINDOWS\system32\wadmpjpw.dll",b
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - h**p://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6376 bytes


und SmitFraudFix.txt

SmitFraudFix v2.128

Scan done at 22:02:39,32, 03.07.2008
Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csxji.exe"


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Hoffentlich könnte ihr mir helfen.

danke im voraus Halli.

Hallo und :hallo:

Lasse bitte folgende Datei bei Virustotal überprüfen:
Poste das Ergebnis komplett ins Forum.

Bitte editiere noch aktive Links und persönliche Informationen im Logfile!

Hallo Silver,

sorry anfängerfehler mit dem Logfiles.

Ich kann die Datei leider nicht auf das Portal laden, weil ich nicht auf virustotal komme. auf einem anderen Rechner geht das irgendwie auch nicht, weil er schreit, das ich keine berechtigung habe...mist verdammter.

Tipp oben in die Adresszeile www.Virustotal.com ein oder klicke auf meinen Link und lade die Datei auf den Server hoch.
Wieso bist du nicht auf Virustotal gekommen??

Auf meinem Rechner, wo der Virus/-en daruf ist/ sind, läuft nur noch der Internetexplorer. Firefox lässt sich nicht starten. Im Internetexploren, kann ich keine Links starten, als muss ich alles in die adressleiste eintippen. Bei Virustotal sagt mein "toller" Explorer das die Seite nicht gefunden werden kann.
Ist es möglich die von einem anderen Rechner aus hochzuladen? Wahrscheinlich eher nicht.

CCleaner habe ich auch schon drüberlaufen lassen. Irgendwie lässt sich nichts machen, weil ich auch nichts installieren kann. :headbang:

Hi,

nur ein kleiner Hinweis:
Dein Smitfraudfixversion ist hoffnunglos veraltet. Aktuell ist 2.329, du hat 2.128.

Die Version ist ein Jahr halt und es ist ganz normal, dass sie nicht mit dem aktuellen Befall fertig wird. :p

lg myrtille

ohh danke. das kann sein.
Dann werde ich mal die neue drüberlaufen lassen...hoffentlich ergibt sich was.

Ok. Leider kann auch die .exe nicht ausführen. Ich komme zwar bis zu dem "Unbekannter Herausgeber...[Ausführen][Abbrechen]"- Fenster, aber danach passiert nicht.
Habt ihr noch irgendwelche Ideen? Sonst muss ich meinen Rechner leider formatieren, wenn nichts hilft. :schrei:

Hi,

warst du im abgesicherten Modus? Wenn nicht, dann versuch das bitte mal.
Wir haben noch ein paar Möglichkeiten, die wir ausloten können, bevor du neuaufsetzt.

lg myrtille

Danke für den Hoffnungsschimmer.
Leider tut sich auch im abgesichtern Modus nichts.

Lade dir bitte die angehängte Datei herunter.

Öffne sie dann mit Notepad, gehe auf "Speichern unter" wähle dort als Namen "Anti.bat", als Dateityp "Alle Dateien" und als Codierung "ANSI".

Führe die Datei Anti.bat anschließend per Doppelklick aus. Poste bitte den Inhalt des sich öffnenden Editorfensters.

lg myrtille

Hallo myrtille,

leider öffnete sich keine editor fenster und bei allen ausführungen, außer zweien, stand da: "Das angegebene Modul wurde nicht gefunden"

die zwei die er gefunden hat waren:

DllRegisterServer in olch2x8.ocx erfolgreich durchgeführt
DllRegisterServer in CCXPButton.ocx erfolgreich durchgeführt

Ok, anderer Ansatz:

Welche Dateien/Programme kannst du noch ausführen?
Geht Bitdefender noch? Findet das Programm etwas?
Kannst du Malwarebytes herunterladen und ausführen?
Kannst du DSS herunterladen und ausführen?

Kannst du eventuell die genannten Dateien/Programme (und auch nochmal Smitfraudfix und Combofix) von einem anderen Rechner herunterladen und per USB-Stick auf den aktuellen Rechner übertragen?
(Wenn ja, benenn bitte alle Programme um. Zb in Programm1.exe, Programm2.exe, etc... )


Wenn nichts davon geht, wechsele bitte in den abgesicherten Modus und rufe Hijackthis auf.
Fixe die folgenden Einträge:
Lösche dann bitte folgende Dateien: Dateien sichtbar machen

Erstelle danach ein neus Hijackthislog und poste es hier.

