Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten (https://www.trojaner-board.de/74207-trojaner-navipromo-af-navipromo-aa-anwendungsdaten.html)

obikenobi 16.06.2009 11:44
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten
 
Hallo zusammen.

bin wohl mit den oben genannten viren infiziert, bzw. der rechner. ;-) würd mich über hilfe sehr freuen...

hab leider wenig ahnung bei der bekämpfung und werd mich mal so gut ich's hinbekomme an die grundregeln halten...

laut AVG befinden sich die beiden in den anwendungsdaten. löschen bringt nix:
NaviPromo.AF laut AVG in:
c:\Dokumente und Einstellungen/***/Lokale Einstellungen/Anwendungsdaten/ikycc_navps.dat

NaviPromo.AA in:
c:\Dokumente und Einstellungen/***/Lokale Einstellungen/Anwendungsdaten/ikycc.dat

also, dann mal los, werde als nächstes den report von malwarebytes anti-malware posten, wenn es endlich durchgelaufen ist...

schon mal vielen dank!!!

Chris4You 16.06.2009 12:25
Hi,

Navilog
Folge folgender Anleitung: http://www.trojaner-board.de/69713-e...navipromo.html
oder
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sin zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte English auswählen, ausser Du kannst eine der angegebenen Sprachen ;o)
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

chris

obikenobi 16.06.2009 13:20
so, hier schon mal der log von malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2286
Windows 5.1.2600 Service Pack 3

16.06.2009 14:12:06
mbam-log-2009-06-16 (14-12-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 236091
Laufzeit: 2 hour(s), 25 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ikycc (Trojan.Agent.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\***\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ikycc.exe (Trojan.Agent.H) -> No action taken.
c:\dokumente und einstellungen\***\anwendungsdaten\macromedia\Common\701a00761.dll (Hijack.Sound) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.

obikenobi 16.06.2009 13:34
so, jetzt auch navilog:

Code:
Search Navipromo version 3.7.7 began on 16.06.2009 at 14:23:46,78

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3500+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : *** ( Administrator )
BOOT : Normal boot

Antivirus : AVG Anti-Virus Free 8.5 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:232 Go (Free:52 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (USB) - FAT - Total:124 Mo (Free:0 Go)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

ikycc.dat found !
ikycc_nav.dat found !
ikycc_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 16.06.2009 at 14:30:02,59 ***

obikenobi 16.06.2009 13:46
HJT log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:30, on 16.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.netcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A4B626-994B-4332-9C55-E85D989B79AD}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8023 bytes

Chris4You 16.06.2009 14:18
Hallo,

falls noch nicht erfolgt, MAM alles bereinigen lassen und danach Navilog:

Starte das Programm und wähle Option 2 aus!
Der Rechner wird nun neu gestartet, bestätige den ggf. den Neustart.
Beim Neustart läuft NaviFix automatisch an (nichts am Rechner machen bis der Scan zu Ende ist!).
Ist NaviFix beendet, öffnet sich wieder ein Editorfenster mit dem Log, das abkopieren und Posten ggf. Zwischenspeichern.

Was mir Sorgen macht, ist das hier:
701a00761.dll
Der hängt sich überall rein... zu finden sein müsste das u.a. auch hier:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokume~1\USER\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL
c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL
Wobei der zufällige Name 701a00761 ist und User Dein Benutzername ...

Prüfe mal noch ob Du das liebe Teil dort noch findest, dann hat MAM nicht alles gefunden und die Bereinigung bringt nichts...

Zusätzlich noch:
RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

obikenobi 16.06.2009 14:27
vielen vielen dank erstmal!
aber die datei ist in der tat noch zu finden. und nun???

Chris4You 16.06.2009 14:31
Hi,

Hardcore:


Hier der Versuch einer "generischen" Lösung, bitte USER im Script gegen den richtigen Pfad tauschen (Benutzername) und
[zufälligerName] gegen den angegebenen Name (ohne "dll")!

