Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   vshost.exe konnte nicht gefunden werden (https://www.trojaner-board.de/76152-vshost-exe-konnte-gefunden.html)

Alexi Laiho 06.08.2009 16:41
vshost.exe konnte nicht gefunden werden
 
Hallöchen.
Also mein Problem ist, dass ich auf C: nicht mehr zugreifen kann. Dort steht dann nämlich das vshost.exe nicht gefunden werden konnte. Habe auch gehört, dass man das Problem mit Combofix lösen kann und hab es mir auch schon hernutergeladen, aber ich möchte erstmal auf Nummer sicher gehen und poste erstmal die Logs von Malwarebytes und HiJackThis bevor ich mich an Combofix ranwage.

Hier der Log von Malwarebytes von heute:
Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2564
Windows 5.1.2600 Service Pack 3

06.08.2009 17:35:49
mbam-log-2009-08-06 (17-35-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 127157
Laufzeit: 7 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
und hier der Log von HiJackThis:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:13, on 06.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [TrayServer] E:\MAGIX\TrayServer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Workstation] C:\DOKUME~1\XXX\LOKALE~1\Temp\svchost32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3620D62-796C-4080-8E5B-C47D63760FA5}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EHttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5706 bytes

john.doe 06.08.2009 16:51
Hallo und :hallo:

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit RSIT.

1.) http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas

Alexi Laiho 07.08.2009 08:59
Okay also das hat Combofix ausgespuckt:
Zitat:
ComboFix 09-08-06.01 - XXX 07.08.2009 9:37.1.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2892 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1829797605-2132604413-348501393-1000
C:\Autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\Autorun.inf
J:\Autorun.inf
K:\Autorun.inf
L:\autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-07 bis 2009-08-07 ))))))))))))))))))))))))))))))
.

2009-08-06 15:57 . 2009-08-06 15:57 -------- d-----w- C:\rsit
2009-08-05 17:15 . 2009-08-05 17:15 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-08-05 17:15 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-05 17:15 . 2009-08-05 17:15 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-05 17:15 . 2009-08-05 17:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-05 17:15 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-04 14:03 . 2009-08-04 14:03 3310 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_16496df1.exe
2009-08-04 14:03 . 2009-08-04 14:03 1078 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_69525f90.exe
2009-08-04 14:03 . 2009-08-04 14:03 1078 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_4ae13d6c.exe
2009-08-04 14:03 . 2009-08-04 14:03 1078 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_2cd672ae.exe
2009-08-04 14:03 . 2009-08-04 14:03 1078 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_294823.exe
2009-08-04 14:03 . 2009-08-04 14:03 1078 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_18be6784.exe
2009-08-04 14:03 . 2009-08-04 14:03 -------- d-----w- c:\programme\Power Tab Software
2009-07-28 12:04 . 2008-09-16 22:20 121064 ------r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3\setup.exe
2009-07-28 12:04 . 2009-07-28 12:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3
2009-07-24 09:28 . 2009-07-24 09:29 -------- d-----w- c:\programme\Oblivion Improved
2009-07-24 08:48 . 2009-07-24 08:48 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-24 08:48 . 2009-07-24 15:27 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-07-15 13:32 . 2001-05-16 15:54 309616 ----a-w- c:\windows\system32\wmv8dmod.dll
2009-07-15 13:32 . 2001-05-11 11:18 420240 ----a-w- c:\windows\system32\mpg4c32.dll
2009-07-15 13:31 . 2007-04-18 21:07 53248 ----a-w- c:\windows\system32\mgxasio2.dll
2009-07-15 11:43 . 2009-07-15 11:47 -------- d-----w- c:\programme\ICQ6.5
2009-07-15 11:05 . 2009-07-15 13:32 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\MAGIX
2009-07-15 11:05 . 2009-07-15 11:05 -------- d-----w- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Xara
2009-07-15 11:03 . 2007-04-27 07:43 120200 ----a-w- c:\windows\system32\DLLDEV32i.dll
2009-07-15 11:01 . 2009-07-15 13:31 -------- d-----w- c:\windows\system32\MAGIX
2009-07-15 11:01 . 2008-04-15 13:14 700416 ----a-w- c:\windows\system32\mgxoschk.dll
2009-07-14 14:04 . 2008-04-13 22:09 5504 -c--a-w- c:\windows\system32\dllcache\mstee.sys
2009-07-14 14:04 . 2008-04-13 22:09 5504 ----a-w- c:\windows\system32\drivers\MSTEE.sys
2009-07-14 14:04 . 2008-04-13 22:16 10880 -c--a-w- c:\windows\system32\dllcache\ndisip.sys
2009-07-14 14:04 . 2008-04-13 22:16 10880 ----a-w- c:\windows\system32\drivers\NdisIP.sys
2009-07-14 14:04 . 2008-04-13 22:16 15232 -c--a-w- c:\windows\system32\dllcache\streamip.sys
2009-07-14 14:04 . 2008-04-13 22:16 15232 ----a-w- c:\windows\system32\drivers\StreamIP.sys
2009-07-14 14:03 . 2008-04-13 22:16 11136 -c--a-w- c:\windows\system32\dllcache\slip.sys
2009-07-14 14:03 . 2008-04-13 22:16 11136 ----a-w- c:\windows\system32\drivers\SLIP.sys
2009-07-14 14:03 . 2008-04-13 22:16 19200 -c--a-w- c:\windows\system32\dllcache\wstcodec.sys
2009-07-14 14:03 . 2008-04-13 22:16 19200 ----a-w- c:\windows\system32\drivers\WSTCODEC.SYS
2009-07-14 14:03 . 2008-04-13 22:16 85248 -c--a-w- c:\windows\system32\dllcache\nabtsfec.sys
2009-07-14 14:03 . 2008-04-13 22:16 85248 ----a-w- c:\windows\system32\drivers\NABTSFEC.sys
2009-07-14 14:03 . 2008-04-13 22:16 17024 -c--a-w- c:\windows\system32\dllcache\ccdecode.sys
2009-07-14 14:03 . 2008-04-13 22:16 17024 ----a-w- c:\windows\system32\drivers\CCDECODE.sys
2009-07-14 14:03 . 2008-04-13 22:09 5376 ----a-w- c:\windows\system32\MSPCLOCK.sys
2009-07-14 14:03 . 2008-04-14 05:52 54272 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2009-07-14 14:03 . 2008-04-14 05:52 54272 ----a-w- c:\windows\system32\vfwwdm32.dll
2009-07-14 13:52 . 2008-04-13 22:15 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
2009-07-14 13:52 . 2008-04-13 22:15 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2009-07-14 13:45 . 2009-07-14 13:45 -------- d-----w- c:\programme\Sony
2009-07-14 13:19 . 2009-07-14 13:37 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sony Corporation
2009-07-13 15:31 . 2009-07-13 15:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-07-13 15:20 . 2009-07-13 15:20 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Media Player Classic
2009-07-09 08:15 . 2009-07-09 08:15 -------- d-----w- c:\programme\ESET
2009-07-08 09:20 . 2009-07-08 09:20 -------- d-----w- c:\programme\Ashampoo