Schau bitte außerdem nach ob die Datei reg.exe im Ordner C:\windows\system32 existiert und wie groß sie ist.

lg myrtille

Super. Hat geklappt mit dem Umbennen. Konnte Smitfraudfix ausführen. Danach war das Virus Alert weg. Habe dann Anit-Malware installiert und durchlaufen lassen.

Anbei die Logfiles:

Anitmalware

SmitFraudFix:

Hijackthis:

Super. Es geht vorwärts ;). Danke dir myrtille

Hi,

freut mich zu hören, dass es dem Rechner wieder besser geht. :D

Ich bräuchte noch ein Log von DSS. Bitte einfach runterladen, per doppelklick ausführen. Es sollten 2 Reports geöffnet werden, diese bitte hier posten. :)

Nimm statt der phpcode-tags bitte die reinen [code]-tags... php macht komische Sachen mit den Logs. :p

lg myrtille

Sorry. Ich weiß nicht was ich unter deinem Link runterladen soll.

Habe nun auch nochmal combofix laufen lassen.

hier das Logfile.

Mein Fehler. :balla: In dem Link war gar kein Link.

Wir machen erstmal mit Folgenden weiter:
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms (WICHTIG!) und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


Erstelle anschließend noch ein Log mit DSS, so gehts dann auch besser: :D
DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

So dann wollen wir mal ;).
ich ignoriere mal die Antwort von uwe...

Sorry muss es stückeln.

DSS extra.txt

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) XP 3000+
Percentage of Memory in Use: 46%
Physical Memory (total/avail): 1023.49 MiB / 545.99 MiB
Pagefile Memory (total/avail): 2461.33 MiB / 2093.29 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1915.56 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 149.04 GiB total, 95.67 GiB free.
D: is CDROM (No Media)
E: is CDROM (No Media)
F: is CDROM (UDF)
G: is Fixed (NTFS) - 117.19 GiB total, 24.82 GiB free.
H: is Fixed (NTFS) - 180.9 GiB total, 1.07 GiB free.

\\.\PHYSICALDRIVE1 - SAMSUNG HD321KJ SCSI Disk Device - 298.09 GiB - 2 partitions
\PARTITION0 - Installierbares Dateisystem - 117.19 GiB - G:
\PARTITION1 - Installierbares Dateisystem - 180.9 GiB - H:

\\.\PHYSICALDRIVE0 - ST316002 3AS SCSI Disk Device - 149.05 GiB - 1 partition
\PARTITION0 (bootable) - Installierbares Dateisystem - 149.04 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

AntivirusOverride is set.

FW: BitDefender Professional Edition v7.2 v7.2 (Softwin)
AV: BitDefender Professional Edition v7.2 v7.2 (Softwin)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"="C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe:*:Enabled:onlineTV"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"="C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe:*:Enabled:orbixd"
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"="C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe:*:Enabled:CATIA"
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"="G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"="G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Programme\\Zattoo\\Zattoo2.exe"="C:\\Programme\\Zattoo\\Zattoo2.exe:*:Enabled: "


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\*\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=MISTERG
ComSpec=C:\WINDOWS\system32\cmd.exe
COSMOSM=C:\Programme\SolidWorks\COSMOS
DEFAULT_CA_NR=CA8
FP_NO_HOST_CHECK=NO
GEOSTAR_HELP_TYPE=WINHELP
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Martin Hagner
LOGONSERVER=\\MISTERG
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\SolidWorks\COSMOS;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\MATLAB7\bin\win32;C:\Programme\Gemeinsame Dateien\Teleca Shared
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp
USERDOMAIN=MISTERG
USERNAME=Martin Hagner
USERPROFILE=C:\Dokumente und Einstellungen\*
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