Avenger:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Files to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll
c:\dokume~1\USER\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL
c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL

Folders to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia
c:\dokume~1\USER\ANWEND~1\MACROM~1\Common
c:\dokume~1\USER\ANWEND~1\MACROM~1
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp
c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common
c:\dokume~1\Default User\ANWEND~1\MACROM~1
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris

obikenobi 16.06.2009 14:52
so:


Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a007619.dll"
Deletion of file "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a007619.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\701a007619.dll"
Deletion of file "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\701a007619.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  file "c:\dokume~1\***\ANWEND~1\MACROM~1\Common\701a007619.DLL" not found!
Deletion of file "c:\dokume~1\***\ANWEND~1\MACROM~1\Common\701a007619.DLL" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\701a007619.DLL"
Deletion of file "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\701a007619.DLL" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common"
Deletion of folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia" not found!
Deletion of folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common"
Deletion of folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia" not found!
Deletion of folder "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "c:\dokume~1\***\ANWEND~1\MACROM~1\Common" deleted successfully.
Folder "c:\dokume~1\***\ANWEND~1\MACROM~1" deleted successfully.
Folder "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp" deleted successfully.
Folder "C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp" deleted successfully.

Error:  could not open folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common"
Deletion of folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1" not found!
Deletion of folder "c:\dokume~1\Default User\ANWEND~1\MACROM~1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Chris4You 16.06.2009 14:56
Hi,

bitte noch RSIT...

chris

obikenobi 16.06.2009 15:12
kommt sofort ;)

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-06-16 15:56:19
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 54 GB (23%) free of 238 GB
Total RAM: 1023 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:28, on 16.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.netcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.netcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://w*w.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1A4B626-994B-4332-9C55-E85D989B79AD}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8106 bytes

obikenobi 16.06.2009 15:15
teil 2:

Code:
======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Google Software Updater.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-02-01 1377576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - C:\Programme\AVG\AVG8\avgssie.dll [2009-06-11 1107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
AVG Security Toolbar BHO - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll [2009-06-02 1004800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2008-01-21 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-24 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2008-01-21 2427968]
{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - AVG Security Toolbar - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll [2009-06-02 1004800]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-12-05 8523776]
"nwiz"=nwiz.exe /install []
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2004-12-01 77824]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2007-10-10 36352]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2007-12-11 286720]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2007-12-05 81920]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [2008-02-22 144784]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2006-11-24 487424]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-04-10 185896]
"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe [2009-06-11 1948440]
"UserFaultCheck"=C:\WINDOWS\system32\dumprep 0 -u []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Steam"=C:\Programme\Steam.exe [2009-05-19 1217784]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-01-30 68856]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"WAB"=C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe []

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
Gigaset WLAN Adapter Monitor.lnk - C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\KEM.exe

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
C:\WINDOWS\system32\avgrsstx.dll [2009-06-11 11952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Winamp Remote\bin\Orb.exe"="C:\Programme\Winamp Remote\bin\Orb.exe:*:Enabled:Orb"
"C:\Programme\Winamp Remote\bin\OrbTray.exe"="C:\Programme\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray"
"C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Programme\SteamApps\***\day of defeat source\hl2.exe"="C:\Programme\SteamApps\***\day of defeat source\hl2.exe:*:Enabled:hl2"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Disabled:eMule"
"C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Disabled:LimeWire"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Disabled:Skype. Take a deep breath "
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\AVG\AVG8\avgemc.exe"="C:\Programme\AVG\AVG8\avgemc.exe:*:Enabled:avgemc.exe"
"C:\Programme\AVG\AVG8\avgupd.exe"="C:\Programme\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe"
"C:\Programme\AVG\AVG8\avgnsx.exe"="C:\Programme\AVG\AVG8\avgnsx.exe:*:Enabled:avgnsx.exe"
"C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:enable"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d44339d-a69e-11dc-98d7-806d6172696f}]
shell\AutoRun\command - D:\Setup.exe