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-06 15:02 . 2009-03-30 13:56 252056 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-08-06 11:43 . 2009-07-07 14:13 53248 ----a-w- c:\windows\system32\apache.dll
2009-08-05 11:08 . 2009-03-13 10:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-04 15:30 . 2009-03-14 12:48 57712 ----a-w- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-03 14:49 . 2009-04-13 16:31 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-07-28 12:03 . 2004-11-11 12:00 78564 ----a-w- c:\windows\system32\perfc007.dat
2009-07-28 12:03 . 2004-11-11 12:00 443100 ----a-w- c:\windows\system32\perfh007.dat
2009-07-24 08:49 . 2009-03-15 12:05 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\DAEMON Tools Lite
2009-07-24 08:45 . 2009-03-30 17:17 1 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-15 13:32 . 2009-07-15 11:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2009-07-15 11:05 . 2009-07-15 11:04 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Shared
2009-07-15 11:04 . 2009-07-15 11:04 -------- d-----w- c:\programme\Gemeinsame Dateien\xara
2009-07-14 18:27 . 2009-03-21 16:16 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Azureus
2009-07-14 11:43 . 2009-03-15 12:05 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-05 12:06 . 2009-07-05 12:06 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Stardock
2009-07-05 12:05 . 2009-07-05 12:05 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EA77F737-0FEA-4800-BD99-D6AF1051C7A9}
2009-07-05 12:05 . 2009-07-05 12:05 -------- d-----w- c:\programme\Stardock
2009-07-05 12:05 . 2009-07-05 12:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock
2009-07-04 14:35 . 2009-07-04 14:35 10134 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-07-04 14:35 . 2009-07-04 14:35 -------- d-----w- c:\programme\Microsoft WSE
2009-06-29 08:48 . 2009-06-29 08:48 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\FFSJ
2009-06-27 15:37 . 2009-05-10 12:29 -------- d-----w- c:\programme\No23 Recorder
2009-06-23 09:41 . 2009-03-16 14:26 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-20 13:52 . 2009-06-20 13:52 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Spore
2009-06-17 15:22 . 2009-06-17 14:51 138184 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-06-17 15:22 . 2009-06-17 14:51 183112 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-06-17 14:51 . 2009-06-17 14:51 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-06-10 17:00 . 2009-03-14 11:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13533184]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 86016]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-10-07 33538048]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-03-17 61440]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2008-11-03 2540800]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"TrayServer"="e:\magix\TrayServer.exe" [2008-08-07 90112]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-22 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-6-10 110592]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XXX^Startmenü^Programme^Autostart^Mobile Phone Manager.lnk]
path=c:\dokumente und einstellungen\XXX\Startmenü\Programme\Autostart\Mobile Phone Manager.lnk
backup=c:\windows\pss\Mobile Phone Manager.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"mW[íµ�ˆÖ¾`=µú¾˜v%S8’ÿÙêé>grl>�*Ý\†Ð=ŸàÛ±Þ"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"f:\\GTA 4\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"f:\\GTA 4\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"f:\\GTA 4\\Grand Theft Auto IV\\GTAIV.exe"=
"f:\\Overlord 2\\Overlord2.exe"=
"f:\\Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"f:\\Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06.02.2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [10.06.2008 19:56 93336]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [06.02.2009 14:23 727720]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [14.03.2009 12:34 93184]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [14.03.2009 14:17 31392]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [13.03.2009 12:51 876288]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;e:\common\Database\bin\fbserver.exe [15.07.2009 13:05 1527900]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
TCP: {C3620D62-796C-4080-8E5B-C47D63760FA5} = 192.168.1.1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-07 09:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1592454029-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:74,f7,9d,de,b9,80,6c,8e,f0,3c,5f,77,94,c4,1e,03,93,5c,76,64,84,af,b2,
47,14,90,f0,e1,b4,1d,d3,10,3b,84,b9,7b,d7,ba,b8,dc,ac,8d,d6,30,d0,2a,3a,4f,\
"??"=hex:3f,51,cc,f7,96,85,c5,92,73,24,82,c4,da,33,cd,c5

