Trojaner-Board - FrmWrk32.exe und co

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - FrmWrk32.exe und co (https://www.trojaner-board.de/73188-frmwrk32-exe-co.html)

Henko

16.05.2009 11:49

FrmWrk32.exe und co

Hallo,

ich habe leider ein massives Problem mit einem Virus/Trojaner, welches ich nich lösen kann und sich als sehr hartnäckig herausstellt.
Geäußert hat sich der Befall dadurch, dass sich plötzlich mein Hintergrund Bild änderete und ein gif zu sehen war mit einer Virus Warnung, desweiteren trat rechts unten ein kleines rotes X auf, welches vor einem Virusbefall warnte.
Sämtliche Links in Firefox führten mich auf eine Seite von einem antivirus programm. Google sagte mir, dass es sich dabei um Frmwrk32.exe handelte der die Veränderung des Hintergrundes blockiert und den Taskmanager aussetzt, was auch der Fall war. Ich habe die betreffenden Datein schnell per Hand gelöscht, was wohlmöglich mein Fehler in dem Zusammenhang war.
Nun kann ich zwar wieder mein Taskmanager öffnen und Prozesse beenden, aber mein SpybotSearchand Destroy poppt bei jedem Start auf und sagt mir, dass sich wieder was in der Registry geändert hat, was ich natürlich verweigere.
Das massive Problem was ich nun habe ist, dass ich zwar online gehen kann aber kein Datenverkehr zustande kommt. Sprich ich kann keinen Download bzw. Upload im Netz tätigen.
Da ich aber dringend auf antivir software bzw. updates angewiesen bin, da sich anscheinend noch andere virulente Datein im System befinden, habe ich das Problem dass ich keine Software ziehen kann. In meiner Verzweiflung habe ich mir Software auf einen USB-Stick gezogen um sie so auf den befallenen PC zu bringen. Leider werden diese Laufwerke nicht mal auf dem Arbeitsplatz angezeigt, so dass ich sie nicht kopieren kann. Als nächstes habe ich versucht eine Systemwiederherstellung zu einem früheren Zeitpunkt zu machen. Leider funktioniert dies auch nicht, da er auf eine Bestätigung zu einem späteren Systempunkt gar nicht reagiert.

Aufgrund dieser Probleme kann ich leider auch kein Log uploaden.

Aber Datein die mir als sehr verdächtig vorkammen waren.

fahokipa.dll
nobiwuna.dll
vodisusi.dll

Alle 3 sind im Windows\System32 Verzeichnis und weder im normalen noch im abgesicherten Modus löschbar. Auch Hijackthis konnte alle damit verbundenen Einträge nicht dauerhaft fixen.

ptidle.exe (die sich unter den C:\Dokumente und Einstellungen\User\Anwendungsdaten befand)

ntdll64.dll (welche im windows\temp festgesetzt war und nicht löschbar war)

frmwrk32.exe und die dazugehörigen Datein, welche ich löschen konnte aber das Problem mit dem unveränderbaren Desktop nicht beheben konnte.

Desweiteren habe ich aus der registry die mit den Dateien verbunden Einträge gelöscht, soweit es ging.

Daher nun meine Frage, weiß jemand auf diese Verzwickte Lage einen Rat oder gar eine Lösung?
Am besten eine, damit ich zumindest wieder ins Internet komme und ggf. Software für das Problem holen kann.

Liebe Grüsse
Henko

Edit: Den Grund für das Problem, dass ich nicht mehr ins Internet kann hab ich wohl gefunden.
O10 - Broken Internet access because of LSP provider 'c:\windows\temp\ntdll64.dll missing'

Nur weiß ich leider keine Möglichkeit das zu fixen ohne Sofware.

space23

16.05.2009 13:26

Hallo und :hallo:

http://www.trojaner-board.de/69886-a...-beachten.html ab Punkt 2 abarbeiten dann gehts weiter. (Versuch zumindest mbam und CCleaner HJT kannst du ja nicht posten oder?)

.keNNy#

16.05.2009 14:16

Ich misch mich kurz ein;)
Mach das was Space dir gesagt hat.
Aber ich würd ma sagen das mit Malwarebytes ist schlecht wenn de nix runterladen kannst oder haste das schon installiert?;)
Welches Antivirenprogramm wird dir denn angepriesen?

.keNNy#

Henko

16.05.2009 14:30

Hallo und danke,

das Problem mit dem Internet konnte ich zum Glück lösen.

Und zwar mit folgender Lösung, falls wer auch mal das Problem haben sollte.

in MS-DOS Command gehen (Ausführen --> CMD)
--> Da eingeben: netsh winsock reset Katalog
Nach einem Neustart hatte sich das mit der LSP dann zum Glück selbst bereinigt.

CCleaner hab ich solang laufen lassen, bis nichts mehr angezeigt wurde.

Hier das erste MAM Log:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2140
Windows 5.1.2600 Service Pack 2

16.05.2009 13:57:46
mbam-log-2009-05-16 (13-57-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 84513
Laufzeit: 4 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\wihuzomi.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\hodaluho.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\rurajiye.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bee99522-8c50-4309-b5e7-2220da0fb1db} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bee99522-8c50-4309-b5e7-2220da0fb1db} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b48875f0 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\humefinanu (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmb7bb466c (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\hodaluho.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\rurajiye.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\rurajiye.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wihuzomi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\imozuhiw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rurajiye.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\hodaluho.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\duvapame.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sohovaha.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wejeyamu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1773542798-236700307-4015529570-500\Dc4.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1773542798-236700307-4015529570-500\Dc5.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mousehook.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\esrawnocmx.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\mousehook.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rasesnet.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\scneaowmrx.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

------------------------------------------------------------------------------------

Nach mehrmaligem Durchlaufen und neustarts ist nur noch folgender Eintrag immer wieder zu finden

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b48875f0 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Hijackthis konnte ich auch installieren und hab hier mal das Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:16, on 16.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ICQ6\ICQ.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [b48875f0] rundll32.exe "C:\WINDOWS\system32\wihuzomi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

-----------------------------------------------------------------------------------

Henko

16.05.2009 14:32

Hier die Uninstall List von all der installierten Software.

725plc32
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 7.0.8 - Deutsch
Adobe Shockwave Player 11
AFPL Ghostscript 8.14
AFPL Ghostscript Fonts
Apple Software Update
ATI Catalyst Control Center
ATI Display Driver
BLASC 2.0
Broadcom Management Programs
Canon CanoScan Toolbox 4.9
Canon ScanGear Starter
CCleaner (remove only)
Conexant HDA D110 MDC V.92 Modem
Corel Paint Shop Pro Photo XI
Corel Snapfire Plus
Dell Color Printer 725
Dell Network Assistant
Dell Support 3.2.1
Digital Line Detect
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
eMule
eMusic - 50 Free MP3 offer
FreePDF 2.11
GemMaster Mystic
GIMP 2.4.6
Google Desktop
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Windows Media Player 10 (KB903157)
Hotfix für Windows XP (KB888795)
Hotfix für Windows XP (KB891593)
Hotfix für Windows XP (KB899337)
Hotfix für Windows XP (KB899510)
Hotfix für Windows XP (KB902841)
Hotfix für Windows XP (KB952287)
ICQ Toolbar
ICQ6
Intel(R) PROSet/Wireless Software
J2SE Runtime Environment 5.0 Update 6
Kaspersky Anti-Virus 7.0
Kaspersky Anti-Virus 7.0
Lexmark Z600 Series
Malwarebytes' Anti-Malware
McAfee-Deinstallationsprogramm
mCore
MCU
mDrWiFi
MediaDirect
mHlpDell
Microsoft .NET Framework 1.0 Hotfix (KB887998)
Microsoft .NET Framework 1.0 Hotfix (KB930494)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Office XP Professional with FrontPage
Microsoft Windows-Journal-Viewer
Microsoft Works
mIRC
mIWA
Mixer
mLogView
mMHouse
Modem Helper
Mozilla Firefox (2.0.0.1)
mPfMgr
mPfWiz
mProSafe
mSSO
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
mWlsSafe
mWMI
mXML
mZConfig
Nero 6 Ultra Edition
NeroVision Express 2
NetWaiting
Otto
OutlookAddinSetup
Prevx 3.0
QuickSet
QuickTime
RealPlayer
ScanToPDF 3.2.0
SearchAssist
Secure Diary 2.1
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925454)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928090)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB929969)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931768)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933566)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937143)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938127)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB939653)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB942615)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944338)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Skype 3.0
Skype Plugin Manager
Sonic DLA
Sonic Encoders
Sonic MyDVD LE
Sonic RecordNow Audio
Sonic RecordNow Copy
Sonic RecordNow Data
Sonic Update Manager
Sound Blaster Audigy ADVANCED MB Demo
Spybot - Search & Destroy
Synaptics Pointing Device Driver
TeamSpeak 2 RC2
Tiscali Internet
Update für Windows Media Player 10 (KB913800)
Update für Windows Media Player 10 (KB926251)
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB942840)
Update für Windows XP (KB946627)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update Rollup 2 für Windows XP Media Center Edition 2005
URL Assistant
VC80CRTRedist - 8.0.50727.762
VideoLAN VLC media player 0.8.6
VoipStunt
Vokabeltrainer für Windows Version 1.51
Winamp (remove only)
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Media Format Runtime
Windows Media Player Firefox Plugin
Windows XP Hotfix - KB890927
Windows XP Media Center Edition 2005 KB908246
Windows XP Media Center Edition 2005 KB908250
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB895961
WinRAR Archivierer
WordToPDF 2.4
World of Warcraft
Yahoo! Toolbar mit Pop-Up-Blocker

Also durch MAM konnte wohl einiges entfernt werden, den Desktop Hintergrund konnte ich wieder ändern, aber dass er keine USB Sticks erkennt wundert mich noch etwas, da ich vor dem Befall nie Probleme damit hatte. Außerdem ist die Geschwindigkeit zwar wieder etwas besser geworden aber noch nicht so stabil wie davor.

Danke für Eure Hilfe

Henko

myrtille

16.05.2009 14:54

Hi,

Deinstalliere bitte:
J2SE Runtime Environment 5.0 Update 6

Wenn du Java weiterhin nutzen möchtest, würde ich dir empfehlen auf die aktuellste version zu wechseln. Die schließt die Sicherheitslücken, durch die Vundo sich einschleusst. ;)

Was heißt dein USB-Stick wird nicht erkannt?
Geht das Fenster mit den "Handlungsmöglichkeiten" nicht mehr auf`? Wird der USB-Stick nicht mehr unter Arbeitsplatz aufgeführt? Werden gar keine Platten mehr unter Arbeitsplatz angezeigt? Weißt du noch welchen Laufwerksbuchstaben dein USB-Stick normalerweise zugewiesen bekommt?

Erstelle bitte noch ein Log mit RSIT:

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

lg myrtille

Henko

16.05.2009 16:32

Hallo,

also das mit dem USB Stick ist folgendermassen, dass er zwar als Hardware erkannt wird (unten rechts erscheint das Icon zum "Hardware sicher entfernen"), aber im Arbeitsplatz/Explorer kann ich den Stick nicht öffnen und es sind keine Laufwerksbuchstaben für den Stick (2 Partitionen) zu sehen, wie auch keine Icons. Die normale Festplatte und CD-Laufwerk sind dort normal zu sehen. Die Buchstaben waren vorher E: und F:.

Hier die 2 Dateien erstellt mit RSIT

Log.txt
Logfile of random's system information tool 1.06 (written by random/random)
Run by Vahilor at 2009-05-16 17:23:48
Microsoft Windows XP Professional Service Pack 2
System drive C: has 30 GB (28%) free of 108 GB
Total RAM: 1022 MB (35% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:58, on 16.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ICQ6\ICQ.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Downloaded\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Vahilor.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [b48875f0] rundll32.exe "C:\WINDOWS\system32\wihuzomi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9779 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2005-05-31 118844]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA6319C0-31B7-401E-A518-A07C3DB8F777}]
CBrowserHelperObject Object - C:\Programme\BAE\BAE.dll [2006-11-17 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar - C:\PROGRA~1\ICQTOO~1\toolbaru.dll []
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - &Yahoo! Toolbar - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]
"SigmatelSysTrayApp"=C:\WINDOWS\stsystra.exe [2006-03-25 282624]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-08 761947]
"Dell QuickSet"=C:\Programme\Dell\QuickSet\quickset.exe [2006-08-03 1032192]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]
"IntelZeroConfig"=C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe [2006-05-01 667718]
"IntelWireless"=C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe [2006-05-01 602182]
"CTSVolFE.exe"=C:\Programme\Creative\Mixer\CTSVolFE.exe [2005-02-23 57344]
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-07-27 221184]
"ISUSScheduler"=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-07-27 81920]
"MCAgentExe"=c:\PROGRA~1\mcafee.com\agent\mcagent.exe [2005-09-22 303104]
"MCUpdateExe"=C:\PROGRA~1\mcafee.com\agent\mcupdate.exe [2006-01-11 212992]
"Google Desktop Search"=C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2006-12-16 169984]
"PCMService"=C:\Programme\Dell\MediaDirect\PCMService.exe [2006-08-22 184320]
"Corel Photo Downloader"=C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe [2006-08-14 462336]
"MPFExe"=C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe [2005-11-11 1005096]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"DLCFCATS"=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16 []
"ScanRegistry"=C:\W []
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2007-06-01 185784]
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2005-05-31 122941]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2007-06-29 286720]
"MSKDetectorExe"=C:\Programme\McAfee\SpamKiller\MSKDetct.exe [2006-11-07 1121280]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [2007-06-28 218376]
"FreePDFAssistent"=C:\Programme\FreePDF\FreePDFA.exe [2003-12-24 150528]
"b48875f0"=C:\WINDOWS\system32\wihuzomi.dll,b []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-10 15360]
"MsnMsgr"=C:\Programme\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"ICQ"=C:\Programme\ICQ6\ICQ.exe [2007-09-24 181496]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Dell Network Assistant.lnk - C:\WINDOWS\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-05-23 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2007-06-28 206088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=C:\WINDOWS\system32\fahokipa.dll