======List of files/folders created in the last 1 months======

2009-06-16 15:56:19 ----D---- C:\rsit
2009-06-16 15:47:47 ----A---- C:\avenger.txt
2009-06-16 15:41:38 ----D---- C:\Avenger
2009-06-16 14:23:46 ----A---- C:\fixnavi.txt
2009-06-16 13:33:23 ----D---- C:\Programme\Navilog1
2009-06-16 11:44:23 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-06-16 11:44:18 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-06-16 11:44:17 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-06-16 11:30:18 ----D---- C:\Programme\CCleaner
2009-06-11 16:09:50 ----AD---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2009-06-11 15:52:05 ----D---- C:\Programme\Trend Micro
2009-06-11 15:35:52 ----HD---- C:\$AVG8.VAULT$
2009-06-11 15:23:22 ----A---- C:\WINDOWS\system32\avgrsstx.dll
2009-06-11 15:23:12 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AVG Security Toolbar
2009-06-11 15:22:59 ----D---- C:\Programme\AVG
2009-06-11 15:22:59 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\avg8
2009-06-11 05:59:22 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-06-11 05:59:16 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$
2009-06-11 05:59:12 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-06-11 05:58:23 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-06-11 05:58:18 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-06-10 20:37:31 ----A---- C:\WINDOWS\rasqervy.dll
2009-06-10 20:37:30 ----A---- C:\WINDOWS\sdfinacs.dll
2009-06-05 21:42:08 ----A---- C:\WINDOWS\sdfixwcs.dll
2009-06-05 21:40:55 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-06-05 21:40:45 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-06-03 18:57:10 ----D---- C:\WINDOWS\Prefetch
2009-06-03 08:43:43 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-06-03 08:31:53 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-06-03 08:31:46 ----HDC---- C:\WINDOWS\$NtUninstallKB963027$
2009-06-03 08:31:41 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-06-03 08:31:36 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-06-03 08:31:29 ----HDC---- C:\WINDOWS\$NtUninstallKB960714$
2009-06-03 08:31:25 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-06-03 08:31:20 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-06-03 08:31:15 ----HDC---- C:\WINDOWS\$NtUninstallKB958690$
2009-06-03 08:31:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-06-03 08:31:05 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-06-03 08:30:58 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$
2009-06-03 08:30:53 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-06-03 08:30:49 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2009-06-03 08:30:44 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2009-06-03 08:30:39 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-06-03 08:30:35 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-06-03 08:30:26 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-06-03 08:30:17 ----HDC---- C:\WINDOWS\$NtUninstallKB956390$
2009-06-03 08:30:11 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-06-03 08:30:06 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-06-03 08:30:01 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2009-06-03 08:29:53 ----HDC---- C:\WINDOWS\$NtUninstallKB953838$
2009-06-03 08:29:48 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-06-03 08:29:44 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-06-03 08:29:38 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-06-03 08:29:33 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-06-03 08:29:28 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2009-06-03 08:29:23 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-06-03 08:29:19 ----HDC---- C:\WINDOWS\$NtUninstallKB951376$
2009-06-03 08:29:12 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-06-03 08:29:08 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-06-03 08:29:03 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-06-03 08:28:57 ----HDC---- C:\WINDOWS\$NtUninstallKB950759$
2009-06-03 08:28:51 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-06-03 08:28:48 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2009-06-03 08:28:43 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-06-03 08:26:33 ----D---- C:\WINDOWS\l2schemas
2009-06-03 08:26:32 ----D---- C:\WINDOWS\system32\de
2009-06-03 08:26:32 ----D---- C:\WINDOWS\system32\bits
2009-06-03 08:24:25 ----D---- C:\WINDOWS\ServicePackFiles
2009-06-03 08:20:53 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-06-03 08:20:52 ----D---- C:\WINDOWS\EHome
2009-05-26 11:43:03 ----D---- C:\Programme\7-Zip