[HKEY_USERS\S-1-5-21-2000478354-1592454029-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:e9,4c,3b,99,84,62,7b,ed,26,2a,da,25,65,89,35,85,a1,0c,0b,5c,04,
dd,ec,6a,4e,c8,50,a5,c5,f9,d4,02,b9,59,1f,33,23,9e,41,59,07,48,dd,f4,b5,dd,\
"rkeysecu"=hex:92,66,db,5b,30,e5,98,b9,9a,5c,57,56,79,e2,a0,29

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-07 9:39
ComboFix-quarantined-files.txt 2009-08-07 07:39

Vor Suchlauf: 7.542.337.536 Bytes frei
Nach Suchlauf: 7.885.950.976 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT /USEPMTIMER /usepmtimer

201

john.doe 07.08.2009 16:15
Zitat:
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"mW[íµ�ˆÖ¾`=µú¾˜v%S8’ÿÙêé>grl>�*Ý\†Ð=ŸàÛ±Þ"=
Sieht ziemlich chinesisch aus. :)

1.) Poste beide Logs von http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Alexi Laiho 09.08.2009 14:31
also hier der log.txt von RSIT:
Zitat:
Logfile of random's system information tool 1.06 (written by random/random)
Run by XXX at 2009-08-07 17:17:21
Microsoft Windows XP Professional Service Pack 3
System drive C: has 7 GB (25%) free of 30 GB
Total RAM: 3327 MB (86% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:23, on 07.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\XXX\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\XXX\Desktop\XXX.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [TrayServer] E:\MAGIX\TrayServer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3620D62-796C-4080-8E5B-C47D63760FA5}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EHttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5408 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre6\bin\ssv.dll [2009-03-26 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-26 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-26 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-05-22 13533184]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-05-22 86016]
"HDAudDeck"=C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe [2008-10-07 33538048]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-03-17 61440]
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe [2008-11-03 2540800]
"egui"=C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe [2009-02-06 2021400]
"TrayServer"=E:\MAGIX\TrayServer.exe [2008-08-07 90112]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmartSync - ScheduleSync]
C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE [2006-03-30 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^XXX^Startmenü^Programme^Autostart^Mobile Phone Manager.lnk]
C:\PROGRA~1\MOBILE~1\bin\MOBILE~1.EXE [2006-04-26 503808]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-03-16 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutorun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Vuze\Azureus.exe"="C:\Programme\Vuze\Azureus.exe:*:Disabled:Azureus"
"F:\GTA 4\Rockstar Games Social Club\RGSCLauncher.exe"="F:\GTA 4\Rockstar Games Social Club\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Disabled:Opera Internet Browser"
"F:\GTA 4\Grand Theft Auto IV\LaunchGTAIV.exe"="F:\GTA 4\Grand Theft Auto IV\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"F:\GTA 4\Grand Theft Auto IV\GTAIV.exe"="F:\GTA 4\Grand Theft Auto IV\GTAIV.exe:*:Enabled:Grand Theft Auto IV"
"F:\Overlord 2\Overlord2.exe"="F:\Overlord 2\Overlord2.exe:*:Enabled:Overlord II"
"F:\Rainbow Six Vegas\Binaries\R6Vegas_Game.exe"="F:\Rainbow Six Vegas\Binaries\R6Vegas_Game.exe:*:Enabled:Rainbow Six Vegas"
"F:\Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe"="F:\Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe:*:Enabled:Rainbow Six Vegas Updater"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-08-07 11:39:30 ----SHD---- C:\RECYCLER
2009-08-07 09:39:16 ----A---- C:\ComboFix.txt
2009-08-07 09:36:22 ----RASHD---- C:\cmdcons
2009-08-07 09:35:10 ----SD---- C:\cofi
2009-08-06 18:02:27 ----A---- C:\WINDOWS\zip.exe
2009-08-06 18:02:27 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-08-06 18:02:27 ----A---- C:\WINDOWS\SWSC.exe
2009-08-06 18:02:27 ----A---- C:\WINDOWS\SWREG.exe
2009-08-06 18:02:27 ----A---- C:\WINDOWS\sed.exe
2009-08-06 18:02:27 ----A---- C:\WINDOWS\PEV.exe
2009-08-06 18:02:27 ----A---- C:\WINDOWS\NIRCMD.exe
2009-08-06 18:02:27 ----A---- C:\WINDOWS\grep.exe
2009-08-06 18:02:21 ----D---- C:\WINDOWS\ERDNT
2009-08-06 18:02:20 ----AD---- C:\Qoobox
2009-08-06 17:57:08 ----D---- C:\rsit
2009-08-05 19:15:25 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-08-05 19:15:20 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-05 19:15:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-04 16:03:47 ----D---- C:\Programme\Power Tab Software
2009-07-28 14:04:52 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fallout3
2009-07-24 15:47:33 ----A---- C:\WINDOWS\game.ini
2009-07-24 11:28:23 ----D---- C:\Programme\Oblivion Improved