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSetActiveDesktop"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Dell\MediaDirect\PCMService.exe"="C:\Programme\Dell\MediaDirect\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe"="C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe:*:Enabled:VoipStunt"
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WoW\BackgroundDownloader.exe"="C:\WoW\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Dell Network Assistant\ezi_hnm2.exe"="C:\Programme\Dell Network Assistant\ezi_hnm2.exe:*:Enabled:Dell Network Assistant"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - b3537ca0\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - b3537ca0\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - bb6f27b8\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - bb6f27b8\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - e0aeb548\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - e0aeb548\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\Launcher.exe"="C:\WoW\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe"="C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WINDOWS\system32\winlogon.exe"="C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon"
"C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe:*:Enabled:avp"
"C:\Programme\Intel\Wireless\Bin\S24EvMon.exe"="C:\Programme\Intel\Wireless\Bin\S24EvMon.exe:*:Enabled:S24EvMon"
"C:\WINDOWS\system32\lsass.exe"="C:\WINDOWS\system32\lsass.exe:*:Enabled:lsass"
"C:\Programme\McAfee.com\Personal Firewall\MpfService.exe"="C:\Programme\McAfee.com\Personal Firewall\MpfService.exe:*:Enabled:MpfService"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Henko

16.05.2009 16:33

======List of files/folders created in the last 1 months======

2009-05-16 17:23:48 ----D---- C:\rsit
2009-05-16 17:23:08 ----SHD---- C:\Config.Msi
2009-05-16 15:55:41 ----A---- C:\WINDOWS\ntbtlog.txt
2009-05-16 14:08:04 ----D---- C:\Programme\Prevx
2009-05-16 14:07:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-05-16 13:47:02 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\Malwarebytes
2009-05-16 13:46:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-16 13:46:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-16 13:03:19 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2009-05-16 12:59:10 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-16 11:05:20 ----A---- C:\WINDOWS\NeroDigital.ini
2009-05-16 01:39:14 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\restart.txt
2009-05-16 00:57:05 ----D---- C:\Programme\Trend Micro
2009-05-16 00:51:10 ----D---- C:\Programme\Windows Live Safety Center
2009-05-16 00:39:41 ----A---- C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
2009-05-16 00:16:17 ----SH---- C:\WINDOWS\system32\lugibifi.exe
2009-05-15 23:48:04 ----SH---- C:\WINDOWS\system32\kulufegi.exe
2009-05-15 23:22:00 ----D---- C:\Programme\AntiVir PersonalEdition Classic

======List of files/folders modified in the last 1 months======

2009-05-16 17:23:13 ----SHD---- C:\WINDOWS\Installer
2009-05-16 17:23:11 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-16 17:23:08 ----D---- C:\WINDOWS\system32
2009-05-16 17:22:11 ----D---- C:\Downloaded
2009-05-16 17:20:36 ----D---- C:\Programme\Mozilla Firefox
2009-05-16 17:10:19 ----D---- C:\WINDOWS
2009-05-16 17:10:17 ----D---- C:\WINDOWS\Temp
2009-05-16 17:10:14 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-16 17:10:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-05-16 17:09:43 ----D---- C:\MDT
2009-05-16 17:09:32 ----D---- C:\WINDOWS\Registration
2009-05-16 16:58:50 ----A---- C:\WINDOWS\wininit.ini
2009-05-16 16:58:48 ----D---- C:\WINDOWS\system32\drivers
2009-05-16 14:38:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-16 14:26:46 ----D---- C:\WINDOWS\Prefetch
2009-05-16 14:08:04 ----RD---- C:\Programme
2009-05-16 14:04:42 ----D---- C:\Programme\Spybot - Search & Destroy
2009-05-16 13:34:10 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-16 11:03:05 ----D---- C:\WINDOWS\system32\Restore
2009-05-16 02:45:27 ----SHD---- C:\WINDOWS\CSC
2009-05-16 01:08:47 ----D---- C:\WINDOWS\Debug
2009-05-16 00:53:18 ----HD---- C:\WINDOWS\inf
2009-05-16 00:16:59 ----D---- C:\WINDOWS\system32\dllcache
2009-05-15 16:58:53 ----D---- C:\Programme\ICQToolbar
2009-05-15 16:58:26 ----ASH---- C:\WINDOWS\system32\kudatusa.dll
2009-05-15 16:36:56 ----D---- C:\Programme\mIRC
2009-05-10 21:05:00 ----D---- C:\WoW
2009-05-10 21:03:47 ----D---- C:\Programme\Dl_cats
2009-04-29 19:33:01 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\WordToPDF
2009-04-29 19:25:42 ----D---- C:\Programme\FreePDF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 APPDRV;APPDRV; C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS [2005-08-12 16128]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-10 40192]
R1 klif;Klif; \??\C:\WINDOWS\system32\drivers\klif.sys []
R1 MPFIREWL;MPFIREWL; C:\WINDOWS\System32\Drivers\MpFirewall.sys [2005-11-11 80640]
R1 omci;OMCI WDM Device Driver; C:\WINDOWS\system32\DRIVERS\omci.sys [2004-02-13 17153]
R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2005-05-13 5627]
R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2005-05-13 23545]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-04 8832]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-10 12032]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-12-16 21275]
R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2005-04-21 40544]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]
R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]
R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-05-01 13568]
R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2005-05-31 25725]
R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2005-05-31 34845]
R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2005-05-31 4125]
R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2005-05-31 2273]
R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2005-05-31 86876]
R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2005-05-31 15069]
R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2005-05-31 6365]
R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2005-05-31 98716]
R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2005-05-31 100605]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-10 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-05-23 1578496]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2006-08-25 44544]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-08-12 137728]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-07-22 1035008]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-07-22 201600]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 24344]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-10 61824]
R3 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2005-10-14 28544]
R3 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2005-10-14 51328]
R3 rismxdp;Ricoh xD-Picture Card Driver; C:\WINDOWS\system32\DRIVERS\rixdptsk.sys [2005-10-14 307968]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-10 67584]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2006-03-25 1156648]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-08 191872]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2005-10-26 27264]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-04-27 1429632]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-07-22 717952]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 DSproct;DSproct; \??\C:\Programme\Dell Support\GTAction\triggers\DSproct.sys []
S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-04 1897408]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 ZSMC301b;WEBSHOT II USB CAM 300K; C:\WINDOWS\System32\Drivers\usbVM31b.sys [2004-03-03 90534]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2004-08-04 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2004-08-04 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2004-08-04 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2004-08-04 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2004-08-04 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2004-08-04 41088]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-10 73472]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2004-08-04 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-23 409600]
R2 AVP;Kaspersky Anti-Virus 7.0; C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [2007-06-28 218376]
R2 CSIScanner;CSIScanner; C:\Programme\Prevx\prevx.exe [2009-05-16 4368952]
R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2005-12-15 237568]
R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912]
R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2006-05-01 114753]
R2 hnmsvc;Advanced Networking Service; C:\Programme\Dell Network Assistant\hnm_svc.exe [2007-08-27 111912]
R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-02-25 303104]
R2 McDetect.exe;McAfee WSC Integration; c:\programme\mcafee.com\agent\mcdetect.exe [2005-10-13 126976]
R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]
R2 McTskshd.exe;McAfee Task Scheduler; c:\PROGRA~1\mcafee.com\agent\mctskshd.exe [2005-08-24 122368]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2006-05-01 217164]
R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2006-05-01 540745]
R2 WLANKEEPER;Intel(R) PROSet/Wireless SSO Service; C:\Programme\Intel\Wireless\Bin\WLKeeper.exe [2006-05-01 262217]
R3 MpfService;McAfee Personal Firewall Service; C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe [2005-11-11 548864]
S02000000 OMSCAN;OMSCAN; \Sys []
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-10 268800]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 dlcf_device;dlcf_device; C:\WINDOWS\system32\dlcfcoms.exe [2005-09-29 491520]
S3 mcupdmgr.exe;McAfee SecurityCenter Update Manager; C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe [2005-07-01 245760]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2004-08-10 14336]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-04 38912]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]

-----------------EOF-----------------

Henko

16.05.2009 16:37

info.txt logfile of random's system information tool 1.06 2009-05-16 17:24:00

======Uninstall list======

-->c:\PROGRA~1\mcafee.com\shared\mcappins.exe /v=3 /uninstall=1 /appid=mpf /interact=1 /script_proactive=0 /start=c:\PROGRA~1\mcafee.com\agent\uninst\mpfrem.ui::uninstall.htm
-->c:\PROGRA~1\mcafee.com\shared\mcappins.exe /v=3 /uninstall=1 /appid=msc /interact=1 /script_proactive=0 /start=c:\PROGRA~1\mcafee.com\agent\uninst\screm.ui::uninstall.htm
-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {075473F5-846A-448B-BCB3-104AA1760205}
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {AB708C9B-97C8-4AC9-899B-DBF226AC9382}
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {B12665F4-4E93-4AB4-B7FC-37053B524629}
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7E9BE6D1-680B-49B2-A2B0-CBC32D20DF04}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A82F10CB-18B5-4EAC-AEF2-FA49CD565626}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AA2CA846-C6DB-4468-B291-18D4BA359656}\setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
725plc32-->MsiExec.exe /I{162D2FB8-60A3-4871-B6A1-5C744CD34FF5}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Adobe Reader 7.0.8 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70800000002}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
AFPL Ghostscript 8.14-->C:\gs\uninstgs.exe "C:\gs\gs8.14\uninstal.txt"
AFPL Ghostscript Fonts-->C:\gs\uninstgs.exe "C:\gs\fonts\uninstal.txt"
Apple Software Update-->MsiExec.exe /I{74EC78BC-B379-4E29-9006-8F161DCAABA6}
ATI Catalyst Control Center-->MsiExec.exe /I{A02ED372-22FA-448B-AB6A-1B0FC23B7D08}
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
BLASC 2.0-->C:\Programme\buffed.de\Blasc\UnInstaller.exe
Broadcom Management Programs-->MsiExec.exe /I{26E1BFB0-E87E-4696-9F89-B467F01F81E5}
Canon CanoScan Toolbox 4.9-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CA9BCD4D-B782-4637-8F1F-F9A328D3C244}\Setup.exe" -l0x7 anything
Canon ScanGear Starter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18A5DFF2-8A95-49F3-873F-743CB5549F3D}\SETUP.EXE" -l0x7 anything
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Conexant HDA D110 MDC V.92 Modem-->C:\Programme\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_14F100C3\HXFSETUP.EXE -U -Idel1028k.inf
Corel Paint Shop Pro Photo XI-->MsiExec.exe /I{93A1B09E-BAFA-4628-A5B6-921CB026955A}
Corel Snapfire Plus-->MsiExec.exe /I{7ADE3A47-B425-45E9-8FF6-11BE2B775645}
Dell Color Printer 725-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\dlcfUNST.EXE -NOLICENSE
Dell Network Assistant-->MsiExec.exe /I{0240BDFB-2995-4A3F-8C96-18D41282B716}
Dell Support 3.2.1-->MsiExec.exe /X{CEE2252C-4035-4B27-8EC6-0B085DD3A413}
Digital Line Detect-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E646DCF0-5A68-11D5-B229-002078017FBF}\setup.exe" -l0x7 ControlPanel
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
eMule-->"C:\Programme\eMule\Uninstall.exe"
eMusic - 50 Free MP3 offer-->"C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe"
FreePDF 2.11-->C:\Programme\FreePDF\uninstall.exe
GemMaster Mystic-->"C:\Programme\GemMasterGerman\uninstallgemmaster.exe"
GIMP 2.4.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Google Desktop-->C:\Programme\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall
High Definition Audio Driver Package - KB835221-->C:\WINDOWS\$NtUninstallKB835221WXP$\spuninst\spuninst.exe
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB888795)-->"C:\WINDOWS\$NtUninstallKB888795$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB891593)-->"C:\WINDOWS\$NtUninstallKB891593$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB899337)-->"C:\WINDOWS\$NtUninstallKB899337$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB899510)-->"C:\WINDOWS\$NtUninstallKB899510$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB902841)-->"C:\WINDOWS\$NtUninstallKB902841$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ Toolbar-->regsvr32 /u /s "C:\PROGRA~1\ICQTOO~1\toolbaru.dll"
ICQ6-->C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe -runfromtemp -l0x0009 -removeonly
Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe
Kaspersky Anti-Virus 7.0-->MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}
Kaspersky Anti-Virus 7.0-->MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}
Lexmark Z600 Series-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXBCUN5C.EXE -dLexmark Z600 Series
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
McAfee-Deinstallationsprogramm-->C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /uninstall=1 /interact=1 /script_proactive=0 /start=c:\PROGRA~1\mcafee.com\agent\uninst\comrem.dll::uninstall.htm
mCore-->MsiExec.exe /I{E81667C6-2856-46D6-ABEA-6A2F42166779}
MCU-->MsiExec.exe /I{D2988E9B-C73F-422C-AD4B-A66EBE257120}
mDrWiFi-->MsiExec.exe /I{F6090A17-0967-4A8A-B3C3-422A1B514D49}
MediaDirect-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9C6978E8-B6D0-4AB7-A7A0-D81A74FBF745}\Setup.exe" -l0x7 -cluninstall
mHlpDell-->MsiExec.exe /I{49D687E5-6784-431B-A0A2-2F23B8CC5A1B}
Microsoft .NET Framework 1.0 Hotfix (KB887998)-->"C:\WINDOWS\$NtUninstallKB887998$\spuninst\spuninst.exe"
Microsoft .NET Framework 1.0 Hotfix (KB930494)-->"C:\WINDOWS\$NtUninstallKB930494$\spuninst\spuninst.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Office XP Professional with FrontPage-->MsiExec.exe /I{90280409-6000-11D3-8CFE-0050048383C9}
Microsoft Windows-Journal-Viewer-->MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA8}
Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}
mIRC-->"C:\Programme\mIRC\mirc.exe" -uninstall
mIWA-->MsiExec.exe /I{3E9D596A-61D4-4239-BD19-2DB984D2A16F}
Mixer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7E9BE6D1-680B-49B2-A2B0-CBC32D20DF04}\setup.exe" -l0x7 /remove
mLogView-->MsiExec.exe /I{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}
mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}
Modem Helper-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F142D56-3326-11D5-B229-002078017FBF}\setup.exe" -l0x7 ControlPanel
Mozilla Firefox (2.0.0.1)-->C:\Programme\Mozilla Firefox\uninstall\uninst.exe
mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}
mPfWiz-->MsiExec.exe /I{90B0D222-8C21-4B35-9262-53B042F18AF9}
mProSafe-->MsiExec.exe /I{23FB368F-1399-4EAC-817C-4B83ECBE3D83}
mSSO-->MsiExec.exe /I{06BE8AFD-A8E2-4B63-BAE7-287016D16ACB}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
mWlsSafe-->MsiExec.exe /I{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}
mWMI-->MsiExec.exe /I{63DB9CCD-2B56-4217-9A3D-507AC78320CA}
mXML-->MsiExec.exe /I{9CC89556-3578-48DD-8408-04E66EBEF401}
mZConfig-->MsiExec.exe /I{94658027-9F16-4509-BBD7-A59FE57C3023}
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
NetWaiting-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3F92ABBB-6BBF-11D5-B229-002078017FBF}\setup.exe" -l0x7 ControlPanel
Otto-->"C:\Programme\GermanOtto\uninstallotto.exe"
OutlookAddinSetup-->MsiExec.exe /I{9BDEF074-020E-458D-ADC5-8FF68E0C9B56}
Prevx 3.0-->"C:\Programme\Prevx\prevx.exe" /prop UNINSTALL=Y
QuickSet-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C5074CC4-0E26-4716-A307-960272A90040}\setup.exe" -l0x7 APPDRVNT4
QuickTime-->MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
ScanToPDF 3.2.0-->C:\Programme\O Imaging Corporation\ScanToPDF\uninst.exe
SearchAssist-->C:\DELL\SearchAssist\UninstSA.bat
Secure Diary 2.1-->"C:\Programme\Secure Diary\unins000.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503)-->"C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694)-->"C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925454)-->"C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928090)-->"C:\WINDOWS\$NtUninstallKB928090$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929969)-->"C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931768)-->"C:\WINDOWS\$NtUninstallKB931768$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933566)-->"C:\WINDOWS\$NtUninstallKB933566$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937143)-->"C:\WINDOWS\$NtUninstallKB937143$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829)-->"C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB939653)-->"C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB942615)-->"C:\WINDOWS\$NtUninstallKB942615$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338)-->"C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Skype 3.0-->"C:\Programme\Skype\Phone\unins000.exe"
Skype Plugin Manager-->MsiExec.exe /I{3D5E5C0A-5B36-4F98-99A7-287F7DBDCE03}
Sonic DLA-->MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
Sonic Encoders-->MsiExec.exe /I{9941F0AA-B903-4AF4-A055-83A9815CC011}
Sonic MyDVD LE-->MsiExec.exe /I{21657574-BD54-48A2-9450-EB03B2C7FC29}
Sonic RecordNow Audio-->MsiExec.exe /I{AB708C9B-97C8-4AC9-899B-DBF226AC9382}
Sonic RecordNow Copy-->MsiExec.exe /I{B12665F4-4E93-4AB4-B7FC-37053B524629}
Sonic RecordNow Data-->MsiExec.exe /I{075473F5-846A-448B-BCB3-104AA1760205}
Sonic Update Manager-->MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Sound Blaster Audigy ADVANCED MB Demo-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AA2CA846-C6DB-4468-B291-18D4BA359656}\setup.exe" -l0x7 /remove
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Tiscali Internet-->MsiExec.exe /I{58B2B6D3-E5FF-4D16-87AC-52CC5717C7C6}