teil 2 von extra.txt


* (admin)
qNLYPUSF (admin)
Administrator (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3C1B8CBC-9118-11D7-86D3-00055DF3561E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{83021AC3-086F-4B77-ACCD-1BD7C9AB211E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x9
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Reader for Pocket PC 2.0 --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{291A772C-FFB9-4681-B720-AB2A0A620896}
AFPL Ghostscript 8.14 --> C:\gs\uninstgs.exe "C:\gs\gs8.14\uninstal.txt"
AFPL Ghostscript Fonts --> C:\gs\uninstgs.exe "C:\gs\fonts\uninstal.txt"
Anti-Blaxx 1.18 --> "C:\Programme\Anti-Blaxx 1.18\unins000.exe"
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI HydraVision --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe"
Bild.de Radio Version 1.03.3 --> C:\Programme\BTORadio\unins000.exe
BitDefender Professional Edition --> MsiExec.exe /I{DF4FBF3F-2BD1-48A6-932B-669ABE354108}
Calculator Powertoy for Windows XP --> MsiExec.exe /I{B37C842A-B624-46B8-A727-654E72F1C91A}
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CorelDRAW Graphics Suite 12 --> MsiExec.exe /I{505AFDC0-5E72-4928-8368-5DEA385E3647}
COSMOSFloWorks 2007 SP04 --> MsiExec.exe /I{E022D717-4894-4954-AF03-1A638D77540E}
COSMOSM 2007 (2007/140) --> MsiExec.exe /I{78B44E27-7C7B-4D35-82F5-4A1F66DF33B8}
COSMOSMotion 2007 SP04 --> MsiExec.exe /I{0E8104A4-EBB0-4352-973E-E3EEDC8A3C38}
COSMOSWorks 2007 SP04 --> MsiExec.exe /I{982A1405-5168-497F-AB8A-E307555FE976}
Creative DVD Audio Plugin for Audigy Series --> "C:\Programme\Creative\CTDPlugin\CTUIDVD.exe " -u
Dassault Systemes Software B17 --> "C:\Programme\Dassault Systemes\B17\intel_a\code\bin\Uninstall.exe" "C:\Programme\Dassault Systemes\B17" "CODE" "GUI" "B17" "0"
DivX Content Uploader --> C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EPSON-Drucker-Software --> C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON CardMonitor --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x7 uninst
EPSON Copy Utility 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\Setup.exe" -l0x7 -UnInstall
EPSON PhotoQuicker3.5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x7 uninst
EPSON PhotoStarter3.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x7 uninst
EPSON PRINT Image Framer Tool2.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
EPSON Scan --> C:\Programme\epson\escndv\setup\setup.exe /r
EPSON Smart Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x7 Uninstall
EPSON Web-To-Page --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything
ESPRX420 Ref. Handbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\REF_G\DOCUNINS.EXE
ESPRX420 Softwarehandbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\PQU_G\DOCUNINS.EXE
FreePDF XP (Remove only) --> C:\Programme\FreePDF_XP\fpsetup.exe /r
FreeRIP v3.00 --> "C:\Programme\FreeRIP3\unins000.exe"
HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Hijack\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB919880) --> "C:\WINDOWS\$NtUninstallKB919880$\spuninst\spuninst.exe"
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
ICQ Toolbar --> regsvr32 /u /s "C:\Programme\ICQToolbar\toolbaru.dll"
InterVideo WinDVD 5 --> "C:\Programme\InstallShield Installation Information\{1B399A41-C1D0-40A2-9E4F-095868EFAF01}\setup.exe" REMOVEALL
J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
J2SE Runtime Environment 5.0 Update 9 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090}
Java 2 Runtime Environment, SE v1.4.2_05 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142050}
Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
LinkOptimizer --> "C:\Programme\Internet Explorer\iexplore.exe" "http://notetol.com/uninstall.php"
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver --> MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
MATLAB Family of Products Release 14 --> C:\Programme\MATLAB7\uninstall\uninstall.exe C:\Programme\MATLAB7\
Megaupload Toolbar --> C:\Programme\MegauploadToolbar\uninstall.exe
Microsoft ActiveSync 3.7 --> "C:\WINDOWS\ISUN0407.EXE" -f"C:\Programme\Microsoft ActiveSync\DeIsL1.isu" -c"C:\Programme\Microsoft ActiveSync\ceuninst.dll"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007 --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007 --> MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007 --> MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007 --> MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007 --> MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Need for Speed™ Most Wanted --> C:\Programme\EA GAMES\Need for Speed Most Wanted\EAUninstall.exe
Nero 7 Premium --> MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
NETGEAR WG311T Wireless Adapter --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{FC321AD2-48B4-4013-B997-A65D5FBBD006}
NVIDIA nForce Drivers --> C:\WINDOWS\System32\NVUninst.exe Uninstall C:\WINDOWS\System32\NVU001.nvu,NVIDIA nForce Drivers
Phonostar eBay-Icon 1.0.000 --> C:\WINDOWS\uninstall\Phonostar eBay-Icon\setup.exe
PIF DESIGNER2.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7BD0A2D8-4EA0-43C6-BDF8-DDA87B8031C6}\SETUP.EXE" -l0x7 anything
RedMon - Redirection Port Monitor --> C:\WINDOWS\system32\unredmon.exe
Remove Vista Customization Pack v3 --> c:\windows\vcp_save\runme.bat
S.T.A.L.K.E.R. - Shadow of Chernobyl --> "G:\S.T.A.L.K.E.R. - Shadow of Chernobyl\unins000.exe"
ScanToWeb --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\SETUP.EXE" ADDREMOVEDLG
Sentinel System Driver --> C:\WINDOWS\SYSTEM32\RNBOSENT\SETUPX86.EXE /U /q
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567) --> "C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922760) --> "C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123) --> "C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894) --> "C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
SolidWorks 2007-2008 Student Edition --> MsiExec.exe /X{74A08690-5E48-4418-9BCD-46722F6E9035}
Sony Ericsson PC Suite --> MsiExec.exe /I{FC906D5C-91F9-4DA4-A765-6DCBB669F317}
SpeechRedist --> MsiExec.exe /X{8795CBED-55E2-4693-9F14-84EC446935BE}
StrongestPaladin --> "C:\Programme\Internet Explorer\iexplore.exe" "http://notetol.com/uninstall.php"
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942) --> "C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB929338) --> "C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB932823-v3) --> "C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Update für Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.2 --> C:\Programme\VideoLAN\VLC\uninstall.exe
Virtual Cable Tester --> MsiExec.exe /X{3D654496-9C3D-4565-858C-3E551ECDA4E2}
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe
Yahoo! Toolbar mit Pop-Up-Blocker --> C:\PROGRA~1\Yahoo!\Common\unyt.exe
Zattoo 3.2.1 Beta --> C:\Programme\Zattoo\uninst.exe
------------