======List of files/folders modified in the last 1 months======

2009-06-16 15:49:41 ----D---- C:\Programme\Mozilla Firefox
2009-06-16 15:49:27 ----D---- C:\WINDOWS\Temp
2009-06-16 15:49:25 ----SD---- C:\WINDOWS\Tasks
2009-06-16 15:48:43 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2009-06-16 15:48:35 ----RD---- C:\Programme
2009-06-16 15:47:47 ----D---- C:\WINDOWS\system32\drivers
2009-06-16 15:47:47 ----D---- C:\WINDOWS
2009-06-16 15:47:24 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-06-16 14:29:46 ----D---- C:\WINDOWS\system32
2009-06-16 11:32:13 ----D---- C:\WINDOWS\Debug
2009-06-16 11:32:12 ----D---- C:\WINDOWS\Minidump
2009-06-16 09:24:39 ----A---- C:\WINDOWS\NeroDigital.ini
2009-06-14 14:47:22 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2009-06-12 18:52:45 ----A---- C:\WINDOWS\PhotoSnapViewer.INI
2009-06-12 17:26:01 ----D---- C:\Programme\Gemeinsame Dateien
2009-06-11 15:22:56 ----SHD---- C:\WINDOWS\Installer
2009-06-11 15:22:55 ----D---- C:\WINDOWS\WinSxS
2009-06-11 15:22:03 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-06-11 14:18:58 ----D---- C:\WINDOWS\system32\CatRoot2
2009-06-11 13:12:23 ----HD---- C:\WINDOWS\inf
2009-06-11 13:11:57 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-06-11 05:59:23 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-06-11 05:59:12 ----HD---- C:\WINDOWS\$hf_mig$
2009-06-03 19:00:04 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-06-03 18:56:52 ----D---- C:\WINDOWS\system32\wbem
2009-06-03 18:56:52 ----D---- C:\WINDOWS\system32\Setup
2009-06-03 18:56:52 ----D---- C:\WINDOWS\AppPatch
2009-06-03 18:56:52 ----D---- C:\Programme\Messenger
2009-06-03 18:56:51 ----RSD---- C:\WINDOWS\Fonts
2009-06-03 08:43:52 ----D---- C:\WINDOWS\security
2009-06-03 08:32:49 ----D---- C:\WINDOWS\system32\CatRoot
2009-06-03 08:26:44 ----D---- C:\WINDOWS\network diagnostic
2009-06-03 08:26:44 ----D---- C:\WINDOWS\ime
2009-06-03 08:26:44 ----D---- C:\WINDOWS\Help
2009-06-03 08:26:34 ----D---- C:\WINDOWS\system32\usmt
2009-06-03 08:26:34 ----D---- C:\WINDOWS\system32\de-de
2009-06-03 08:26:33 ----D---- C:\Programme\Internet Explorer
2009-06-03 08:26:32 ----D---- C:\WINDOWS\PeerNet
2009-06-03 08:26:32 ----D---- C:\Programme\Movie Maker
2009-06-03 08:24:21 ----D---- C:\WINDOWS\system32\Restore
2009-06-03 08:24:20 ----D---- C:\WINDOWS\system32\npp
2009-06-03 08:24:19 ----D---- C:\WINDOWS\msagent
2009-06-03 08:24:18 ----D---- C:\WINDOWS\srchasst
2009-06-03 08:24:18 ----D---- C:\Programme\NetMeeting
2009-06-03 08:24:16 ----D---- C:\WINDOWS\system32\Com
2009-06-03 08:24:15 ----D---- C:\Programme\Windows NT
2009-06-03 08:24:15 ----D---- C:\Programme\Windows Media Player
2009-06-03 08:24:15 ----D---- C:\Programme\Outlook Express
2009-06-03 08:24:13 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-06-03 08:24:02 ----D---- C:\WINDOWS\system32\oobe
2009-06-03 08:24:00 ----D---- C:\WINDOWS\system
2009-06-01 18:51:12 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-26 13:49:58 ----D---- C:\Program Files
2009-05-19 19:30:07 ----A---- C:\Programme\Steam.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Athlon64 Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-10-21 35840]
R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\WINDOWS\System32\Drivers\avgldx86.sys [2009-06-11 327688]
R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\WINDOWS\System32\Drivers\avgmfx86.sys [2009-06-11 27784]
R1 AvgTdiX;AVG Free8 Network Redirector; C:\WINDOWS\System32\Drivers\avgtdix.sys [2009-06-11 108552]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2004-03-08 13567]
R1 DumaNT;NVIDIA Stereo Helper Service; C:\WINDOWS\system32\DRIVERS\dumant.sys [2002-11-18 399700]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-12-01 2300928]
R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2004-06-08 13105]
R3 L8042mou;Logitech SetPoint PS/2 Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\L8042mou.Sys [2004-06-08 54817]
R3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys [2004-06-08 71533]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-12-05 7435392]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-04-14 34176]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-04-14 13056]
R3 odysseyIM4;Odyssey Network Agent Miniport; C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2004-09-24 173056]
R3 PDDSLADP;ProDyne DSL Adapter; C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 15571]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 AR5523;Gigaset USB Adapter 108; C:\WINDOWS\system32\DRIVERS\ar5523.sys [2006-02-25 343904]
S3 catchme;catchme; \??\C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys []
S3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\CBTNDIS5.SYS []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS []
S3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 ovt519;%USB\vid_054c&pid_0155.DeviceDesc%; C:\WINDOWS\System32\Drivers\ov519vid.sys [2003-10-15 174530]
S3 PDNETCTL;ProDyne MicroPPPoE; C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-08 39936]
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avg8emc;AVG Free8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-06-11 908568]
R2 avg8wd;AVG Free8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-06-11 298776]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-12-05 155716]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