Henko

16.05.2009 16:38

Update für Windows Media Player 10 (KB913800)-->"C:\WINDOWS\$NtUninstallKB913800$\spuninst\spuninst.exe"
Update für Windows Media Player 10 (KB926251)-->"C:\WINDOWS\$NtUninstallKB926251$\spuninst\spuninst.exe"
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB929338)-->"C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe"
Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836)-->"C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB933360)-->"C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB942840)-->"C:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe"
Update für Windows XP (KB946627)-->"C:\WINDOWS\$NtUninstallKB946627$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update Rollup 2 für Windows XP Media Center Edition 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
URL Assistant-->regsvr32 /u /s "C:\Programme\BAE\BAE.dll"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.6-->C:\Programme\VideoLAN\VLC\uninstall.exe
VoipStunt-->"C:\Programme\VoipStunt.com\VoipStunt\unins000.exe"
Vokabeltrainer für Windows Version 1.51-->"C:\Programme\Vokabeltrainer für Windows\unins000.exe"
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Live Messenger-->MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Hotfix - KB890927-->C:\WINDOWS\$NtUninstallKB890927$\spuninst\spuninst.exe
Windows XP Media Center Edition 2005 KB908246-->"C:\WINDOWS\$NtUninstallKB908246$\spuninst\spuninst.exe"
Windows XP Media Center Edition 2005 KB908250-->"C:\WINDOWS\$NtUninstallKB908250$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884-->C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB895961-->"C:\WINDOWS\$NtUninstallKB895961$\spuninst\spuninst.exe"
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
WordToPDF 2.4-->"C:\Programme\WordToPDF\unins000.exe"
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT (2)\Uninstall.exe
Yahoo! Toolbar mit Pop-Up-Blocker-->C:\PROGRA~1\Yahoo!\Common\unyt.exe

=====HijackThis Backups=====

O2 - BHO: (no name) - {c596eadc-3794-4643-b03b-ffd6d8c04963} - C:\WINDOWS\system32\nobiwuna.dll [2009-05-16]
O2 - BHO: (no name) - {7c271718-6761-490c-a33b-1576126dcd59} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O20 - AppInit_DLLs: c:\windows\system32\hodaluho.dll,C:\WINDOWS\system32\rurajiye.dll,C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\fahokipa.dll",s [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\rurajiye.dll",s [2009-05-16]
O20 - AppInit_DLLs: c:\windows\system32\hodaluho.dll,C:\WINDOWS\system32\rurajiye.dll,C:\WINDOWS\system32\vodesusi.dll,C:\WINDOWS\system32\fahokipa.dll,C:\WINDOWS\system3 2\nobiwuna.dll [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O4 - HKLM\..\Run: [b48875f0] rundll32.exe "C:\WINDOWS\system32\wihuzomi.dll",b [2009-05-16]
O2 - BHO: (no name) - {c596eadc-3794-4643-b03b-ffd6d8c04963} - C:\WINDOWS\system32\nobiwuna.dll [2009-05-16]
O2 - BHO: (no name) - {aa9ce0db-fdbc-4db2-81ff-30f8a69227db} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" [2009-05-16]
O2 - BHO: (no name) - {7c271718-6761-490c-a33b-1576126dcd59} - (no file) [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O2 - BHO: (no name) - {d9dc4c0d-808a-4c76-9da5-da169a4cd111} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\rurajiye.dll",s [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O2 - BHO: (no name) - {52ae7713-4137-442f-a10a-95e3744ac9db} - C:\WINDOWS\system32\nobiwuna.dll [2009-05-16]
O2 - BHO: (no name) - {c596eadc-3794-4643-b03b-ffd6d8c04963} - (no file) [2009-05-16]
O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" [2009-05-16]
O2 - BHO: (no name) - {7c271718-6761-490c-a33b-1576126dcd59} - (no file) [2009-05-16]
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=1061216 [2009-05-16]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O2 - BHO: (no name) - {d8f4e7c2-87f3-48f2-b125-32410c0ead9f} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O4 - HKCU\..\Run: [ptidle] "C:\Dokumente und Einstellungen\****\Anwendungsdaten\ptidle\ptidle.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139 [2009-05-16]
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\rurajiye.dll",s [2009-05-16]
O20 - AppInit_DLLs: 1\Google\GOOGLE~1\GOEC62~1.DLL C:\WINDOWS\system32\rurajiye.dll c:\windows\system32\hodaluho.dll,C:\WINDOWS\system32\fahokipa.dll,C:\WINDOWS\system32\vodesusi.dll,C:\WINDOWS\system32\nobiwuna.dll [2009-05-16]
O2 - BHO: (no name) - {cc2a3cc0-5588-4a2c-962d-b0abc0c2b334} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O2 - BHO: (no name) - {4b47c449-556c-4efb-9ac2-e3053d0cbaa8} - C:\WINDOWS\system32\fahokipa.dll [2009-05-16]
O2 - BHO: (no name) - {7c271718-6761-490c-a33b-1576126dcd59} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2009-05-16]
O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" [2009-05-16]
O4 - HKLM\..\Run: [b48875f0] rundll32.exe "C:\WINDOWS\system32\wihuzomi.dll",b [2009-05-16]
O2 - BHO: (no name) - {c210516f-7970-49af-ab98-7c29c9153683} - C:\WINDOWS\system32\soyifafi.dll (file missing) [2009-05-16]
O2 - BHO: (no name) - {d9dc4c0d-808a-4c76-9da5-da169a4cd111} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2009-05-16]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=1061216 [2009-05-16]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O2 - BHO: (no name) - {d9dc4c0d-808a-4c76-9da5-da169a4cd111} - C:\WINDOWS\system32\vodesusi.dll [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O4 - HKLM\..\Run: [b48875f0] rundll32.exe "C:\WINDOWS\system32\wihuzomi.dll",b [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\rurajiye.dll",s [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O20 - AppInit_DLLs: c:\windows\system32\hodaluho.dll,C:\WINDOWS\system32\fahokipa.dll,C:\WINDOWS\system32\nobiwuna.dll [2009-05-16]
O2 - BHO: (no name) - {d9dc4c0d-808a-4c76-9da5-da169a4cd111} - C:\WINDOWS\system32\vodesusi.dll (file missing) [2009-05-16]
O4 - HKLM\..\Run: [b48875f0] rundll32.exe "C:\WINDOWS\system32\wihuzomi.dll",b [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O2 - BHO: (no name) - {bee99522-8c50-4309-b5e7-2220da0fb1db} - C:\WINDOWS\system32\nobiwuna.dll (file missing) [2009-05-16]
O20 - AppInit_DLLs: C:\WINDOWS\system32\fahokipa.dll c:\windows\system32\hodaluho.dll,C:\WINDOWS\system32\rurajiye.dll [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\vodesusi.dll",s [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O2 - BHO: (no name) - {80a433b0-6924-45aa-8fbc-281f41835e23} - (no file) [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O20 - AppInit_DLLs: c:\windows\system32\hodaluho.dll [2009-05-16]
O20 - AppInit_DLLs: C:\WINDOWS\system32\rurajiye.dll [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O2 - BHO: (no name) - {bee99522-8c50-4309-b5e7-2220da0fb1db} - C:\WINDOWS\system32\nobiwuna.dll (file missing) [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\vodesusi.dll",s [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O4 - HKLM\..\Run: [humefinanu] Rundll32.exe "C:\WINDOWS\system32\vodesusi.dll",s [2009-05-16]
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) [2009-05-16]
O2 - BHO: (no name) - {bee99522-8c50-4309-b5e7-2220da0fb1db} - C:\WINDOWS\system32\nobiwuna.dll (file missing) [2009-05-16]
O4 - HKLM\..\Run: [CPMb7bb466c] Rundll32.exe "c:\windows\system32\hodaluho.dll",a [2009-05-16]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hodaluho.dll [2009-05-16]
O2 - BHO: (no name) - {d9dc4c0d-808a-4c76-9da5-da169a4cd111} - (no file) [2009-05-16]
O2 - BHO: (no name) - {bee99522-8c50-4309-b5e7-2220da0fb1db} - C:\WINDOWS\system32\nobiwuna.dll (file missing) [2009-05-16]
O20 - AppInit_DLLs: c:\windows\system32\hodaluho.dll,C:\WINDOWS\system32\rurajiye.dll,C:\WINDOWS\system32\fahokipa.dll [2009-05-16]
O2 - BHO: (no name) - {bee99522-8c50-4309-b5e7-2220da0fb1db} - (no file) [2009-05-16]

======Hosts File======

127.0.0.1 localhost
127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com

======Security center information======

AV: Kaspersky Anti-Virus (disabled) (outdated)
FW: McAfee Personal Firewall Plus

======System event log======

Computer Name: ****
Event Code: 7036
Message: Dienst "COM+-Systemanwendung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 25735
Source Name: Service Control Manager
Time Written: 20090121220953.000000+060
Event Type: Informationen
User:

Computer Name: ****
Event Code: 7036
Message: Dienst "Fax" befindet sich jetzt im Status "Beendet".

Record Number: 25734
Source Name: Service Control Manager
Time Written: 20090121220953.000000+060
Event Type: Informationen
User:

Computer Name: ****
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 25733
Source Name: Service Control Manager
Time Written: 20090121220953.000000+060
Event Type: Informationen
User:

Computer Name: ****
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Filtertreiber für IP-Verkehr" gesendet.

Record Number: 25732
Source Name: Service Control Manager
Time Written: 20090121220953.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ****
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Terminaldienste" gesendet.

Record Number: 25731
Source Name: Service Control Manager
Time Written: 20090121220953.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: ****
Event Code: 0
Message:
Record Number: 4598
Source Name: EvtEng
Time Written: 20080729235506.000000+120
Event Type: Informationen
User:

Computer Name: ****
Event Code: 102
Message: MsnMsgr (2100) \\.\C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\****@hotmail.com\SharingMetadata\Working\database_32B4_88AD_B488_755F\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 4597
Source Name: ESENT
Time Written: 20080728005543.000000+120
Event Type: Informationen
User:

Computer Name: ****
Event Code: 100
Message: MsnMsgr (2100) Das Datenbankmodul 5.01.2600.2780 ist gestartet.