teil 3 von extra.txt



-- Application Event Log -------------------------------------------------------

Event Record #/Type18062 / Error
Event Submitted/Written: 07/10/2008 07:42:59 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung wlancfg5.exe, Version 4.2.18.30601, fehlgeschlagenes Modul wcapi.dll, Version 4.1.0.161, Fehleradresse 0x0000dd60.
Das medienspezifische Ereignis für [wlancfg5.exe!ws!] wird verarbeitet.

Event Record #/Type18000 / Error
Event Submitted/Written: 07/07/2008 08:18:18 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16674, fehlgeschlagenes Modul urlmon.dll, Version 7.0.6000.16674, Fehleradresse 0x00020b5a.
Das medienspezifische Ereignis für [iexplore.exe!ws!] wird verarbeitet.

Event Record #/Type17973 / Error
Event Submitted/Written: 07/03/2008 07:51:58 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16674, fehlgeschlagenes Modul urlmon.dll, Version 7.0.6000.16674, Fehleradresse 0x00020b5a.
Das medienspezifische Ereignis für [iexplore.exe!ws!] wird verarbeitet.

Event Record #/Type17935 / Error
Event Submitted/Written: 07/01/2008 11:12:31 PM
Event ID/Source: 1 / MBAMService
Event Description:
MBAMServiceWin32 Error: StartServiceCtrlDispatcher failed with error 427 (1063)

Event Record #/Type17919 / Error
Event Submitted/Written: 07/01/2008 10:40:43 PM
Event ID/Source: 0 / matlabserver
Event Description:
matlabserver error: 0Engine wait timeout 180 reached for instance 0.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type48894 / Error
Event Submitted/Written: 07/10/2008 07:42:53 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48863 / Error
Event Submitted/Written: 07/10/2008 07:30:25 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48834 / Error
Event Submitted/Written: 07/10/2008 07:09:31 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48794 / Error
Event Submitted/Written: 07/09/2008 10:07:07 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep

Event Record #/Type48757 / Error
Event Submitted/Written: 07/09/2008 09:31:38 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Beep