2009-07-24 10:48:46 ----D---- C:\Programme\DAEMON Tools Toolbar
2009-07-24 10:48:43 ----D---- C:\Programme\DAEMON Tools Lite
2009-07-15 15:32:34 ----A---- C:\WINDOWS\Robota.INI
2009-07-15 15:32:09 ----A---- C:\WINDOWS\system32\wmv8dmod.dll
2009-07-15 15:32:09 ----A---- C:\WINDOWS\system32\mpg4c32.dll
2009-07-15 15:31:44 ----A---- C:\WINDOWS\system32\mgxasio2.dll
2009-07-15 13:43:32 ----D---- C:\Programme\ICQ6.5
2009-07-15 13:05:51 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\MAGIX
2009-07-15 13:04:35 ----D---- C:\Programme\Gemeinsame Dateien\xara
2009-07-15 13:04:35 ----D---- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2009-07-15 13:04:23 ----A---- C:\WINDOWS\system32\msxml4a.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\TTIC32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\TTI32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\STRING32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\MXRestore.exe
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\mgxcdr.txt
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLTPO32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLRES32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLRD32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLPTL32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLPRJ32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLPRF32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLPNT32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLMSC32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLIX.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLISO32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLIO32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLIMG32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLDRV32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLDIR32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLDEV32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLCPY32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLCDF32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLCDA32.dll
2009-07-15 13:04:22 ----A---- C:\WINDOWS\system32\DLLAV32.dll
2009-07-15 13:04:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2009-07-15 13:03:21 ----A---- C:\WINDOWS\system32\DLLDEV32i.dll
2009-07-15 13:01:24 ----D---- C:\WINDOWS\system32\MAGIX
2009-07-15 13:01:24 ----A---- C:\WINDOWS\system32\mgxoschk.dll
2009-07-15 13:01:24 ----A---- C:\WINDOWS\mgxoschk.ini
2009-07-14 16:03:14 ----A---- C:\WINDOWS\system32\vfwwdm32.dll
2009-07-14 15:45:12 ----D---- C:\Programme\Sony
2009-07-14 15:19:36 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Sony Corporation
2009-07-13 17:31:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-07-13 17:20:16 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Media Player Classic
2009-07-09 10:15:44 ----D---- C:\Programme\ESET
2009-07-08 11:20:57 ----D---- C:\Programme\Ashampoo

======List of files/folders modified in the last 1 months======

2009-08-07 17:15:27 ----D---- C:\WINDOWS\Temp
2009-08-07 17:05:49 ----D---- C:\WINDOWS\Prefetch
2009-08-07 10:54:11 ----D---- C:\Programme\Opera
2009-08-07 09:39:18 ----D---- C:\WINDOWS\system32
2009-08-07 09:38:40 ----D---- C:\WINDOWS
2009-08-07 09:38:40 ----A---- C:\WINDOWS\system.ini
2009-08-07 09:38:06 ----D---- C:\WINDOWS\system32\drivers
2009-08-07 09:38:06 ----D---- C:\WINDOWS\AppPatch
2009-08-07 09:38:04 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-07 09:37:04 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-07 09:36:25 ----RASH---- C:\boot.ini
2009-08-07 09:35:33 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-08-06 17:17:25 ----RD---- C:\Programme
2009-08-06 13:43:39 ----A---- C:\WINDOWS\system32\apache.dll
2009-08-05 13:08:42 ----HD---- C:\Programme\InstallShield Installation Information
2009-08-05 12:24:37 ----D---- C:\WINDOWS\system32\LogFiles
2009-08-04 16:03:49 ----SHD---- C:\WINDOWS\Installer
2009-08-04 16:03:48 ----RSD---- C:\WINDOWS\Fonts
2009-08-04 16:03:47 ----D---- C:\WINDOWS\Help
2009-07-28 15:44:02 ----D---- C:\WINDOWS\Microsoft.NET
2009-07-28 14:05:25 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-28 14:04:50 ----D---- C:\WINDOWS\system32\DirectX
2009-07-28 14:04:48 ----HD---- C:\WINDOWS\inf
2009-07-28 14:04:35 ----RSD---- C:\WINDOWS\assembly
2009-07-28 14:03:50 ----D---- C:\WINDOWS\system32\XPSViewer
2009-07-28 14:03:00 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-28 14:02:41 ----D---- C:\WINDOWS\WinSxS
2009-07-28 13:55:41 ----A---- C:\WINDOWS\BlendSettings.ini
2009-07-27 19:22:38 ----SHD---- C:\WINDOWS\CSC
2009-07-24 10:49:39 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\DAEMON Tools Lite
2009-07-14 20:27:14 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Azureus
2009-07-14 16:04:15 ----RSHDC---- C:\WINDOWS\system32\dllcache