Record Number: 4596
Source Name: ESENT
Time Written: 20080728005543.000000+120
Event Type: Informationen
User:

Computer Name: ****
Event Code: 101
Message: MsnMsgr (2100) Das Datenbankmodul wurde beendet.

Record Number: 4595
Source Name: ESENT
Time Written: 20080728005507.000000+120
Event Type: Informationen
User:

Computer Name: ****
Event Code: 103
Message: MsnMsgr (2100) \\.\C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\****@hotmail.com\SharingMetadata\Working\database_32B4_88AD_B488_755F\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet.

Record Number: 4594
Source Name: ESENT
Time Written: 20080728005507.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"SonicCentral"=C:\Programme\Gemeinsame Dateien\Sonic Shared\Sonic Central\
"CLASSPATH"=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip

-----------------EOF-----------------

J2SE Runtime Environment 5.0 Update 6 hab ich erst mal runtergeworfen.

Danke Schonmal für Hilfe und Mühen.

Henko

myrtille

16.05.2009 18:28

Liste der Anhänge anzeigen (Anzahl: 1)

Hi,

du hast derzeit 2 Antivirenprogramme installiert, das ist nciht empfehlenswert, zum einen verlangsamt es den Rechner, vor allem verringert es aber die Sicherheit, da sich die beiden Programme behindern und kann zu ernsthaften Problemen führen.
Ich würde dir empfehlen entweder McAfee oder Kaspersky zu deinstallieren.

Außerdem solltest du bitte folgende Dateien noch löschen:

Zitat:

C:\WINDOWS\system32\lugibifi.exe
C:\WINDOWS\system32\kulufegi.exe
C:\WINDOWS\system32\kudatusa.dll

und diese Einträge mit Hijackthis fixen:

Zitat:

O4 - HKLM\..\Run: [b48875f0] rundll32.exe "C:\WINDOWS\system32\wihuzomi.dll",b

Gib bitte außerdem mal E: und F: in die Adressleiste deines Explorers ein und schau ob du so an die Inhalte auf deinem USB-Stick kommst.

Für bitte außerdem noch die angehängte Datei aus und poste den angezeigten Inhalt hier sowie ein neues Hijackthis log. :)

lg myrtille

Henko

16.05.2009 19:53

Hi,

danke für die Antwort.

Also die 3 Dateien waren schon nicht mehr vorhanden.
Die Laufwerke E: und F: konnte ich leider so auch nicht ansprechen. Leider weiß ich auch nicht wo man ein neuen Buchstaben zuweisen würde.

Den Eintraug aus dem Hijackthis konnte ich leider nicht löschen, da er nach jedem scan wieder auftrat, ich habe den namen aber in der registry umändern können, aber löschen ging da auch nicht. :(

Die Bat-Datei habe ich ausgeführt.

Hier der aktuelle Log.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:58, on 16.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ICQ6\ICQ.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [b48875f0] rundll32.b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8564 bytes

myrtille

16.05.2009 20:41

Hi,

bei der bat-Datei sollte sich ein fenster öffnen, dass dir Informationen zeigt.
Der Inhalt wäre für mich interessant.

lg myrtille

Henko

16.05.2009 20:56

Hallo,

hier die Datei.

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\currentversion\policies\explorer
NoDriveTypeAutoRun REG_DWORD 0x91

HKEY_CURRENT_USER\Software\Microsoft\Windows\currentversion\policies\explorer\Run

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentversion\policies\explorer
NoCDBurning REG_DWORD 0x0
NoSetActiveDesktop REG_DWORD 0x0
NoActiveDesktopChanges REG_DWORD 0x0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentversion\policies\explorer\run

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\currentversion\policies\explorer\run

Wobei es wieder funktioniert den Desktop wieder umzuändern, der durch frmwrk32.exe manipuliert wurde.

LG
Henko

myrtille

18.05.2009 11:35

Hi,

meine Vermutung zu deinem USB-Problem hat sich leider nicht bestätigt. :/ Ich werd mich nochmal umschauen woran das noch liegen könnte.
Um die Suche etwas präziser zu machen:
Wenn das "sicher entfernen" Symbol erscheint, kannst du bitte einen Rechtsklick machen und schauen welchen Laufwerksbuchstaben der Stick hat?
Kannst du bitte überprüfen ob das Gerät im Gerätemanager erkannt wird. (Den Gerätemanager kannst du wie folgt öffnen: Start/Einstellungen/Systemsteuerung/System/Hardware/Gerätemanager , der USB Stick sollte als USB-Massenspeichergerät in der Rubrik USB-Controller gelistet sein)

Besteht das Problem nur mit einem oder mit mehreren USB-Sticks?
Hast du noch einen anderen USB-Stick, den du anschließen kannst? Um zu testen ob das Problem an Windows oder eventuell an dem Stick liegt?

Das Problem besteht nicht mit CDs?

Mach bitte noch folgendes:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

files to delete:
 

C:\WINDOWS\system32\lugibifi.exe

C:\WINDOWS\system32\kulufegi.exe

C:\WINDOWS\system32\kudatusa.dll

C:\WINDOWS\system32\wihuzomi.dll
 

registry values to delete:
 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | b48875f0

Henko

20.05.2009 20:15

Hallo,

also ich hab zwischenzeitlich etwas recharchiert und folgendes in einem anderen Forum gefunden.
h**p://forum.chip.de/viren-trojaner-wuermer/usb-stick-virenbefall-mehr-erkannt-1166752.html
Derjenige hatte auch Vundo.H oder einen Subtyp und die selben Symptome, muss ich nun wirklich mein System neu aufsetzen?

Also der USB Stick wird im Gerätemanager erkannt sobald ich ihn einstecke auch nach deinstallieren, bei klicken auf "Hardware sicher entfernen" werden die Massenspeicher erkannt, aber es stehen keinerlei Laufwerksbuchstaben davor.
Mir ist noch etwas aufgefallen, wenn ich in die Datenträgerverwaltung gehe, wird nur das CD-Laufwerk angezeigt, nicht mal die Festplatte ist dort zusehen, geschweige denn der USB-Stick.

Anbei mal ein Screenshot
http://img196.imageshack.us/img196/7121/screensdat.jpg

Hier das Log von Avenger
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthykapmvgivcjikhbebdkbghjfrstowuyn" found!
ImagePath: \systemroot\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Start Type: 1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\lugibifi.exe" deleted successfully.
File "C:\WINDOWS\system32\kulufegi.exe" deleted successfully.
File "C:\WINDOWS\system32\kudatusa.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\wihuzomi.dll" not found!
Deletion of file "C:\WINDOWS\system32\wihuzomi.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|b48875f0" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Henko

20.05.2009 20:17

Und hier das Log aus RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Vahilor at 2009-05-20 21:17:02
Microsoft Windows XP Professional Service Pack 2
System drive C: has 28 GB (26%) free of 108 GB
Total RAM: 1022 MB (37% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:05, on 20.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Digital Line Detect\DLG.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Downloaded\avenger.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\TEMP\ze0g6foj4.exe
C:\WINDOWS\TEMP\ze0g6foj4.exe
C:\Downloaded\RSIT.exe
C:\Downloaded\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Vahilor.exe

O2 - BHO: C:\WINDOWS\system32\had732ufn8.dll - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\ze0g6foj4.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ??????P,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: __c00A6048 - C:\WINDOWS\system32\__c00A6048.dat
O22 - SharedTaskScheduler: hasf8h3rfijfn98gf9iar - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8736 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6C7B2A1-00F3-42BD-F434-00AABA2C8953}]
C:\WINDOWS\system32\had732ufn8.dll - C:\WINDOWS\system32\had732ufn8.dll [2009-05-20 15000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar - C:\PROGRA~1\ICQTOO~1\toolbaru.dll []
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - &Yahoo! Toolbar - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]
"SigmatelSysTrayApp"=C:\WINDOWS\stsystra.exe [2006-03-25 282624]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-08 761947]
"Dell QuickSet"=C:\Programme\Dell\QuickSet\quickset.exe [2006-08-03 1032192]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]
"IntelZeroConfig"=C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe [2006-05-01 667718]
"IntelWireless"=C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe [2006-05-01 602182]
"CTSVolFE.exe"=C:\Programme\Creative\Mixer\CTSVolFE.exe [2005-02-23 57344]
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-07-27 221184]
"ISUSScheduler"=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-07-27 81920]
"Google Desktop Search"=C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2006-12-16 169984]
"PCMService"=C:\Programme\Dell\MediaDirect\PCMService.exe [2006-08-22 184320]
"Corel Photo Downloader"=C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe [2006-08-14 462336]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"DLCFCATS"=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16 []
"ScanRegistry"=C:\W []
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2007-06-01 185784]
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2005-05-31 122941]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2007-06-29 286720]
"MSKDetectorExe"=C:\Programme\McAfee\SpamKiller\MSKDetct.exe [2006-11-07 1121280]
"FreePDFAssistent"=C:\Programme\FreePDF\FreePDFA.exe [2003-12-24 150528]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2009-05-17 206088]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-10 15360]
"MsnMsgr"=C:\Programme\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Dell Network Assistant.lnk - C:\WINDOWS\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="??????P,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-05-23 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-11-11 218376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00A6048]
C:\WINDOWS\system32\__c00A6048.dat [2009-05-20 28160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
hasf8h3rfijfn98gf9iar - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll [2009-05-20 15000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=C:\WINDOWS\system32\fahokipa.dll

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=30000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSetActiveDesktop"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Dell\MediaDirect\PCMService.exe"="C:\Programme\Dell\MediaDirect\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe"="C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe:*:Enabled:VoipStunt"
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WoW\BackgroundDownloader.exe"="C:\WoW\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\Programme\Dell Network Assistant\ezi_hnm2.exe"="C:\Programme\Dell Network Assistant\ezi_hnm2.exe:*:Enabled:Dell Network Assistant"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - b3537ca0\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - b3537ca0\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - bb6f27b8\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - bb6f27b8\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - e0aeb548\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - e0aeb548\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\Launcher.exe"="C:\WoW\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe"="C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WINDOWS\system32\winlogon.exe"="C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon"
"C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe:*:Enabled:avp"
"C:\Programme\Intel\Wireless\Bin\S24EvMon.exe"="C:\Programme\Intel\Wireless\Bin\S24EvMon.exe:*:Enabled:S24EvMon"
"C:\WINDOWS\system32\lsass.exe"="C:\WINDOWS\system32\lsass.exe:*:Enabled:lsass"
"C:\Programme\McAfee.com\Personal Firewall\MpfService.exe"="C:\Programme\McAfee.com\Personal Firewall\MpfService.exe:*:Enabled:MpfService"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Henko

20.05.2009 20:19

======List of files/folders created in the last 1 months======

2009-05-20 21:16:50 ----A---- C:\WINDOWS\system32\p2hhr.bat
2009-05-20 21:16:45 ----A---- C:\WINDOWS\system32\had732ufn8.dll
2009-05-20 21:16:45 ----A---- C:\WINDOWS\system32\ak1.exe
2009-05-20 21:01:01 ----D---- C:\Avenger
2009-05-20 21:01:01 ----A---- C:\avenger.txt
2009-05-20 20:54:06 ----A---- C:\WINDOWS\system32\glsetup.exe
2009-05-17 21:53:52 ----D---- C:\Daten
2009-05-17 13:43:30 ----D---- C:\Programme\Kaspersky Lab
2009-05-17 13:43:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-05-17 13:30:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-05-17 12:59:29 ----A---- C:\WINDOWS\system32\TweakUI.exe
2009-05-16 17:23:48 ----D---- C:\rsit
2009-05-16 13:47:02 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\Malwarebytes
2009-05-16 13:46:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-16 13:46:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-16 13:03:19 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2009-05-16 12:59:10 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-16 11:05:20 ----A---- C:\WINDOWS\NeroDigital.ini
2009-05-16 01:39:14 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\restart.txt
2009-05-16 00:57:05 ----D---- C:\Programme\Trend Micro
2009-05-16 00:51:10 ----D---- C:\Programme\Windows Live Safety Center
2009-05-16 00:39:41 ----A---- C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
2009-05-15 23:22:00 ----D---- C:\Programme\AntiVir PersonalEdition Classic