Chris4You 16.06.2009 15:44
Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\rasqervy.dll
C:\WINDOWS\sdfinacs.dll
C:\WINDOWS\sdfixwcs.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Einen haben wir noch:
Code:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe
Der Starteintrag muss raus, kenns Du Dich mit regedit aus (Eintrag löschen)?

Sonst kopiere das und speichere es als wabweg.reg auf dem Desktop,
mit Doppelklick ausführen, Frage "..zusammenführen..." abnicken...
Code:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=-

Dein Adobe und Dein Java sind veraltet, bitte updaten;
Adobe:
Alten deinstallieren (Systemsteuerung->SW) und neuen Installieren:
http://www.adobe.com/de/products/reader/

JAVA
Download http://www.java.com/de/download/manual.jsp
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus die neue Version!

Abschließend noch ein Scan mit Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

obikenobi 16.06.2009 17:38
folgendes ergebnis:

Code:
sdfinacs.dll

a-squared
4.5.0.18
2009.06.16
-
AhnLab-V3
5.0.0.2
2009.06.16
-
AntiVir
7.9.0.187
2009.06.16
-
Antiy-AVL
2.0.3.1
2009.06.16
-
Authentium
5.1.2.4
2009.06.15
-
Avast
4.8.1335.0
2009.06.15
-
AVG
8.5.0.339
2009.06.16
-
BitDefender
7.2
2009.06.16
-
CAT-QuickHeal
10.00
2009.06.16
-
ClamAV
0.94.1
2009.06.16
-
Comodo
1341
2009.06.16
-
DrWeb
5.0.0.12182
2009.06.16
-
eSafe
7.0.17.0
2009.06.16
-
eTrust-Vet
31.6.6563
2009.06.16
-
F-Prot
4.4.4.56
2009.06.15
-
F-Secure
8.0.14470.0
2009.06.16
-
Fortinet
3.117.0.0
2009.06.16
-
GData
19
2009.06.16
-
Ikarus
T3.1.1.59.0
2009.06.16
-
Jiangmin
11.0.706
2009.06.16
-
K7AntiVirus
7.10.765
2009.06.16
-
Kaspersky
7.0.0.125
2009.06.16
-
McAfee
5647
2009.06.15
-
McAfee+Artemis
5647
2009.06.15
-
McAfee-GW-Edition
6.7.6
2009.06.16
-
Microsoft
1.4701
2009.06.16
-
NOD32
4159
2009.06.16
-
Norman
6.01.09
2009.06.16
-
nProtect
2009.1.8.0
2009.06.16
-
Panda
10.0.0.14
2009.06.16
-
PCTools
4.4.2.0
2009.06.12
-
Prevx
3.0
2009.06.16
-
Rising
21.34.13.00
2009.06.16
-
Sophos
4.42.0
2009.06.16
-
Sunbelt