-- End of Deckard's System Scanner: finished at 2008-07-10 19:50:29

und compofix.txt

ComboFix 08-07-02.5 - * 2008-07-10 19:17:43.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.285 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*\Desktop\p2.exe
Command switches used :: C:\Dokumente und Einstellungen\*\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\Programme\Uninstall_CDS.exe
C:\WINDOWS\3.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\ovankvyc.dll
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\WS2Fix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Uninstall_CDS.exe
C:\WINDOWS\3.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\lRBHRqss.ini
C:\WINDOWS\system32\lRBHRqss.ini2
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\ssqRHBRl.dll
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\xfkvlntg.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2008-07-09 22:33 . 2008-07-09 22:33 89,088 --a------ C:\WINDOWS\system32\gtnlvkfx.dll
2008-07-09 22:31 . 2008-07-09 22:31 112,256 --a------ C:\WINDOWS\system32\yuecuuuw.dll
2008-07-09 22:31 . 2008-07-09 22:31 112,256 --a------ C:\WINDOWS\system32\xbgxdg.dll
2008-07-09 00:02 . 2008-07-09 00:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-09 00:02 . 2008-07-09 00:02 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Hagner\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-07-09 00:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-09 00:02 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-08 23:44 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-07-03 19:58 . 2008-07-03 19:58 <DIR> d-------- C:\Programme\CCleaner
2008-07-03 18:54 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-17 21:58 . 2008-06-17 21:58 <DIR> d-------- C:\Programme\Zattoo
2008-06-10 22:00 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 22:00 . 2008-05-08 14:28 202,752 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 17:24 --------- d-----w C:\Programme\DivX
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2006-04-04 08:54 456,768 ----a-w C:\WINDOWS\inf\WG311T\WG311T13.sys
2006-04-04 08:54 35,232 ----a-w C:\WINDOWS\inf\WG311T\ME_INST.EXE
2006-04-04 08:54 26,112 ----a-w C:\WINDOWS\inf\WG311T\install.exe
.

und zum schluss DSS main.txt

Hi,
schnelle Frage:
kennst du dieses Benutzerkonto:
Editier bitte noch deinen Namen aus den Logs raus.

lg myrtille

Nein. kenne ich nicht. Ich habe keine Benutzerkontos, außer mein eigenes und Administrator, das ja glaube ich bei XP Pro immer mit dabei ist.
Sorry wollte ich machen, habe wahrscheinlich nicht alle erwischt, kann ich die im nachhinein noch irgendwie rauskriegen?

Hi,
ich werd mal einen Admin benachrichtigen... der sollte das können.

Könntest du bitte nochmal das Combofixlog posten, es ist unvollständig.
Ich informier mich derweil, was wir mit dem Konto anstellen können.

lg myrtille

Hier der Logfile.

Hi,
das Log bestätigt, was ich schon befürchtet hatte.
Dein Rechner ist mit einem sehr fiesen Rootkit infiziert ist.

Wir können eine Bereinigung versuchen, allerdings ist die einzige sichere Variante das Neuaufsetzen des Systems.

Lass mich wissen wie du dich entscheidest. Wenn du eine Bereinigung versuchen willst, bräuchte ich noch ein Log von gmer:

Das ist ein Scan auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

lg myrtille

Ok. das hört sich mal nicht gut an...
Hilft ja alles nichts. Wenn ich die Bereinigung versuche, ist dann mein Rechner auch wirklich bereinigt, oder ist deiner Meinung nach ein Neuaufsetzten gescheiter?
ich probiere heute Abend die Bereinigung mal, denke ich.

Danke für deine Hilfe.

Hi,

das Neuaufsetzen ist auf jedenfall sauber, danach sollte der Rechner sicher sauber sein.
Bei einer Bereinigung besteht die Gefahr, dass wir auch weiterhin nicht alles von dem Befall sehen und er letzendlich den Bereinigungsversuch überlebt und deinen Rechner weiterhin missbraucht.

Darf ich fragen in welchem Land du dich derzeit befindest? :D (reine Neugier, das hat auf die Bereinigung keine Auswirkung)


lg myrtille

Wie in welchem Land? Schland natürlich.
Ja ok. dann schaue ich mal das ich meine Daten schön sicher und setzte in demnächst neu auf.
Soll ich danach nochmal irgendwas durchlaufen lassen und die Logs posten?

danke dir trotzdem soweit. hat ja fast geklappt.

Ja, was weiß denn ich? :D Hätt ja sein können, dass du gerade irgendwo Ferien machst. :D
Der Kollege, den du am Start hast, verbreitet sich nur sehr lokal (und Schland gehört da eigentlich nicht zu ;) ), weswegen ich so irritiert war ihn bei dir zu sehen.

Theoretisch sollte nach einem Neuaufsetzen alles weg sein. Wenn du zur Kontrolle aber danach noch mal ein Log posten möchtest, schaue ich mir das gerne an.
Da wäre dann ein Log von DSS am besten geeignet.


lg myrtille