======List of files/folders modified in the last 1 months======

2009-05-20 21:16:50 ----D---- C:\WINDOWS\Temp
2009-05-20 21:16:50 ----D---- C:\WINDOWS\system32
2009-05-20 21:03:23 ----D---- C:\Programme\Mozilla Firefox
2009-05-20 21:02:32 ----D---- C:\WINDOWS
2009-05-20 21:02:24 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-20 21:02:01 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-20 21:01:56 ----D---- C:\WINDOWS\Registration
2009-05-20 21:01:01 ----RD---- C:\Programme
2009-05-20 21:01:01 ----D---- C:\WINDOWS\system32\drivers
2009-05-20 20:59:20 ----D---- C:\Downloaded
2009-05-17 23:58:06 ----D---- C:\WINDOWS\Prefetch
2009-05-17 21:51:18 ----D---- C:\MDT
2009-05-17 21:51:01 ----SHD---- C:\WINDOWS\CSC
2009-05-17 16:53:23 ----HD---- C:\Programme\InstallShield Installation Information
2009-05-17 13:45:10 ----SHD---- C:\WINDOWS\Installer
2009-05-17 13:44:26 ----HD---- C:\WINDOWS\inf
2009-05-17 13:37:31 ----D---- C:\Programme\Spybot - Search & Destroy
2009-05-17 13:37:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-16 22:05:26 ----D---- C:\WoW
2009-05-16 20:25:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee.com
2009-05-16 18:12:31 ----D---- C:\Programme\Avira
2009-05-16 18:12:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-05-16 18:11:25 ----D---- C:\WINDOWS\WinSxS
2009-05-16 17:23:11 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-16 16:58:50 ----A---- C:\WINDOWS\wininit.ini
2009-05-16 11:03:05 ----D---- C:\WINDOWS\system32\Restore
2009-05-16 01:08:47 ----D---- C:\WINDOWS\Debug
2009-05-16 00:16:59 ----D---- C:\WINDOWS\system32\dllcache
2009-05-15 16:58:53 ----D---- C:\Programme\ICQToolbar
2009-05-15 16:36:56 ----D---- C:\Programme\mIRC
2009-05-10 21:03:47 ----D---- C:\Programme\Dl_cats
2009-04-29 19:33:01 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\WordToPDF
2009-04-29 19:25:42 ----D---- C:\Programme\FreePDF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 APPDRV;APPDRV; C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS [2005-08-12 16128]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-10 40192]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-05-17 226832]
R1 omci;OMCI WDM Device Driver; C:\WINDOWS\system32\DRIVERS\omci.sys [2004-02-13 17153]
R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2005-05-13 5627]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2005-05-13 23545]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-04 8832]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-10 12032]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-12-16 21275]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2005-04-21 40544]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]
R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]
R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-05-01 13568]
R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2005-05-31 25725]
R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2005-05-31 34845]
R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2005-05-31 4125]
R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2005-05-31 2273]
R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2005-05-31 86876]
R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2005-05-31 15069]
R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2005-05-31 6365]
R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2005-05-31 98716]
R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2005-05-31 100605]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-10 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-05-23 1578496]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2006-08-25 44544]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-08-12 137728]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-07-22 1035008]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-07-22 201600]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-10 61824]
R3 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2005-10-14 28544]
R3 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2005-10-14 51328]
R3 rismxdp;Ricoh xD-Picture Card Driver; C:\WINDOWS\system32\DRIVERS\rixdptsk.sys [2005-10-14 307968]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-10 67584]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2006-03-25 1156648]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-08 191872]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2005-10-26 27264]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-04-27 1429632]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-07-22 717952]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 DSproct;DSproct; \??\C:\Programme\Dell Support\GTAction\triggers\DSproct.sys []
S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-04 1897408]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 ZSMC301b;WEBSHOT II USB CAM 300K; C:\WINDOWS\System32\Drivers\usbVM31b.sys [2004-03-03 90534]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2004-08-04 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2004-08-04 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2004-08-04 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2004-08-04 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2004-08-04 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2004-08-04 41088]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-10 73472]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2004-08-04 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-23 409600]
R2 AVP;Kaspersky Anti-Virus; C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2009-05-17 206088]
R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2005-12-15 237568]
R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912]
R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2006-05-01 114753]
R2 hnmsvc;Advanced Networking Service; C:\Programme\Dell Network Assistant\hnm_svc.exe [2007-08-27 111912]
R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-02-25 303104]
R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2006-05-01 217164]
R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2006-05-01 540745]
R2 WLANKEEPER;Intel(R) PROSet/Wireless SSO Service; C:\Programme\Intel\Wireless\Bin\WLKeeper.exe [2006-05-01 262217]
S02000000 OMSCAN;OMSCAN; \Sys []
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-10 268800]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 dlcf_device;dlcf_device; C:\WINDOWS\system32\dlcfcoms.exe [2005-09-29 491520]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2004-08-10 14336]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-04 38912]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]

-----------------EOF-----------------

Andere USB-Sticks funktionieren auch nicht, CDs hingegen können gelesen werden.

Danke
Henko

myrtille

21.05.2009 00:20

Hi,

ja da scheint noch mehr im argen zu sein. Lass mal bitte noch rootrepeal laufen.

Schließe davor bitte alle Programme.

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

lg myrtille

Henko

21.05.2009 12:11

Hallo,

also irgendwie hat sich die Lage nicht gebessert, nachdem ich eine Stunde im Inet war mit dem PC hat MAM wieder einige Trojaner entdeckt. die in /system32/ lagen. Antivir findet immer 6 Datein mit dem namen ovfst....., kann diese aber nicht entfernen, auch nach einem neustart nicht. Ich habe gesehen dass diese Datein auch in dem folgenden Protokoll von "RootRepeal" vermerkt sind.

ROOTREPEAL (c) AD, 2007-2008
==================================================
Scan Time: 2009/05/21 13:02
Program Version: Version 1.2.3.0
Windows Version: Windows XP Media Center Edition SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF170F000 Size: 98304 File Visible: No
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AA8000 Size: 8192 File Visible: No
Status: -

Name: ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Image Path: C:\WINDOWS\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Address: 0xF19A3000 Size: 180224 File Visible: -
Status: Hidden from Windows API!

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEDD20000 Size: 45056 File Visible: No
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\WINDOWS\system32\ovfsthbgvjowoeapfkehjbolfbuxcxilvgvjnr.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthctlfmvswamxjctnfjgnrhpbptmwgqtvm.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthnakkkaxqqyxhjdfemcdakwklpagpljnj.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthrqrvvjglxisqrxwphtgfcbtojonoskbi.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthsuphovsappxvyfrtxqovlplalkbgqyll.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ovfsthfkiwtibcor.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ovfsthivsuoyymsc.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ovfsthngthqfioid.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000003_events.dat
Status: Size mismatch (API: 90592, Raw: 90522)

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\00000001_events.dat
Status: Allocation size mismatch (API: 552, Raw: 472)

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\54\54-{69C80F80-8212-4783-8365-1A18FEEF760A}-v54-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v54-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\00\92-{69C80F80-8212-4783-8365-1A18FEEF760A}-v100-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v92-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\01\10-{B6036E48-94D4-6667-C08F-251CF5C10781}-v1-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v10-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\01\93-{69C80F80-8212-4783-8365-1A18FEEF760A}-v101-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v93-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\02\94-{69C80F80-8212-4783-8365-1A18FEEF760A}-v102-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v94-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\03\95-{69C80F80-8212-4783-8365-1A18FEEF760A}-v103-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v95-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\04\107-{69C80F80-8212-4783-8365-1A18FEEF760A}-v104-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v107-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\05\106-{69C80F80-8212-4783-8365-1A18FEEF760A}-v105-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v106-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\06\104-{69C80F80-8212-4783-8365-1A18FEEF760A}-v106-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v104-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\07\105-{69C80F80-8212-4783-8365-1A18FEEF760A}-v107-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v105-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\08\31-{69C80F80-8212-4783-8365-1A18FEEF760A}-v108-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v31-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\09\32-{69C80F80-8212-4783-8365-1A18FEEF760A}-v109-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v32-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\33\33-{69C80F80-8212-4783-8365-1A18FEEF760A}-v33-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v33-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\34\34-{69C80F80-8212-4783-8365-1A18FEEF760A}-v34-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v34-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\35\35-{69C80F80-8212-4783-8365-1A18FEEF760A}-v35-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v35-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\36\36-{69C80F80-8212-4783-8365-1A18FEEF760A}-v36-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v36-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\37\37-{69C80F80-8212-4783-8365-1A18FEEF760A}-v37-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v37-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\38\38-{69C80F80-8212-4783-8365-1A18FEEF760A}-v38-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v38-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\39\39-{69C80F80-8212-4783-8365-1A18FEEF760A}-v39-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v39-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\40\40-{69C80F80-8212-4783-8365-1A18FEEF760A}-v40-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v40-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\41\41-{69C80F80-8212-4783-8365-1A18FEEF760A}-v41-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v41-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\42\42-{69C80F80-8212-4783-8365-1A18FEEF760A}-v42-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v42-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\43\43-{69C80F80-8212-4783-8365-1A18FEEF760A}-v43-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v43-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\44\44-{69C80F80-8212-4783-8365-1A18FEEF760A}-v44-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v44-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\45\45-{69C80F80-8212-4783-8365-1A18FEEF760A}-v45-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v45-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\46\46-{69C80F80-8212-4783-8365-1A18FEEF760A}-v46-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v46-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\47\47-{69C80F80-8212-4783-8365-1A18FEEF760A}-v47-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v47-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\48\48-{69C80F80-8212-4783-8365-1A18FEEF760A}-v48-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v48-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\49\49-{69C80F80-8212-4783-8365-1A18FEEF760A}-v49-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v49-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\50\50-{69C80F80-8212-4783-8365-1A18FEEF760A}-v50-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v50-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\51\51-{69C80F80-8212-4783-8365-1A18FEEF760A}-v51-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v51-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\52\52-{69C80F80-8212-4783-8365-1A18FEEF760A}-v52-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v52-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\53\53-{69C80F80-8212-4783-8365-1A18FEEF760A}-v53-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v53-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\55\55-{69C80F80-8212-4783-8365-1A18FEEF760A}-v55-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v55-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\56\56-{69C80F80-8212-4783-8365-1A18FEEF760A}-v56-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v56-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\57\57-{69C80F80-8212-4783-8365-1A18FEEF760A}-v57-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v57-Downloaded.frx
Status: Locked to the Windows API!

Henko

21.05.2009 12:13

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\58\58-{69C80F80-8212-4783-8365-1A18FEEF760A}-v58-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v58-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\59\59-{69C80F80-8212-4783-8365-1A18FEEF760A}-v59-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v59-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\60\60-{69C80F80-8212-4783-8365-1A18FEEF760A}-v60-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v60-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\61\61-{69C80F80-8212-4783-8365-1A18FEEF760A}-v61-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v61-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\62\62-{69C80F80-8212-4783-8365-1A18FEEF760A}-v62-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v62-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\63\63-{69C80F80-8212-4783-8365-1A18FEEF760A}-v63-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v63-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\64\64-{69C80F80-8212-4783-8365-1A18FEEF760A}-v64-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v64-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\65\65-{69C80F80-8212-4783-8365-1A18FEEF760A}-v65-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v65-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\66\66-{69C80F80-8212-4783-8365-1A18FEEF760A}-v66-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v66-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\67\67-{69C80F80-8212-4783-8365-1A18FEEF760A}-v67-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v67-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\68\68-{69C80F80-8212-4783-8365-1A18FEEF760A}-v68-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v68-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\69\69-{69C80F80-8212-4783-8365-1A18FEEF760A}-v69-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v69-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\70\70-{69C80F80-8212-4783-8365-1A18FEEF760A}-v70-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v70-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\71\71-{69C80F80-8212-4783-8365-1A18FEEF760A}-v71-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v71-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\72\72-{69C80F80-8212-4783-8365-1A18FEEF760A}-v72-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v72-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\73\73-{69C80F80-8212-4783-8365-1A18FEEF760A}-v73-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v73-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\74\74-{69C80F80-8212-4783-8365-1A18FEEF760A}-v74-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v74-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\75\75-{69C80F80-8212-4783-8365-1A18FEEF760A}-v75-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v75-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\76\76-{69C80F80-8212-4783-8365-1A18FEEF760A}-v76-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v76-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\77\77-{69C80F80-8212-4783-8365-1A18FEEF760A}-v77-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v77-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\78\78-{69C80F80-8212-4783-8365-1A18FEEF760A}-v78-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v78-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\79\79-{69C80F80-8212-4783-8365-1A18FEEF760A}-v79-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v79-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\80\80-{69C80F80-8212-4783-8365-1A18FEEF760A}-v80-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v80-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\81\81-{69C80F80-8212-4783-8365-1A18FEEF760A}-v81-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v81-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\82\96-{69C80F80-8212-4783-8365-1A18FEEF760A}-v82-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v96-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\83\97-{69C80F80-8212-4783-8365-1A18FEEF760A}-v83-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v97-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\84\98-{69C80F80-8212-4783-8365-1A18FEEF760A}-v84-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v98-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\85\99-{69C80F80-8212-4783-8365-1A18FEEF760A}-v85-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v99-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\86\100-{69C80F80-8212-4783-8365-1A18FEEF760A}-v86-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v100-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\87\101-{69C80F80-8212-4783-8365-1A18FEEF760A}-v87-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v101-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\88\102-{69C80F80-8212-4783-8365-1A18FEEF760A}-v88-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v102-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\89\103-{69C80F80-8212-4783-8365-1A18FEEF760A}-v89-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v103-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\90\82-{69C80F80-8212-4783-8365-1A18FEEF760A}-v90-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v82-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\91\83-{69C80F80-8212-4783-8365-1A18FEEF760A}-v91-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v83-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\92\84-{69C80F80-8212-4783-8365-1A18FEEF760A}-v92-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v84-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\93\85-{69C80F80-8212-4783-8365-1A18FEEF760A}-v93-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v85-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\94\86-{69C80F80-8212-4783-8365-1A18FEEF760A}-v94-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v86-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\95\87-{69C80F80-8212-4783-8365-1A18FEEF760A}-v95-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v87-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\96\88-{69C80F80-8212-4783-8365-1A18FEEF760A}-v96-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v88-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\97\89-{69C80F80-8212-4783-8365-1A18FEEF760A}-v97-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v89-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente uStealth Objects
-------------------
Object: Hidden Module [Name: ovfsthctlfmvswamxjctnfjgnrhpbptmwgqtvm.dll]
Process: svchost.exe (PID: 1328) Address: 0x10000000 Size: 73728

Object: Hidden Module [Name: ovfsthrqrvvjglxisqrxwphtgfcbtojonoskbi.dll]
Process: Explorer.EXE (PID: 1836) Address: 0x10000000 Size: 24576

Hidden Services
-------------------
Service Name: ovfsthykapmvgivcjikhbebdkbghjfrstowuyn
Image Path: C:\WINDOWS\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys

Danke und Liebe Grüsse
Henko

Henko

21.05.2009 21:19

Hallo,

ich hab noch mehrmals probiert mit antivir die Datein zu löschen leider ohne Erfolg.
Hier mal das Log was ständig entsteht.

Code:

Beginn des Suchlaufs: Donnerstag, 21. Mai 2009  22:08
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20090521-221333-9DD4F7AB.avp' geschrieben.

c:\windows\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys

    [INFO]      Die Datei ist nicht sichtbar.

    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

c:\windows\system32\ovfsthbgvjowoeapfkehjbolfbuxcxilvgvjnr.dll

    [INFO]      Die Datei ist nicht sichtbar.

    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!

c:\windows\system32\ovfsthctlfmvswamxjctnfjgnrhpbptmwgqtvm.dll

    [INFO]      Die Datei ist nicht sichtbar.