3.2.1858.2
2009.06.16
-
Symantec
1.4.4.12
2009.06.16
-
TheHacker
6.3.4.3.345
2009.06.15
-
TrendMicro
8.950.0.1094
2009.06.16
-
VBA32
3.12.10.7
2009.06.16
-
ViRobot
2009.6.16.1789
2009.06.16
-
VirusBuster
4.6.5.0
2009.06.16
-

weitere Informationen
File size: 8 bytes
MD5...: 81378fafd30e94654f7f45cfbd94d91a
SHA1..: ad885ccff7e655043f9c5e193cd4be6dcdc9be3c
SHA256: ef9ff111c748b759bff66531c8d5f42bbbc4da597a04f1ab89762795285ee2b8
ssdeep: -
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

obikenobi 16.06.2009 17:39
und:

Code:
sdfixwcs.dll

a-squared
4.5.0.18
2009.06.16
-
AhnLab-V3
5.0.0.2
2009.06.16
-
AntiVir
7.9.0.187
2009.06.16
-
Antiy-AVL
2.0.3.1
2009.06.16
-
Authentium
5.1.2.4
2009.06.15
-
Avast
4.8.1335.0
2009.06.15
-
AVG
8.5.0.339
2009.06.16
-
BitDefender
7.2
2009.06.16
-
CAT-QuickHeal
10.00
2009.06.16
-
ClamAV
0.94.1
2009.06.16
-
Comodo
1341
2009.06.16
-
DrWeb
5.0.0.12182
2009.06.16
-
eSafe
7.0.17.0
2009.06.16
-
eTrust-Vet
31.6.6563
2009.06.16
-
F-Prot
4.4.4.56
2009.06.15
-
F-Secure
8.0.14470.0
2009.06.16
-
Fortinet
3.117.0.0
2009.06.16
-
GData
19
2009.06.16
-
Ikarus
T3.1.1.59.0
2009.06.16
-
Jiangmin
11.0.706
2009.06.16
-
K7AntiVirus
7.10.765
2009.06.16
-
Kaspersky
7.0.0.125
2009.06.16
-
McAfee
5647
2009.06.15
-
McAfee+Artemis
5647
2009.06.15
-
McAfee-GW-Edition
6.7.6
2009.06.16
-
Microsoft
1.4701
2009.06.16
-
NOD32
4159
2009.06.16
-
Norman
6.01.09
2009.06.16
-
nProtect
2009.1.8.0
2009.06.16
-
Panda
10.0.0.14
2009.06.16
-
PCTools
4.4.2.0
2009.06.12
-
Prevx
3.0
2009.06.16
-
Rising
21.34.13.00
2009.06.16
-
Sophos
4.42.0
2009.06.16
-
Sunbelt
3.2.1858.2
2009.06.16
-
Symantec
1.4.4.12
2009.06.16
-
TheHacker
6.3.4.3.345
2009.06.15
-
TrendMicro
8.950.0.1094
2009.06.16
-
VBA32
3.12.10.7
2009.06.16
-
ViRobot
2009.6.16.1789
2009.06.16
-

weitere Informationen
File size: 5 bytes
MD5...: 2bc0b21360eab4a6023b09e4b3ec2f52
SHA1..: 86a6061cf84c5c620ea5ecddd993edc0eea75b75
SHA256: 68512974d742c8d72758eb2db486ae4105d906ab4f4f783d497e5a41dc511a93
ssdeep: -
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