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 33792]
R1 ehdrv;ehdrv; C:\WINDOWS\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir; C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2009-02-06 93336]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 eamon;eamon; C:\WINDOWS\system32\DRIVERS\eamon.sys [2009-02-06 113448]
R3 actser;actser; C:\WINDOWS\system32\drivers\actser.sys [2005-09-12 29440]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-03-16 3597312]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2008-10-31 93184]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 monfilt;monfilt; C:\WINDOWS\system32\drivers\monfilt.sys [2008-02-14 1389056]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-11-11 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-12 5810]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2008-01-29 54016]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver; C:\WINDOWS\system32\drivers\nvhda32.sys [2008-01-11 31392]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2008-01-29 22016]
R3 nvsmu;nvsmu; C:\WINDOWS\system32\DRIVERS\nvsmu.sys [2007-10-12 13312]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2008-09-29 876288]
R3 vsbus;Virtual Serial Bus Enumerator; C:\WINDOWS\system32\DRIVERS\vsb.sys [2005-09-12 15264]
S3 ap0irzku;ap0irzku; C:\WINDOWS\system32\drivers\ap0irzku.sys []
S3 catchme;catchme; \??\C:\DOKUME~1\XXX\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-05-22 6557664]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 sonypvs1;Sony Digital Imaging Video2; C:\WINDOWS\system32\DRIVERS\sonypvs1.sys []
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 vserial;ELTIMA Virtual Serial Ports Driver; C:\WINDOWS\System32\DRIVERS\vserial.sys [2005-09-12 47744]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-03-16 602112]
R2 ekrn;ESET Service; C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-26 152984]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-03-17 593920]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-05-22 159812]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 EHttpSrv;ESET HTTP Server; C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe [2009-02-06 20680]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; E:\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S3 O&O Defrag;O&O Defrag; C:\WINDOWS\system32\oodag.exe [2008-11-03 1332480]
S3 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-06-17 66872]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----------------

Alexi Laiho 09.08.2009 14:32
und die info.txt von RSIT:
Zitat:
info.txt logfile of random's system information tool 1.06 2009-08-07 17:17:24