    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!

c:\windows\system32\ovfsthnakkkaxqqyxhjdfemcdakwklpagpljnj.dat

    [INFO]      Die Datei ist nicht sichtbar.

c:\windows\system32\ovfsthrqrvvjglxisqrxwphtgfcbtojonoskbi.dll

    [INFO]      Die Datei ist nicht sichtbar.

    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!

c:\windows\system32\ovfsthsuphovsappxvyfrtxqovlplalkbgqyll.dat

    [INFO]      Die Datei ist nicht sichtbar.

c:\dokumente und einstellungen\*****\lokale einstellungen\temp\ovfsthfkiwtibcor.tmp

    [INFO]      Die Datei ist nicht sichtbar.

c:\dokumente und einstellungen\*****\lokale einstellungen\temp\ovfsthivsuoyymsc.tmp

    [INFO]      Die Datei ist nicht sichtbar.

    [FUND]      Ist das Trojanische Pferd TR/TDss.ycp

    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!

c:\dokumente und einstellungen\*****\lokale einstellungen\temp\ovfsthngthqfioid.tmp

    [INFO]      Die Datei ist nicht sichtbar.

    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Neakse.JF

    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!
 
 

Ende des Suchlaufs: Donnerstag, 21. Mai 2009  22:13

Benötigte Zeit: 04:46 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

      0 Verzeichnisse wurden überprüft

      9 Dateien wurden geprüft

      6 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      1 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

      3 Dateien ohne Befall

      0 Archive wurden durchsucht

      0 Warnungen

      1 Hinweise

  42310 Objekte wurden beim Rootkitscan durchsucht

     16 Versteckte Objekte wurden gefunden

MAM findet auch immer wieder neue Einträge sobald ich länger im Inet bin, was ich tunlichst versuche zu vermeiden.

Liebe Grüsse
Henko

myrtille

22.05.2009 10:19

Hi,

dann ists Zeit die großen Geschütze auszufahren. :D

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

lg myrtille

Henko

22.05.2009 11:59

Hallo,

hatte gestern mal einige Threads durchforstet und mir "SUPERAntispy" nach d er Anleitung hier im Forum installiert und laufen lassen, nach einem neustart konnte plötzlich Antivir und MAM diese "ovfst....*.*" Dateien erkennen und auch löschen, nach einem Neustart konnte ich sogar in der Datenträgerverwaltung meine Festplatte wieder sehen und auch den USB Stick, direkt über Eingabe des Laufwerksbuchstaben auf ihn zugreifen. Im Arbeitsplatz konnte ich ihn leider noch nicht sehen, auch kein Autoplay.
Habe nun Combofix durchlaufen lassen und es hat wohl noch etwas mehr gebracht der USB Stick wurde sogar angezeigt. MAM und Antivir hatten keine Funde nach mehrmaligen ausführen mehr gezeigt. Werde diese aber noch einige Tage immer mal wieder bei online Verbindung laufen lassen.

Dennoch hier das Log aus Combofix

Code:

ComboFix 09-05-21.01 - ***** 22.05.2009 12:36.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1022.457 [GMT 2:00]

ausgeführt von:: c:\downloaded\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\system32\404Fix.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe
 

----- BITS: Eventuell infizierte Webseiten -----
 

hxxp://82.98.235.208

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_ASHEVTSVC
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-04-22 bis 2009-05-22  ))))))))))))))))))))))))))))))

.
 

2009-05-21 20:32 . 2009-05-21 20:32        136        ----a-w        c:\windows\system32\vp_setup.exe.bat

2009-05-21 20:32 . 2009-05-21 20:32        61440        ----a-w        c:\windows\system32\vp_setup.exe

2009-05-21 20:30 . 2009-05-22 10:41        117760        ----a-w        c:\dokumente und einstellungen\*****\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-05-21 20:30 . 2009-05-21 20:30        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2009-05-21 20:30 . 2009-05-21 20:30        --------        d-----w        c:\programme\SUPERAntiSpyware

2009-05-21 20:30 . 2009-05-21 20:30        --------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\SUPERAntiSpyware.com

2009-05-21 20:29 . 2009-05-21 20:29        --------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-05-21 10:53 . 2009-03-06 13:59        286720        ------w        c:\windows\system32\dllcache\pdh.dll

2009-05-21 10:53 . 2009-02-09 10:00        401408        ------w        c:\windows\system32\dllcache\rpcss.dll

2009-05-21 10:53 . 2009-02-06 09:41        227840        ------w        c:\windows\system32\dllcache\wmiprvse.exe

2009-05-21 10:53 . 2005-07-26 04:29        60416        ------w        c:\windows\system32\dllcache\colbact.dll

2009-05-21 10:53 . 2009-02-09 10:00        740864        ------w        c:\windows\system32\dllcache\ntdll.dll

2009-05-21 10:53 . 2009-02-09 10:00        678912        ------w        c:\windows\system32\dllcache\advapi32.dll

2009-05-21 10:53 . 2009-02-09 10:00        473088        ------w        c:\windows\system32\dllcache\fastprox.dll

2009-05-21 10:53 . 2009-02-09 09:48        111104        ------w        c:\windows\system32\dllcache\services.exe

2009-05-21 10:53 . 2009-02-06 09:54        35328        ------w        c:\windows\system32\dllcache\sc.exe

2009-05-21 10:41 . 2008-04-21 21:25        217600        ------w        c:\windows\system32\dllcache\wordpad.exe

2009-05-17 19:53 . 2009-05-17 20:02        --------        d-----w        C:\Daten

2009-05-17 11:30 . 2009-05-17 11:30        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

2009-05-17 10:59 . 2003-06-25 14:05        266360        ----a-w        c:\windows\system32\TweakUI.exe

2009-05-16 16:12 . 2009-03-30 08:33        96104        ----a-w        c:\windows\system32\drivers\avipbb.sys

2009-05-16 16:12 . 2009-03-24 14:08        55640        ----a-w        c:\windows\system32\drivers\avgntflt.sys

2009-05-16 16:12 . 2009-02-13 10:29        22360        ----a-w        c:\windows\system32\drivers\avgntmgr.sys

2009-05-16 16:12 . 2009-02-13 10:17        45416        ----a-w        c:\windows\system32\drivers\avgntdd.sys

2009-05-16 15:23 . 2009-05-16 15:24        --------        d-----w        C:\rsit

2009-05-16 14:00 . 2009-05-16 14:00        --------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2009-05-16 11:47 . 2009-05-16 11:47        --------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes

2009-05-16 11:46 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys

2009-05-16 11:46 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2009-05-16 11:46 . 2009-05-16 11:46        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware

2009-05-16 11:46 . 2009-05-16 11:46        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-05-16 10:47 . 2009-05-16 10:47        --------        d-----w        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla

2009-05-15 22:57 . 2009-05-15 22:57        --------        d-----w        c:\programme\Trend Micro

2009-05-15 22:51 . 2009-05-15 22:53        --------        d-----w        c:\programme\Windows Live Safety Center
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-22 10:42 . 2006-12-16 09:16        --------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2009-05-21 20:00 . 2009-05-16 11:03        2568        ----a-w        c:\windows\system32\PerfStringBackup.TMP

2009-05-17 14:53 . 2006-12-16 09:02        --------        d--h--w        c:\programme\InstallShield Installation Information

2009-05-17 11:37 . 2007-12-22 23:21        --------        d-----w        c:\programme\Spybot - Search & Destroy

2009-05-17 11:37 . 2007-12-22 23:21        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-05-16 18:25 . 2006-12-16 09:10        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee.com

2009-05-16 16:12 . 2007-12-22 23:16        --------        d-----w        c:\programme\Avira

2009-05-16 16:12 . 2007-12-22 23:16        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2009-05-15 14:58 . 2007-11-15 21:21        --------        d-----w        c:\programme\ICQToolbar

2009-05-15 14:36 . 2006-12-25 02:54        --------        d-----w        c:\programme\mIRC

2009-05-10 19:03 . 2007-01-08 15:22        --------        d-----w        c:\programme\Dl_cats

2009-04-29 17:33 . 2008-09-15 15:39        --------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\WordToPDF

2009-04-29 17:25 . 2008-09-21 12:45        --------        d-----w        c:\programme\FreePDF

2009-04-13 21:38 . 2009-04-13 21:38        --------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\Apple Computer

2009-04-13 19:38 . 2009-04-13 19:38        --------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\DivX

2009-03-12 22:33 . 2006-12-25 17:16        5642        --sha-w        c:\windows\system32\KGyGaAvL.sys

2009-03-12 22:33 . 2006-12-25 17:16        168        --sh--r        c:\windows\system32\CE364B9106.sys

2009-03-06 13:59 . 2005-08-20 00:34        286720        ----a-w        c:\windows\system32\pdh.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]

"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]

"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2006-08-03 1032192]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-05-01 667718]

"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-05-01 602182]

"CTSVolFE.exe"="c:\programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 57344]

"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]

"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-12-16 169984]

"PCMService"="c:\programme\Dell\MediaDirect\PCMService.exe" [2006-08-22 184320]

"Corel Photo Downloader"="c:\programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe" [2006-08-14 462336]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"DLCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll" [2005-09-08 73728]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-01 185784]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2007-06-29 286720]

"MSKDetectorExe"="c:\programme\McAfee\SpamKiller\MSKDetct.exe" [2006-11-07 1121280]

"FreePDFAssistent"="c:\programme\FreePDF\FreePDFA.exe" [2003-12-24 150528]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

Dell Network Assistant.lnk - c:\windows\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe [2006-12-16 7168]

Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2006-12-16 24576]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 10:05        356352        ----a-w        c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Dell\\MediaDirect\\PCMService.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\mIRC\\mirc.exe"=

"c:\\Programme\\VoipStunt.com\\VoipStunt\\VoipStunt.exe"=

"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"c:\\Programme\\MSN Messenger\\livecall.exe"=

"c:\\WoW\\BackgroundDownloader.exe"=

"c:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"=

"c:\\Programme\\eMule\\emule.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\WoW\\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe"=

"c:\\WoW\\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe"=

"c:\\WoW\\Launcher.exe"=

"c:\\WoW\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"=

"c:\\WoW\\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe"=

"c:\\Programme\\Intel\\Wireless\\Bin\\S24EvMon.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol

"10426:UDP"= 10426:UDP:SingleClick ICC
 

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.05.2009 18:12 108289]

R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]

S2 OMSCAN;OMSCAN;\Sysb --> \Sysb [?]

.

Inhalt des "geplante Tasks" Ordners
 

2009-05-18 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\6lpolezf.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=

FF - component: c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\6lpolezf.default\extensions\{6e098d65-7d2d-46d4-ada0-2f882a29f795}\platform\WINNT_x86-msvc\components\libchm.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-22 12:40

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  DLCFCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]

"ImagePath"="\Sys"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(896)

c:\programme\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\Ati2evxx.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\programme\Intel\Wireless\Bin\EvtEng.exe

c:\programme\Intel\Wireless\Bin\S24EvMon.exe

c:\programme\Intel\Wireless\Bin\WLKEEPER.exe

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\windows\ehome\ehrecvr.exe

c:\windows\ehome\ehSched.exe

c:\programme\Dell Network Assistant\hnm_svc.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

c:\programme\Intel\Wireless\Bin\RegSrvc.exe

c:\windows\ehome\mcrdsvc.exe

c:\windows\system32\dllhost.exe

c:\windows\system32\ati2evxx.exe

c:\windows\ehome\ehmsas.exe

c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-05-22 12:44 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-05-22 10:44
 

Vor Suchlauf: 25 Verzeichnis(se), 34.771.881.984 Bytes frei

Nach Suchlauf: 24 Verzeichnis(se), 34.700.136.448 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
 

222        --- E O F ---        2009-05-21 11:17

Hier auch noch mal HijackThis Log, ich hab die befürchtung dass dort evtl noch einige virulente Einträge zu finden sind?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:53:24, on 22.05.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\Dell Network Assistant\hnm_svc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\stsystra.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Programme\Dell\QuickSet\quickset.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe

C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe

C:\Programme\Creative\Mixer\CTSVolFE.exe

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

C:\Programme\Dell\MediaDirect\PCMService.exe

C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Programme\FreePDF\FreePDFA.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Digital Line Detect\DLG.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"

O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall

O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Dell Network Assistant.lnk = ?

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: dlcf_device -   - C:\WINDOWS\system32\dlcfcoms.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
 

--

End of file - 7228 bytes

Ist, falls jetzt nichts mehr von den Anti-Viren/Malware- softwar nichts gefunden wird mein Rechner soweit clean, dass ich meine Daten sichern kann, ohne eine Verschleppung zu befürchten?
Mein PC, hat von Symantec ein Wiederherstellungsprogramm im Bootbereich, welches den PC auf Werktszustand zurücksetzt, wäre diese Maßnahme sinnvoll um mehr Sicherheit zu gewähren, oder wäre dieses Rootkit ohnehin im MBR und wäre direkt wieder da?

Danke dir vielmals soweit für deine Hilfe.

Gruss Henko

myrtille

25.05.2009 13:12

Hi,

könnte ich den Bericht von Superantispyware mal sehen? Das Rootkit scheint von Superantispyware ausgehebelt worden zu sein. :) Dann wäre Combofix in der Tat nicht mehr notwendig gewesen, aber es hat noch einiges aufgeräumt.

2-3 Kleinigkeiten, sind noch sichtbar, die wir jetzt mit entfernen wollen:

Führe bitte folgendes Skript nochmal mit Avenger aus:

1.) Lade dir das Tool Avenger nochmal, falls du es schon gelöscht hast und speichere es auf dem Desktop:

2.) Den Haken für Rooktitscan setzen

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

registry values to delete:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer | NoDrives
 

files to delete:

c:\windows\system32\vp_setup.exe.bat

c:\windows\system32\vp_setup.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Der Befall ist nicht dafür bekannt, dass er sich im MBR einträgt, wenn du sichergehen willst, kannst du folgendes Programm herunterladen und überprüfen ob der MBR sauber ist:
mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist. (also auf c: ) und führe sie einfach aus.
Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

lg myrtille

Henko

25.05.2009 15:46

Hi,

also bis jetzt läuft mein system stabil nur wundert es mich manchmal dass antivir noch den ein oder anderen Trojaneralarm gibt.