( Mail Handler Benefit Plan )

> MHBP 2007 Mail Handlers Benefit Plan: 47978

obikenobi 16.06.2009 17:40
und zu guter letzt:

Code:
rasqervy.dll

a-squared
4.5.0.18
2009.06.16
-
AhnLab-V3
5.0.0.2
2009.06.16
-
AntiVir
7.9.0.187
2009.06.16
-
Antiy-AVL
2.0.3.1
2009.06.16
-
Authentium
5.1.2.4
2009.06.15
-
Avast
4.8.1335.0
2009.06.15
-
AVG
8.5.0.339
2009.06.16
-
BitDefender
7.2
2009.06.16
-
CAT-QuickHeal
10.00
2009.06.16
-
ClamAV
0.94.1
2009.06.16
-
Comodo
1341
2009.06.16
-
DrWeb
5.0.0.12182
2009.06.16
-
eSafe
7.0.17.0
2009.06.16
-
eTrust-Vet
31.6.6563
2009.06.16
-
F-Prot
4.4.4.56
2009.06.15
-
F-Secure
8.0.14470.0
2009.06.16
-
Fortinet
3.117.0.0
2009.06.16
-
GData
19
2009.06.16
-
Ikarus
T3.1.1.59.0
2009.06.16
-
Jiangmin
11.0.706
2009.06.16
-
K7AntiVirus
7.10.765
2009.06.16
-
Kaspersky
7.0.0.125
2009.06.16
-
McAfee
5647
2009.06.15
-
McAfee+Artemis
5647
2009.06.15
-
McAfee-GW-Edition
6.7.6
2009.06.16
-
Microsoft
1.4701
2009.06.16
-
NOD32
4159
2009.06.16
-
Norman
6.01.09
2009.06.16
-
nProtect
2009.1.8.0
2009.06.16
-
Panda
10.0.0.14
2009.06.16
-
PCTools
4.4.2.0
2009.06.12
-
Prevx
3.0
2009.06.16
-
Rising
21.34.13.00
2009.06.16
-
Sophos
4.42.0
2009.06.16
-
Sunbelt
3.2.1858.2
2009.06.16
-
Symantec
1.4.4.12
2009.06.16
-
TheHacker
6.3.4.3.345
2009.06.15
-
TrendMicro
8.950.0.1094
2009.06.16
-
VBA32
3.12.10.7
2009.06.16
-
ViRobot
2009.6.16.1789
2009.06.16
-
VirusBuster
4.6.5.0
2009.06.16
-

weitere Informationen
File size: 36 bytes
MD5...: 1c39759ff5f8332d445f56b2b28f6f56
SHA1..: 6b929943bc8ec465724d3d899719cf3d0ce94eaa
SHA256: f519af04a39bcacb2dcb4ba55fea2d2aaace73401b545a1ddaada591dcda8678
ssdeep: -
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

obikenobi 16.06.2009 18:35
so, stück weiter hoffe ich, und ich bin unendlich dankbar wenn das alles so hilft.

was das betrifft hab ich allerdings keine ahnung was ich tun soll:
Zitat:
Einen haben wir noch:
Code:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\701a007619.exe

Der Starteintrag muss raus, kenns Du Dich mit regedit aus (Eintrag löschen)?

Sonst kopiere das und speichere es als wabweg.reg auf dem Desktop,
mit Doppelklick ausführen, Frage "..zusammenführen..." abnicken...
Code:

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=-
sorry, wär für n tipp dankbar

gruß, obi

Chris4You 17.06.2009 06:38
Hi,

öffne den Editor (Start->Ausführen->notepad.exe, kopiere das rein:
Code:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=-
Jetzt speicherst Du das Ganze auf dem Desktop (z. B. unter dem Namen test.reg), wichtig dabei ist, die Endung darf nicht txt sein, sondern muss reg sein.