======Uninstall list======

-->E:\Speed2_burnR_mxcdr\unwise.exe
-->MsiExec /X{8AAB4176-A747-493A-A42C-B63CFADFD8E3}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
AMD Processor Driver-->C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe -runfromtemp -l0x0007 -removeonly
Ashampoo WinOptimizer 4 FREE-->"C:\Programme\Ashampoo\Ashampoo WinOptimizer 4\unins000.exe"
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
Dark Messiah -->C:\Programme\InstallShield Installation Information\{A8E2EF8F-73EF-4DD8-BB38-31FCCAF50103}\setup.exe -runfromtemp -l0x0007 -removeonly
Die*Sims™*3-->"C:\Programme\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\Sims3Setup.exe" -runfromtemp -l0x0007 -removeonly
ESET NOD32 Antivirus-->MsiExec.exe /I{2204AF25-80E5-468E-B46D-795685B35DEB}
Express Gate-->MsiExec.exe /I{A0494B41-EBD7-4C0D-91B7-DC39741B27BB}
Fallout 3-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x9 -removeonly
Firebird SQL Server - MAGIX Edition-->E:\Common\Database\unwise.exe
Grand Theft Auto IV-->"C:\Programme\InstallShield Installation Information\{579BA58C-F33D-4970-9953-B94B43768AC3}\setup.exe" -runfromtemp -l0x0007 -removeonly
Guitar Pro 5.2-->"E:\Progs\Guitar Pro 5\unins000.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\XXX\Desktop\HijackThis.exe" /uninstall
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Impulse-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EA77F737-0FEA-4800-BD99-D6AF1051C7A9}\Impulse_setup.exe" REMOVE=TRUE MODIFY=FALSE
Impulse-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EA77F737-0FEA-4800-BD99-D6AF1051C7A9}\Impulse_setup.exe
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
MAGIX 3D Maker (embeded)-->E:\Common\3D_Maker_embeded\unwise.exe
MAGIX Music Maker 15 Premium Trial 15.0.1.5 (D)-->E:\Progs\Music Maker\unwise.exe
MAGIX Screenshare 4.3.6.1987 (D)-->E:\PCVisit\unwise.exe
MAGIX Video deluxe 15 Plus Download-Version 8.0.2.4 (D)-->E:\MAGIX\unwise.exe
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Mobile Phone Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{938D9C57-3CF0-4DA8-B04E-EF99501859B5} /l1033
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{8AAB4176-A747-493A-A42C-B63CFADFD8E3}
O&O Defrag Professional-->MsiExec.exe /I{CF49A5C4-E09A-4A22-BE7B-E42C687952BC}
Oblivion Improved 1.41-->"C:\Programme\Oblivion Improved\unins000.exe"
Oblivion-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{35CB6715-41F8-4F99-8881-6FC75BF054B0}\setup.exe" -l0x7 -removeonly
OpenAL-->"C:\Programme\OpenAL\oalinst.exe" /U
OpenOffice.org 3.0-->MsiExec.exe /I{7EC19307-7C22-47A8-922B-3FA965291260}
Opera 9.64-->MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
Overlord II-->C:\Programme\InstallShield Installation Information\{E426CEC1-35C5-42BF-913E-6EF8F1211D01}\Setup.exe -runfromtemp -l0x0007 -removeonly
Power Tab Editor 1.7-->MsiExec.exe /I{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}
RAD Video Tools-->"C:\Programme\RADVideo\uninstall.exe"
Rainbow Six Vegas-->C:\Programme\InstallShield Installation Information\{5731C0A8-B266-451A-8D3F-8066AA21836F}\setup.exe -runfromtemp -l0x0007 -removeonly
Rockstar Games Social Club-->"C:\Programme\InstallShield Installation Information\{08B3869E-D282-424C-9AFC-870E04A4BA14}\setup.exe" -runfromtemp -l0x0007 -removeonly
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
SimCity™ Societies-->MsiExec.exe /X{0B5154C0-8F00-4616-B0AB-6240AE80D9CE}
SmartSync-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5B12573C-9C90-4790-BFEE-2BC43C2EB997}\Setup.exe" UNINSTALL
Text-To-Speech-Runtime-->MsiExec.exe /X{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}
The Witcher-->"C:\Programme\InstallShield Installation Information\{F138762F-5A1F-4CF0-A5E1-1588EF6088A4}\setup.exe" -runfromtemp -l0x0007 -removeonly
Total Commander (Remove or Repair)-->E:\Progs\totalcmd\tcuninst.exe
Trr Kahs "Haare & Augen" 1.2-->"F:\Oblivion\unins000.exe"
VIA Plattform-Geräte-Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
Vuze-->C:\Programme\Vuze\uninstall.exe
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1 www.cadwork.de
127.0.0.1 www.cadwork.com

======Security center information======

AV: ESET NOD32 Antivirus 4.0

======System event log======

Computer Name: XXX
Event Code: 11
Message: Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.

Record Number: 7162
Source Name: Disk
Time Written: 20090713130948.000000+120
Event Type: Fehler
User:

Computer Name: XXX
Event Code: 11
Message: Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.

Record Number: 7161
Source Name: Disk
Time Written: 20090713130948.000000+120
Event Type: Fehler
User:

Computer Name: XXX
Event Code: 11
Message: Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.

Record Number: 7160
Source Name: Disk
Time Written: 20090713130947.000000+120
Event Type: Fehler
User:

Computer Name: XXX
Event Code: 11
Message: Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.

Record Number: 7159
Source Name: Disk
Time Written: 20090713130947.000000+120
Event Type: Fehler
User:

Computer Name: XXX
Event Code: 11
Message: Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.

Record Number: 7158
Source Name: Disk
Time Written: 20090713130946.000000+120
Event Type: Fehler
User:

=====Application event log=====

Computer Name: XXX
Event Code: 1000
Message: Fehlgeschlagene Anwendung oblivion.exe, Version 1.2.0.416, fehlgeschlagenes Modul oblivion.exe, Version 1.2.0.416, Fehleradresse 0x00362e7b.

Record Number: 5
Source Name: Application Error
Time Written: 20090728133556.000000+120
Event Type: Fehler
User:

Computer Name: XXX
Event Code: 1000
Message: Fehlgeschlagene Anwendung oblivion.exe, Version 1.2.0.416, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x000118c1.

Record Number: 4
Source Name: Application Error
Time Written: 20090728132502.000000+120
Event Type: Fehler
User:

Computer Name: XXX
Event Code: 105
Message: The service was started.

Record Number: 3
Source Name: ATI Smart
Time Written: 20090728122425.000000+120
Event Type: Informationen
User:

Computer Name: XXX
Event Code: 1000
Message: Fehlgeschlagene Anwendung oblivion.exe, Version 1.2.0.416, fehlgeschlagenes Modul oblivion.exe, Version 1.2.0.416, Fehleradresse 0x0016d536.

Record Number: 2
Source Name: Application Error
Time Written: 20090727204045.000000+120
Event Type: Fehler
User:

Computer Name: XXX
Event Code: 105
Message: The service was started.