Hier das SUPERAntiSpyware Log nach dem ersten Scan:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 05/21/2009 at 11:04 PM
 

Application Version : 4.26.1002
 

Core Rules Database Version : 3905

Trace Rules Database Version: 1850
 

Scan type       : Quick Scan

Total Scan Time : 00:27:19
 

Memory items scanned      : 786

Memory threats detected   : 2

Registry items scanned    : 545

Registry threats detected : 11

File items scanned        : 31468

File threats detected     : 17
 

Trojan.Unknown Origin

        C:\WINDOWS\TEMP\MSB.DLL

        C:\WINDOWS\TEMP\MSB.DLL

        [autochk] C:\DOKUME~1\NETWOR~1\PROTECT.DLL

        C:\DOKUME~1\NETWOR~1\PROTECT.DLL

        [autochk] C:\DOKUME~1\LOCALS~1\PROTECT.DLL

        C:\DOKUME~1\LOCALS~1\PROTECT.DLL

        [autochk] C:\DOKUME~1\NETWOR~1\PROTECT.DLL

        C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\PROTECT.DLL

        C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\PROTECT.DLL

        C:\DOKUMENTE UND EINSTELLUNGEN\VAHILOR\PROTECT.DLL

        C:\WINDOWS\SYSTEM32\AUTOCHK.DLL

        C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\PROTECT.DLL

        C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\STARTMENü\PROGRAMME\AUTOSTART\CHKDISK.DLL

        C:\WINDOWS\SYSTEM32\OVFSTHBGVJOWOEAPFKEHJBOLFBUXCXILVGVJNR.DLL

        C:\WINDOWS\SYSTEM32\OVFSTHRQRVVJGLXISQRXWPHTGFCBTOJONOSKBI.DLL
 

Trojan.Agent/Gen-Virut

        C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE

        C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE

        [svc] C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE

        [svc] C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE
 

Trojan.Agent/Gen-QuickDrop

        [] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE

        C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE

        [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE

        [] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE

        [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE

        C:\WINDOWS\TEMP\JKWW73NF9834J.EXE

        C:\WINDOWS\Prefetch\JKWW73NF9834J.EXE-089BF50D.pf

        C:\WINDOWS\Prefetch\ZE0G6FOJ4.EXE-2FC52F88.pf
 

Rootkit.Agent/Gen-Rustock

        HKLM\system\controlset001\services\ovfsthykapmvgivcjikhbebdkbghjfrstowuyn

        C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHCEYXNAQOSBLNOHYDTRGKJVMLTBTKTKBV.SYS

        HKLM\system\controlset003\services\ovfsthykapmvgivcjikhbebdkbghjfrstowuyn

Avenger

Code:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Mon May 25 16:34:48 2009
 

16:33:54: Error: Invalid registry syntax in command:

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives"

Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.

Skipping line.  (Registry value deletion mode)  
 
 

//////////////////////////////////////////
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  file "c:\windows\system32\vp_setup.exe.bat" not found!

Deletion of file "c:\windows\system32\vp_setup.exe.bat" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "c:\windows\system32\vp_setup.exe" not found!

Deletion of file "c:\windows\system32\vp_setup.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

MBR Log

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Soweit ich es beurteilen kann sieht es sauber aus. Kann ich nun mehr oder minder beruhigt am PC arbeiten, oder sollte ich noch was ändern ?

Vielen Dank
Henko

myrtille

25.05.2009 16:05

Hi,

Das MBR ist (wie erwartet ;) ) sauber. Das heißt das der Rechner, wenn du ihn neuaufsetzt, dann sauber sein sollte.

Der Rest ist verwirrend. Einträge und Dateien verschwinden und tauchen in anderen Logs später wieder auf. Das Log von Combofix sieht soweit sauber aus. Es fehlen aber Dateien aus früheren Durchläufen. Hast du noch andere Remover benutzt?

Traust du dir zu selbst in der Registry was zu editieren, oder soll ich dir dafür was schreiben?

(Wenn du es selbst tun willst:
Sicherheitshalber ein Back-Up deiner Registry machen, bevor du sie editierst: Sicherungsdatei Windows Registry Anleitung
Klicke Start > ausführen, schreib REGEDIT, -> [enter]
Navigiere zu folgendem Schlüssel:

Zitat:

Zitat von Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

und lösche auf der rechten Seite folgenden Wert:

Zitat:

Zitat von Wert

NoDrives

NoDrives ist ein Registrywert, der es ermöglicht Laufwerke im Explorer auszublenden. Microsoft Erklärung)

Könntest du bitte nochmal ein Log mit RSIT machen? (log.txt reicht)

lg myrtille

Henko

25.05.2009 17:27

Hi,

also den Wert konnte ich nicht aus der Registry löschen, da er wohl nicht mehr vorhanden war. Das mit den 2 Dateien die Avenger nicht löschen konnte, könnte daran liegen, dass es 2 waren die ich per Hand gelöscht hatte, da antivir mir diese als Warnung angab, aber wohl selbst nicht entfernen konnte.
Sonst habe ich eigentlich keine Removaltools verwendet, außer hier im Beitrag erwähnten. Zwischendurch habe ich öfter MAM und Antivir laufen lassen, die nach updates, vereinzelt was gefunden haben und entfernen konnten. Evtl liegt es daran.

Hier der Log

Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by Vahilor at 2009-05-25 18:22:14

Microsoft Windows XP Professional Service Pack 3

System drive C: has 32 GB (30%) free of 108 GB

Total RAM: 1022 MB (46% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:22:27, on 25.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Dell Network Assistant\hnm_svc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\stsystra.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Dell\QuickSet\quickset.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe

C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe

C:\Programme\Creative\Mixer\CTSVolFE.exe

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

C:\Programme\Dell\MediaDirect\PCMService.exe

C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Programme\FreePDF\FreePDFA.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Digital Line Detect\DLG.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\dlcfcoms.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Downloaded\RSIT.exe

C:\Programme\Trend Micro\HijackThis\Vahilor.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"

O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall

O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Dell Network Assistant.lnk = ?

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: dlcf_device -   - C:\WINDOWS\system32\dlcfcoms.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
 

--

End of file - 7490 bytes
 

======Scheduled tasks folder======
 

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]

"SigmatelSysTrayApp"=C:\WINDOWS\stsystra.exe [2006-03-25 282624]

"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-08 761947]

"Dell QuickSet"=C:\Programme\Dell\QuickSet\quickset.exe [2006-08-03 1032192]

"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]

"IntelZeroConfig"=C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe [2006-05-01 667718]

"IntelWireless"=C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe [2006-05-01 602182]

"CTSVolFE.exe"=C:\Programme\Creative\Mixer\CTSVolFE.exe [2005-02-23 57344]

"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-07-27 221184]

"ISUSScheduler"=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-07-27 81920]

"Google Desktop Search"=C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2006-12-16 169984]

"PCMService"=C:\Programme\Dell\MediaDirect\PCMService.exe [2006-08-22 184320]

"Corel Photo Downloader"=C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe [2006-08-14 462336]

"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

"DLCFCATS"=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16 []

"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2007-06-01 185784]

"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2005-05-31 122941]

"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2007-06-29 286720]

"MSKDetectorExe"=C:\Programme\McAfee\SpamKiller\MSKDetct.exe [2006-11-07 1121280]

"FreePDFAssistent"=C:\Programme\FreePDF\FreePDFA.exe [2003-12-24 150528]

"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

"MsnMsgr"=C:\Programme\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352]

"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-14 1830128]
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Dell Network Assistant.lnk - C:\WINDOWS\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe

Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe

Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]

C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

C:\WINDOWS\system32\Ati2evxx.dll [2006-05-23 61440]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDrives"=0

"NoDriveAutoRun"=67108863
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\Dell\MediaDirect\PCMService.exe"="C:\Programme\Dell\MediaDirect\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"

"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe"="C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe:*:Enabled:VoipStunt"

"C:\WoW\BackgroundDownloader.exe"="C:\WoW\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"

"C:\Programme\Dell Network Assistant\ezi_hnm2.exe"="C:\Programme\Dell Network Assistant\ezi_hnm2.exe:*:Enabled:Dell Network Assistant"

"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"

"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

"C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\WoW\Launcher.exe"="C:\WoW\Launcher.exe:*:Enabled:Blizzard Launcher"

"C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe"="C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\Programme\Intel\Wireless\Bin\S24EvMon.exe"="C:\Programme\Intel\Wireless\Bin\S24EvMon.exe:*:Enabled:S24EvMon"

"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Disabled:eMule"

"C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Disabled:mIRC"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Henko

25.05.2009 17:29

Code:

======List of files/folders created in the last 1 months======
 

2009-05-25 16:39:18 ----A---- C:\mbr.exe

2009-05-25 16:35:48 ----D---- C:\Avenger

2009-05-25 16:34:48 ----A---- C:\avenger.txt

2009-05-25 11:21:56 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP

2009-05-25 11:21:07 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$

2009-05-25 11:20:59 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$

2009-05-25 11:20:45 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$

2009-05-24 20:59:01 ----SHD---- C:\Config.Msi

2009-05-24 20:56:33 ----A---- C:\WINDOWS\OEWABLog.txt

2009-05-24 20:55:08 ----D---- C:\WINDOWS\Prefetch

2009-05-24 12:54:45 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$

2009-05-24 12:54:29 ----HDC---- C:\WINDOWS\$NtUninstallKB963027$

2009-05-24 12:54:12 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$

2009-05-24 12:54:03 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$

2009-05-24 12:53:48 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$

2009-05-24 12:53:39 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$

2009-05-24 12:53:31 ----HDC---- C:\WINDOWS\$NtUninstallKB958690$

2009-05-24 12:53:20 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$

2009-05-24 12:53:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$

2009-05-24 12:52:54 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$

2009-05-24 12:52:41 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$

2009-05-24 12:52:31 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$

2009-05-24 12:52:23 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$

2009-05-24 12:52:04 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$

2009-05-24 12:51:54 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$

2009-05-24 12:51:34 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$

2009-05-24 12:51:18 ----HDC---- C:\WINDOWS\$NtUninstallKB956390$

2009-05-24 12:51:10 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$

2009-05-24 12:51:03 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$

2009-05-24 12:50:54 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$

2009-05-24 12:50:33 ----HDC---- C:\WINDOWS\$NtUninstallKB953838$

2009-05-24 12:50:19 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$

2009-05-24 12:50:12 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$

2009-05-24 12:50:02 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$

2009-05-24 12:49:53 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$

2009-05-24 12:49:47 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$

2009-05-24 12:49:40 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$

2009-05-24 12:49:31 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$

2009-05-24 12:49:24 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$

2009-05-24 12:49:17 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$

2009-05-24 12:49:08 ----HDC---- C:\WINDOWS\$NtUninstallKB950759$

2009-05-24 12:49:01 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$

2009-05-24 12:48:56 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$

2009-05-24 12:48:49 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$

2009-05-24 12:45:02 ----A---- C:\WINDOWS\setuplog.txt

2009-05-24 12:43:58 ----D---- C:\WINDOWS\system32\de-de

2009-05-24 12:43:56 ----D---- C:\WINDOWS\system32\de

2009-05-24 12:43:56 ----D---- C:\WINDOWS\system32\bits

2009-05-24 12:43:56 ----D---- C:\WINDOWS\l2schemas

2009-05-24 12:40:53 ----D---- C:\WINDOWS\ServicePackFiles

2009-05-24 12:37:53 ----D---- C:\WINDOWS\network diagnostic

2009-05-24 12:36:33 ----A---- C:\WINDOWS\imsins.BAK

2009-05-24 12:32:46 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$

2009-05-24 10:33:15 ----A---- C:\WINDOWS\system32\MRT.exe

2009-05-23 23:47:18 ----D---- C:\Programme\ESET

2009-05-23 22:06:18 ----SHD---- C:\RECYCLER

2009-05-22 12:44:53 ----D---- C:\WINDOWS\temp

2009-05-22 12:44:51 ----A---- C:\ComboFix.txt

2009-05-22 12:36:05 ----A---- C:\Boot.bak

2009-05-22 12:35:57 ----RASHD---- C:\cmdcons

2009-05-22 12:34:26 ----A---- C:\WINDOWS\zip.exe

2009-05-22 12:34:26 ----A---- C:\WINDOWS\SWXCACLS.exe

2009-05-22 12:34:26 ----A---- C:\WINDOWS\SWSC.exe

2009-05-22 12:34:26 ----A---- C:\WINDOWS\SWREG.exe

2009-05-22 12:34:26 ----A---- C:\WINDOWS\sed.exe

2009-05-22 12:34:26 ----A---- C:\WINDOWS\PEV.exe

2009-05-22 12:34:26 ----A---- C:\WINDOWS\NIRCMD.exe

2009-05-22 12:34:26 ----A---- C:\WINDOWS\grep.exe

2009-05-22 12:34:15 ----D---- C:\WINDOWS\ERDNT

2009-05-22 12:33:14 ----D---- C:\Qoobox

2009-05-21 22:30:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2009-05-21 22:30:01 ----D---- C:\Programme\SUPERAntiSpyware

2009-05-21 22:30:01 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\SUPERAntiSpyware.com

2009-05-21 22:29:50 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2009-05-21 13:16:59 ----HDC---- C:\WINDOWS\$NtUninstallKB959426_0$