Dann machst Du einen Doppelklick auf die test.reg und wirst gefragt ob zusammengeführt werden soll, abnicken...
Danach sollte der Starteintrag aus der Registry weg sein...

Prevx nicht vergessen...

chris

obikenobi 17.06.2009 07:34
moin moin.

danke, das war ja einfach...

prevx findet nix.

noch ne idee wie ich heut abend am besten weitermache???

danke!
gruß, obi

Chris4You 17.06.2009 07:46
Hm,

nach Stand der Dinge sollten wir damit durch sein.
Um einen Rootkit auzuschließen kannst Du heute abend noch Gmer drüberjagen:

http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

obikenobi 17.06.2009 18:14
hi chris.

so, gmer sagt mir direkt, also ohne scan:

Code:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-17 19:10:44
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

---- EOF - GMER 1.0.15 ----
aber das ist doch mein antivirusprogramm wenn ich mich nicht täusche, also nochmal den scan von gmer durchlaufen lassen?!???

gruß, obi

Chris4You 17.06.2009 19:02
Hi,

das wäre i. O., mach bitte mal mit Gmer einen vollständigen Scann (wie im letzten Post beschrieben)...
Sieht aber bisher nicht schlecht aus...

chris

obikenobi 17.06.2009 22:27
Hi,

so, jetzt der scan von GMER:

Code:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-17 23:22:23
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xEE72EDF0]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest]                                            [F789C54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                        [F789C20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                        [F789C256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [F789C52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                    [F789C4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F789C4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest]                                            [F789C54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                        [F789C256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                      [F789C20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F789C52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest]                                              [F789C54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [F789C52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                    [F789C4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                          [F789C256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                        [F789C20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                    [F789C4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                  [F789C52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                        [F789C20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest]                                            [F789C54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                        [F789C256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                          [F789C20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest]                                              [F789C54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                          [F789C256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                      [F789C4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [F789C52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                    [F789C4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                          [F789C256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                        [F789C20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest]                                              [F789C54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                    [F789C4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [F789C52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest]                                            [F789C54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                        [F789C20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                        [F789C256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\nvata \Device\00000071                                                                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\nvatabus \Device\NvAta0                                                                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvatabus \Device\0000006e                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\NvAta1                                                                              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvatabus \Device\0000006f                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\NvAta2                                                                              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

---- EOF - GMER 1.0.15 ----
Hoffe auch das ist so in Ordnung, danke...

gruß, obi

Chris4You 18.06.2009 06:21
Hi,

ist OK...

Chris&Out

obikenobi 18.06.2009 06:41
moin chris.

super, hab über nacht nochmal einen MAM - scan laufen lassen und der ist auch ohne befund.

auf jeden fall vielen vielen dank für hilfe und geduld!!! hoffe dass ich die so schnell nicht wieder brauche...

DANKE, gruß, obi

obikenobi 18.06.2009 19:18
tag zusammen!

so, ich nochmal (leider).

jetzt hat antivir mir gerade beim start folgendes gemeldet:

Code:
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\caw5r98j.default\Cache\_CACHE_002_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
keine ahnung...!?!? ideen?

gruß, obi

Chris4You 19.06.2009 06:49
Hi,

das kommt vom Surfen, Du warst auf einer inifizierten Seite....
Cache von Firefox plätten&Prevx noch mal ins rennen schicken...
Für Firefox:
Extension WOT und NoScript installieren...

chris

obikenobi 19.06.2009 07:18
hi,

danke, alles installiert und problem gelöst, keine funde mehr.

hat mir antivir ja wahrscheinlich angezeigt weil es jetzt "scharf" eingestellt ist...

vielen dank nochmal!

gruß, obi


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131