Record Number: 1
Source Name: ATI Smart
Time Written: 20090727192245.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=x86 Family 16 Model 4 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0402
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"RGSCLauncher"=F:\GTA 4\Rockstar Games Social Club
"RGSC"=F:\GTA 4\Rockstar Games Social Club\1_0_0_0

-----------------EOF-----------------

Alexi Laiho 09.08.2009 14:35
Der Log von Kaspersky:
Zitat:
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 9. August 2009 15:24:26
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 9/08/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2358045
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 161522
Viren gefunden: 1
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:13:13

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009080920090810\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\XXX\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{BF781A15-1AA3-4ED7-8710-188D09023676}\RP224\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_71c.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\Windows\CSC\v2.0.6\pq Das Objekt ist gesperrt übersprungen
D:\Windows\CSC\v2.0.6\temp\ea-{387aafe5-0fc4-11de-8c05-b871e67aca0f} Das Objekt ist gesperrt übersprungen
D:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{BF781A15-1AA3-4ED7-8710-188D09023676}\RP224\change.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{E366F91E-4EB4-45C2-99CA-545058253C7B}\RP393\A0202803.exe Infizierte Objekte: Packed.Win32.Black.a übersprungen

Die Untersuchung wurde abgeschlossen.
und PREVXCSI hatte nix gefunden also hab ich nix gepostet. so...ich hoffe das ist irgendwie brauchbar:)
MfG Dennis

john.doe 09.08.2009 17:19
Das sieht doch schon ganz gut aus. :)

Aber das hier leider gar nicht: :(
Zitat:
127.0.0.1 www.cadwork.de
127.0.0.1 www.cadwork.com
Es deutet auf ein gestohlenes Programm hin. Was ist damit?

ciao, andreas

Alexi Laiho 09.08.2009 18:33
Hmm...naja weiß ich auch nich. Also gestohlen hab ich da nix oder so. Aber mein Vater arbeitet mit der Cadwork-Software weil er selbstständig ist und das zum arbeiten brauch.Und er hats aber vollkommen legal erworben.
Das Programm liegt auf dem gemeinsam genutzten Server wo auch verschiedene andere Programme liegen. Vielleicht hats damit irgendwas zu tun, aber ganz genau kann ichs dir auch nich sagen.
Inwiefern meinst du denn, dass es gestohlen sein könnte?

john.doe 09.08.2009 18:48
Zitat:
Und er hats aber vollkommen legal erworben.
Dann will ich dir das glauben.

Du hattest einen Schädling, der sich u.a. über externe Datenträger verbreitet. Es ist immens wichtig, das alle, wirklich alle, externen Datenträger gereinigt werden sowie alle, wirklich alle, Rechner, die mit diesen Datenträger in Berührung kamen. Wir machen jetzt aber erstmal mit dem Rechner weiter, von dem die Logs vorliegen.

Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
ciao, andreas

Alexi Laiho 11.08.2009 16:46
okay hier der Inhalt:
Zitat:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-11 17:31:27
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
ESET NOD32 Antivirus 4.0 4.0 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\XXX\Cookies\XXX@doubleclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No D:\Users\den\AppData\Roaming\Microsoft\Windows\Cookies\den@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\XXX\Cookies\XXX@atdmt[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No D:\Users\den\AppData\Roaming\Microsoft\Windows\Cookies\den@mediaplex[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\XXX\Cookies\XXX@advertising[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\XXX\Cookies\XXX@atwola[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No D:\Users\den\AppData\Roaming\Microsoft\Windows\Cookies\den@atwola[2].txt
04414135 Generic Trojan Virus/Trojan No 0 Yes No F:\System Volume Information\_restore{E366F91E-4EB4-45C2-99CA-545058253C7B}\RP411\A0223002.exe
04578045 Generic Trojan Virus/Trojan No 0 Yes No F:\GTA 4\Grand Theft Auto IV\gtaiv_p10_trn.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 82
;===================================================================================================================================================== ==============================
No F:\System Volume Information\_restore{E366F91E-4EB4-45C2-99CA-545058253C7B}\RP393\A0202803.exe 82
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 82
;===================================================================================================================================================== ==============================
210625 HIGH MS09-026 82
210624 HIGH MS09-025 82
210621 HIGH MS09-022 82
210618 HIGH MS09-019 82
208380 HIGH MS09-015 82
208379 HIGH MS09-014 82
208378 HIGH MS09-013 82
208377 HIGH MS09-012 82
;===================================================================================================================================================== ==============================

john.doe 11.08.2009 16:53
GTA 4 => Ist das das Originalspiel von CD/DVD oder hast du dir das irgendwo heruntergeladen?

Lade bitte die Datei
Code:
F:\GTA 4\Grand Theft Auto IV\gtaiv_p10_trn.exe
bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

ciao, andreas

Alexi Laiho 11.08.2009 17:07
Das ist natürilch Das Originalspiel. Und die Datei ist nur ein Trainer den ich vergessen habe zu löschen. Die Teile werden manchmal als Trojaner identifiziert weil sie so ähnlich funktionieren glaub ich...
Aber ich hab die Datei trotzdem hochgeladen:)

john.doe 11.08.2009 18:32
Trainer? Komisch, VT sagt etwas anderes.