2009-05-21 13:16:53 ----HDC---- C:\WINDOWS\$NtUninstallKB961373_0$

2009-05-21 13:16:47 ----HDC---- C:\WINDOWS\$NtUninstallKB960225_0$

2009-05-21 13:16:30 ----HDC---- C:\WINDOWS\$NtUninstallKB956572_0$

2009-05-21 13:16:18 ----HDC---- C:\WINDOWS\$NtUninstallKB952004_0$

2009-05-21 13:16:13 ----HDC---- C:\WINDOWS\$NtUninstallKB960715$

2009-05-21 13:16:08 ----HDC---- C:\WINDOWS\$NtUninstallKB958687_0$

2009-05-21 13:16:00 ----HDC---- C:\WINDOWS\$NtUninstallKB967715_0$

2009-05-21 13:15:53 ----HDC---- C:\WINDOWS\$NtUninstallKB958690_0$

2009-05-21 13:15:47 ----HDC---- C:\WINDOWS\$NtUninstallKB960803_0$

2009-05-21 13:15:32 ----HDC---- C:\WINDOWS\$NtUninstallKB963027_0$

2009-05-21 13:15:23 ----HDC---- C:\WINDOWS\$NtUninstallKB923561_0$

2009-05-21 12:33:44 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-05-17 21:53:52 ----D---- C:\Daten

2009-05-17 13:30:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

2009-05-17 12:59:29 ----A---- C:\WINDOWS\system32\TweakUI.exe

2009-05-16 17:23:48 ----D---- C:\rsit

2009-05-16 13:47:02 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\Malwarebytes

2009-05-16 13:46:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware

2009-05-16 13:46:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-05-16 11:05:20 ----A---- C:\WINDOWS\NeroDigital.ini

2009-05-16 01:39:14 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\restart.txt

2009-05-16 00:57:05 ----D---- C:\Programme\Trend Micro

2009-05-16 00:51:10 ----D---- C:\Programme\Windows Live Safety Center

2009-05-16 00:39:41 ----A---- C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt

2009-05-15 23:22:00 ----D---- C:\Programme\AntiVir PersonalEdition Classic
 

======List of files/folders modified in the last 1 months======
 

2009-05-25 16:39:44 ----D---- C:\Downloaded

2009-05-25 16:38:01 ----D---- C:\WINDOWS

2009-05-25 16:37:59 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2009-05-25 16:37:53 ----D---- C:\Programme\Mozilla Firefox

2009-05-25 16:37:08 ----D---- C:\MDT

2009-05-25 16:36:21 ----D---- C:\WINDOWS\system32\CatRoot2

2009-05-25 16:35:48 ----D---- C:\WINDOWS\system32\drivers

2009-05-25 16:34:56 ----D---- C:\WINDOWS\system32

2009-05-25 11:21:13 ----HD---- C:\WINDOWS\inf

2009-05-25 11:21:11 ----D---- C:\WINDOWS\system32\dllcache

2009-05-25 11:21:00 ----D---- C:\WINDOWS\WinSxS

2009-05-24 21:00:24 ----HD---- C:\WINDOWS\$hf_mig$

2009-05-24 20:59:18 ----SHD---- C:\WINDOWS\Installer

2009-05-24 20:59:15 ----D---- C:\WINDOWS\Debug

2009-05-24 20:59:03 ----D---- C:\Programme\MSN Messenger

2009-05-24 20:54:36 ----D---- C:\WINDOWS\system32\Setup

2009-05-24 20:54:36 ----D---- C:\WINDOWS\AppPatch

2009-05-24 20:54:35 ----D---- C:\WINDOWS\system32\wbem

2009-05-24 20:54:35 ----D---- C:\Programme\Gemeinsame Dateien\System

2009-05-24 20:54:33 ----RSD---- C:\WINDOWS\Fonts

2009-05-24 12:55:04 ----D---- C:\WINDOWS\system32\CatRoot

2009-05-24 12:49:03 ----D---- C:\Programme\Messenger

2009-05-24 12:48:27 ----D---- C:\WINDOWS\security

2009-05-24 12:44:15 ----D---- C:\WINDOWS\system32\inetsrv

2009-05-24 12:44:14 ----D---- C:\WINDOWS\ime

2009-05-24 12:44:14 ----D---- C:\WINDOWS\Help

2009-05-24 12:43:58 ----D---- C:\WINDOWS\system32\usmt

2009-05-24 12:43:57 ----D---- C:\Programme\Internet Explorer

2009-05-24 12:43:56 ----D---- C:\WINDOWS\PeerNet

2009-05-24 12:43:55 ----D---- C:\Programme\Movie Maker

2009-05-24 12:40:39 ----D---- C:\WINDOWS\system32\Restore

2009-05-24 12:40:38 ----D---- C:\WINDOWS\system32\npp

2009-05-24 12:40:37 ----D---- C:\WINDOWS\msagent

2009-05-24 12:40:35 ----D---- C:\WINDOWS\srchasst

2009-05-24 12:40:34 ----D---- C:\Programme\NetMeeting

2009-05-24 12:40:33 ----D---- C:\WINDOWS\system32\Com

2009-05-24 12:40:30 ----D---- C:\Programme\Windows NT

2009-05-24 12:40:30 ----D---- C:\Programme\Outlook Express

2009-05-24 12:40:09 ----D---- C:\WINDOWS\system32\oobe

2009-05-24 12:40:06 ----D---- C:\WINDOWS\system

2009-05-24 12:36:31 ----D---- C:\WINDOWS\system32\ReinstallBackups

2009-05-24 12:32:45 ----D---- C:\WINDOWS\ehome

2009-05-24 10:28:35 ----D---- C:\WINDOWS\Registration

2009-05-24 10:28:20 ----SHD---- C:\WINDOWS\CSC

2009-05-23 23:47:18 ----RD---- C:\Programme

2009-05-22 13:20:50 ----D---- C:\WoW

2009-05-22 12:40:50 ----A---- C:\WINDOWS\system.ini

2009-05-22 12:38:17 ----D---- C:\WINDOWS\system32\config

2009-05-22 12:37:28 ----D---- C:\Programme\Gemeinsame Dateien

2009-05-22 12:36:05 ----RASH---- C:\boot.ini

2009-05-22 12:34:25 ----SHD---- C:\System Volume Information

2009-05-21 22:32:09 ----D---- C:\Program Files

2009-05-17 16:53:23 ----HD---- C:\Programme\InstallShield Installation Information

2009-05-17 13:37:31 ----D---- C:\Programme\Spybot - Search & Destroy

2009-05-17 13:37:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-05-16 20:25:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee.com

2009-05-16 18:12:31 ----D---- C:\Programme\Avira

2009-05-16 18:12:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2009-05-16 16:58:50 ----A---- C:\WINDOWS\wininit.ini

2009-05-15 16:58:53 ----D---- C:\Programme\ICQToolbar

2009-05-15 16:36:56 ----D---- C:\Programme\mIRC

2009-05-10 21:03:47 ----D---- C:\Programme\Dl_cats

2009-04-29 19:33:01 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\WordToPDF

2009-04-29 19:25:42 ----D---- C:\Programme\FreePDF
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 APPDRV;APPDRV; C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS [2005-08-12 16128]

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]

R1 omci;OMCI WDM Device Driver; C:\WINDOWS\system32\DRIVERS\omci.sys [2004-02-13 17153]

R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []

R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []

R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2005-05-13 5627]

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]

R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2005-05-13 23545]

R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832]

R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-10 12032]

R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-12-16 21275]

R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]

R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2005-04-21 40544]

R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]

R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]

R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-05-01 13568]

R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2005-05-31 25725]

R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2005-05-31 34845]

R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2005-05-31 4125]

R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2005-05-31 2273]

R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2005-05-31 86876]

R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2005-05-31 15069]

R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2005-05-31 6365]

R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2005-05-31 98716]

R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2005-05-31 100605]

R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]

R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-05-23 1578496]

R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2006-08-25 44544]

R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]

R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]

R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-07-22 1035008]

R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-07-22 201600]

R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]

R3 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2005-10-14 28544]

R3 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2005-10-14 51328]

R3 rismxdp;Ricoh xD-Picture Card Driver; C:\WINDOWS\system32\DRIVERS\rixdptsk.sys [2005-10-14 307968]

R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []

R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]

R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2006-03-25 1156648]

R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-08 191872]

R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]

R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-04-27 1429632]

R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-07-22 717952]

S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]

S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]

S3 DSproct;DSproct; \??\C:\Programme\Dell Support\GTAction\triggers\DSproct.sys []

S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]

S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]

S3 mbr;mbr; \??\C:\DOKUME~1\Vahilor\LOKALE~1\Temp\mbr.sys []

S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]

S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]

S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]

S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]

S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-04 1897408]

S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]

S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]

S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]

S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]

S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]

S3 ZSMC301b;WEBSHOT II USB CAM 300K; C:\WINDOWS\System32\Drivers\usbVM31b.sys [2004-03-03 90534]

S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]

S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]

S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]

S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]

S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2008-04-14 5504]

S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]

S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-23 409600]

R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2006-05-01 114753]

R2 hnmsvc;Advanced Networking Service; C:\Programme\Dell Network Assistant\hnm_svc.exe [2007-08-27 111912]

R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-02-25 303104]

R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]

R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]

R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2006-05-01 217164]

R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2006-05-01 540745]

R2 WLANKEEPER;Intel(R) PROSet/Wireless SSO Service; C:\Programme\Intel\Wireless\Bin\WLKeeper.exe [2006-05-01 262217]

R3 dlcf_device;dlcf_device; C:\WINDOWS\system32\dlcfcoms.exe [2005-09-29 491520]

S02000000 OMSCAN;OMSCAN; \Sys []

S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]

S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]

S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-04 38912]

S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]
 

-----------------EOF-----------------

Ist es zwingend erforderlich das System nun neu aufzuseten oder besht eine Chance von 90% dass das System wieder rein ist, wenn ich jetzt die nächsten 2 Wochen nichts mehr finde?

Danke
Henko

myrtille

25.05.2009 17:58

Hi,

der Eintrag sollte eigentlich schon noch da sein, ist so aber wirkungslos:

Code:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDrives"=0

"NoDriveAutoRun"=67108863

Kannst du mir sagen ob du diese 3 Einträge in der Registry siehst?

Hast du den Autostart für bestimmte Laufwerke deaktiviert, oder sind die Einträge von wem anders generiert worden?
(Vergleiche zb denselben Schlüssel vom 16.05

Code:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

)

Dein Rechner ist wahrscheinlich sauber, ja. :)
(Das Problem bei verschwundenen Dateien ist zu wissen: welche Datei wurde von Avira gelöscht, welche Datei hat sich vor Windows versteckt und welche Datei wurde ausgeführt und hat ihren Job getan und dich wieder infiziert. Daher ist es etwas schwer abzuschätzen, ob du sauber bist.
Wenn allerdings alle Logs sauber sind und auch die installierten Programme nichts mehr sehen, stehen die Chancen gnaz gut. :) )
Ich würd abschließend nochmal einen Scan mit RootRepeal machen, um zu sehen was von dem Rootkit eventuell noch übrig ist und anschließend die ganzen installierten Removaltools entfernen.

lg myrtille

Henko

25.05.2009 19:54

Hallo,

also ich hab zur Vereinfachung mal ein Screenshot gemacht von den 2 Schlüsseln. Ich habe selbst nichts an den Autostarts der Laufwerke geändert, wüsste auch kein Programm dass dies getan haben sollte. Hab nur versucht es selbst einzustellen für die USB aber ohne Erfolg.
http://img38.imageshack.us/img38/6551/screen3l.jpg

Hier das Log von RootRepeal

Code:

ROOTREPEAL (c) AD, 2007-2008

==================================================

Scan Time:                        2009/05/25 20:41

Program Version:                Version 1.2.3.0

Windows Version:                Windows XP Media Center Edition SP3

==================================================
 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xF1C06000        Size: 98304        File Visible: No

Status: -
 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7A0D000        Size: 8192        File Visible: No

Status: -
 

Name: mbr.sys

Image Path: C:\DOKUME~1\****\LOKALE~1\Temp\mbr.sys

Address: 0xEEA31000        Size: 11776        File Visible: No

Status: -
 

Name: opolxh.sys

Image Path: opolxh.sys

Address: 0xF74D1000        Size: 61440        File Visible: No

Status: -
 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xED5F4000        Size: 45056        File Visible: No

Status: -
 

Hidden/Locked Files

-------------------

Path: C:\hiberfil.sys

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\etilqs_rVnCRbLngjyEuOrgRqlt

Status: Allocation size mismatch (API: 32768, Raw: 0)
 
 

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\****@hotmail.com\SharingMetadata\****@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\99\91-{69C80F80-8212-4783-8365-1A18FEEF760A}-v99-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v91-Downloaded.frx

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1

Status: Invisible to the Windows API!
 

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

Status: Invisible to the Windows API!
 

Path: C:\Dokumente und EinsteSSDT

-------------------

#: 041        Function Name: NtCreateKey

Status: Hooked by "<unknown>" at address 0xf7ba976e
 

#: 053        Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0xf7ba9764
 

#: 063        Function Name: NtDeleteKey

Status: Hooked by "<unknown>" at address 0xf7ba9773
 

#: 065        Function Name: NtDeleteValueKey

Status: Hooked by "<unknown>" at address 0xf7ba977d
 

#: 098        Function Name: NtLoadKey

Status: Hooked by "<unknown>" at address 0xf7ba9782
 

#: 122        Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0xf7ba9750
 

#: 128        Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0xf7ba9755
 

#: 193        Function Name: NtReplaceKey

Status: Hooked by "<unknown>" at address 0xf7ba978c
 

#: 204        Function Name: NtRestoreKey

Status: Hooked by "<unknown>" at address 0xf7ba9787
 

#: 247        Function Name: NtSetValueKey

Status: Hooked by "<unknown>" at address 0xf7ba9778
 

#: 257        Function Name: NtTerminateProcess

Status: Hooked by "C:\Programme\SUPERAntiSpyware\SASKUTIL.sys" at address 0xf1da5df0

Naja hoffe, dass was gefunden wurde nun nicht doch noch von einem Rootkit oder ähnlichem ist. Hatte mich schon gefreut :)

Danke und Liebe Grüsse
Henko

Alle Zeitangaben in WEZ +1. Es ist jetzt 20:21 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58