Code:
Datei gtaiv_p10_trn.exe empfangen 2009.08.11 17:35:44 (UTC)
Status:    Beendet
Ergebnis: 24/41 (58.54%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.08.11        Trojan-PWS.Win32.LdPinch!IK
AhnLab-V3        5.0.0.2        2009.08.11        -
AntiVir        7.9.1.0        2009.08.11        TR/Dropper.Gen
Antiy-AVL        2.0.3.7        2009.08.11        -
Authentium        5.1.2.4        2009.08.11        W32/Backdoor2.DSNJ
Avast        4.8.1335.0        2009.08.10        -
AVG        8.5.0.406        2009.08.11        Generic12.AQDR
BitDefender        7.2        2009.08.11        Trojan.Generic.1277889
CAT-QuickHeal        10.00        2009.08.11        Win32.Backdoor.Farfli.A.2
ClamAV        0.94.1        2009.08.11        -
Comodo        1944        2009.08.11        UnclassifiedMalware
DrWeb        5.0.0.12182        2009.08.11        -
eSafe        7.0.17.0        2009.08.11        Win32.SmallKEHS
eTrust-Vet        31.6.6672        2009.08.11        Win32/ASuspect.FLYBI
F-Prot        4.4.4.56        2009.08.10        W32/Backdoor2.DSNJ
F-Secure        8.0.14470.0        2009.08.11        -
Fortinet        3.120.0.0        2009.08.11        -
GData        19        2009.08.11        Trojan.Generic.1277889
Ikarus        T3.1.1.64.0        2009.08.11        Trojan-PWS.Win32.LdPinch
Jiangmin        11.0.800        2009.08.11        -
K7AntiVirus        7.10.816        2009.08.11        Trojan.Win32.Malware.1
Kaspersky        7.0.0.125        2009.08.11        -
McAfee        5706        2009.08.11        Generic.dx
McAfee+Artemis        5706        2009.08.11        Generic.dx
McAfee-GW-Edition        6.8.5        2009.08.11        Heuristic.BehavesLike.Win32.Packed.B
Microsoft        1.4903        2009.08.11        -
NOD32        4326        2009.08.11        -
Norman        6.01.09        2009.08.11        W32/Smalltroj.KEHS
nProtect        2009.1.8.0        2009.08.11        Trojan/W32.Agent.90857
Panda        10.0.0.14        2009.08.11        Generic Trojan
PCTools        4.4.2.0        2009.08.11        -
Prevx        3.0        2009.08.11        High Risk Worm
Rising        21.42.14.00        2009.08.11        -
Sophos        4.44.0        2009.08.11        Mal/Generic-A
Sunbelt        3.2.1858.2        2009.08.11        -
Symantec        1.4.4.12        2009.08.11        Suspicious.MH690.A
TheHacker        6.3.4.3.380        2009.08.11        -
TrendMicro        8.950.0.1094        2009.08.11        TROJ_Gen.8V3000
VBA32        3.12.10.9        2009.08.10        -
ViRobot        2009.8.11.1879        2009.08.11        -
VirusBuster        4.6.5.0        2009.08.11        Backdoor.Agent.HCZY
weitere Informationen
File size: 90857 bytes
MD5...: 5d2b5541c16362429ffa9a0cc2a4e773
SHA1..: cf773869408ce96a9297e101fe9108619485b381
SHA256: a124554e5e4b09d6d48da87419e331de962f04b9142b13db6fca2ace3dcf281d
ssdeep: 1536:YoiiZpDaYHTyT/MEMhEZvMosiUL8jBS0comiWaIYxhDYugSozv/yikMBxfd
O6DT8:Yo3O2V+ZxsiU6IorkBkMBxDT8
PEiD..: y0da's Crypter v1.x / Modified
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x495fb93b (Sat Jan 03 19:15:07 2009)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.y0da 0x1000 0x22000 0x200 0.70 cd9cc8ea9b9cdefeae6d501c94359671
.y0da 0x23000 0x193ef 0x15ee9 7.92 ae9ed60a1d8c76e49517443955cdd1ec

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualProtect, VirtualFree, GetModuleHandleA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.RLPack, RLPack
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=06FECC03E941C52C624F013B3C2E07005F54F087' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=06FECC03E941C52C624F013B3C2E07005F54F087</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=5d2b5541c16362429ffa9a0cc2a4e773' target='_blank'>http://www.threatexpert.com/report.aspx?md5=5d2b5541c16362429ffa9a0cc2a4e773</a>
Von Passwordstealer über Backdoor findet sich dort alles. :D

Wo ist das Ergebnis von Prevx?

ciao, andreas

Alexi Laiho 16.08.2009 11:11
Ach Mist! Das wird mir jetzt alles zu viel! Wer weiß, was ich noch so alles aufm PC hab.
Ich schmeiß Windows einfach nochmal neu rauf...mir bleibt ja fast keine andere Wahl.
Also trotzdem ein Dankeschön für die super Hilfe:)
MfG Dennis


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:29 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55