Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt (https://www.trojaner-board.de/76725-pc-laggt-cpu-ausgelastet-escan-abgesicherten-ausgefuehrt.html)

franky2207 24.08.2009 18:00

PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt
 
Hallo zusammen,

habe nach der Anleitung heute mal meinen PC scannen lassen da er mir seit ca. 1-2 Wochen Probleme insofern bereitet dass die CPU auslastung zu ner geringen Aktivität bzw. für den PC geringen Aktivität von 90-100% hochschießt...
Nun habe ich escan im abgesicherten Modus laufen lassen und folgendes logfile bekommen: (3 kritische Sachen hat er angezeigt)

@echo off

REM Version 2008.03.12

REM

REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.

REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.

REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,

REM freiwilligen sowie unfreiwilligen Tester.



REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.

REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.

REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind

REM nicht gestattet.

REM

REM Marc Manske, April 2007





REM *********************************************************************************

REM 0. Macht die Arbeit etwas einfacher

REM *********************************************************************************

REM

REM Die Startzeit wird übergeben

REM %LOG% erleichtert das Tippen und verbessert den Überblick

REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:

REM 1: Anzeige aller Scans

REM 2: Anzeige mit Datum und Zeit in jeder Zeile

REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile

REM Der Paramter wird an %MODUS& übergeben.

:INITIAL

set TIMESTART=%TIME%

set wd=%systemdrive%\escan

set LOG=^>^> "%wd%\bases_x\eScan_neu.txt"

set MODUS=%1

set linecnt=1





REM *********************************************************************************

REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.

REM *********************************************************************************

REM

REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.



REM Die Umgebungsvariable %OS% abgefragt.

:OS



cls

echo.

echo.

echo [XX______________________]

echo.

echo Checking OS ...



IF "%OS%"=="Windows_NT" goto srchwd

IF "%OS%"=="" goto wrngos



REM *********************************************************************************

REM 2. Verarbeitung des Scanreports

REM *********************************************************************************



REM 2.0.1 Log-Datei (mwav.log) wird gesucht

REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.

REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf),

REM wird diese umbenannt.



:srchwd

%systemdrive%

cd\

dir /A %systemdrive% | findstr /i "escan"

if %errorlevel% equ 0 goto srchlog

mkdir %wd%\bases_x

goto cp2wd

:srchlog

dir %wd%\bases_x | findstr /i "mwav.log"

if %errorlevel% equ 1 goto cp2wd

ren %wd%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"



REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.

:cp2wd



cls

echo.

echo.

echo [XXXX____________________]

echo.

echo Copying mwav.log ...



dir /s /b %temp%\mwav.log > %wd%\bases_x\tmp.log

set /P FILE=<%wd%\bases_x\tmp.log

copy "%FILE%" %wd%\bases_x\



REM 2.0.2 Installationssprache wird ermittelt

REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen.

REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache.

REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.



:getlang



cls

echo.

echo.

echo [XXXXXX__________________]

echo.

echo Determing language ...



reg query HKCR\eut /v "Language" > nul

for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i

if "%eLang%"=="German" (

goto germpath

) else (

goto wrnglang

)



REM *********************************************************************************

REM *********************************************************************************

REM 2.1 Deutschsprachiger Pfad

REM *********************************************************************************

REM *********************************************************************************

:germpath



cls

echo.

echo.

echo [XXXXXXXX________________]

echo.

echo Cleaning log ...



REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine

REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.



if "%MODUS%"=="1" goto gmode1

if "%MODUS%"=="2" goto gmode2

if "%MODUS%"=="3" goto gmode3



for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log ^|findstr ^[0-3]') do (echo%%j >> %wd%\bases_x\mwav_clean.log)

for /f "delims=: tokens=1" %%i in ('findstr /n "Antispywarewerkzeugsatz" %wd%\bases_x\mwav_clean.log') do set linecnt=%%i

more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log



goto gstart



:gmode1

for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log') do (echo %%i >> %wd%\bases_x\mwav_cut.log)

goto gstart



:gmode2

findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_clean.log

for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %wd%\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i

more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log

goto gstart



:gmode3

findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_cut.log



REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.

REM Versionsnummer der find.bat

REM OS-Version: per ver

REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)

REM Im normalen Modus ist SBO nicht gesetzt.

REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.

REM Programmversion: wird aus HKCR\eut gelesen

REM Sprache: wurde bereits bestimmt (:getlang)

REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log

REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste

REM Eintrag) wird ins Log geschrieben.



:gstart



cls

echo.

echo.

echo [XXXXXXXXXX______________]

echo.

echo Writing header ...



echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %wd%\bases_x\eScan_neu.txt

echo Header %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo find.bat Version 2008.03.07 %LOG%

ver %LOG%

findstr "Bootmodus:" %wd%\bases_x\mwav_cut.log %LOG%

if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%

echo. %LOG%

for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version" 2^>nul') do set eVersion=%%i

if not defined eVersion (for /f "tokens=1-3" %%i in ('findstr /c:"Version" %wd%\bases_x\mwav_cut.log') do set eVersion=%%i %%j)

echo eScan Version: %eVersion% %LOG%

echo Sprache: %eLang% %LOG%

for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %wd%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %wd%\bases_x\tmp.log)

more %wd%\bases_x\tmp.log %LOG%

echo. %LOG%





REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.

REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.

REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten.

cls

echo.

echo.

echo [XXXXXXXXXXXX____________]

echo.

echo Reported infections ...



REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.



cls

echo.

echo.

echo [XXXXXXXXXXXXXX__________]

echo.

echo Reported files ...



echo. %LOG%

echo. %LOG%

echo ~~~~~~~~~~~ %LOG%

echo Dateien %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Infected files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Datei" %wd%\bases_x\mwav_cut.log | findstr /i "infiziert" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Tagged files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "markiert" %wd%\bases_x\mwav_cut.log %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Offending files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "file" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr /i "Spyware infected" %wd%\bases_x\mwav_cut.log %LOG%



REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXX________]

echo.

echo Reported folders and entries ...



echo ~~~~~~~~~~~ %LOG%

echo Ordner %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo Registry %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "Key" %LOG%



REM 2.1.5 Deutsch: Diverses

REM Meldungen über laufende Prozesse und Scanfehler

REM 1. Schritt: Schreiben des vbs zu den laufenden Prozessen

REM 2. Schritt: Einfuegen der Liste in das log



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXX______]

echo.

echo Misc entries ...



echo Dim objWMIService, Proccmdline, ProcList>>%wd%\prclst.vbs

echo Dim strComputer, strList>>%wd%\prclst.vbs

echo strComputer ^= ".">>%wd%\prclst.vbs

echo Set objWMIService ^= GetObject("winmgmts:" ^& "{impersonationLevel=impersonate}!\\" ^& strComputer ^& "\root\cimv2")>>%wd%\prclst.vbs

echo Set ProcList ^= objWMIService.ExecQuery ("Select * from Win32_Process")>>%wd%\prclst.vbs

echo For Each Proccmdline in ProcList>>%wd%\prclst.vbs

echo wscript.echo Proccmdline.Name ^& " - " ^& Proccmdline.commandline>>%wd%\prclst.vbs

echo Next>>%wd%\prclst.vbs



echo. %LOG%

echo. %LOG%



echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Diverses %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo laufende Prozesse - commandline %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

cscript %wd%\prclst.vbs //nologo %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Scanfehler %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

findstr /i "Error" %wd%\bases_x\mwav_cut.log %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Hosts-Datei %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i

echo DataBasePath: %hostloc% %LOG%

echo %hostloc%\hosts|more> %wd%\bases_x\tmp.log

echo Zeilen die nicht dem Standard entsprechen: %LOG%

findstr /v /f:%wd%\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG%



REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXX____]

echo.

echo Scanning stats ...



echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Statistiken: >>%wd%\bases_x\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)



REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXXXX__]

echo.

echo Writing Options ...



echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Scan-Optionen %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

findstr /i "aktiviert" %wd%\bases_x\mwav_cut.log >> %wd%\bases_x\tmp.log

for /f "tokens=*" %%i in ('findstr /i "aktiviert" %wd%\bases_x\tmp.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)





REM *********************************************************************************

REM *********************************************************************************

REM 3. Abschluss

REM *********************************************************************************

REM *********************************************************************************



REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.

:end

cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXXXXXX]

echo.

echo Cleaning up ...





del %wd%\bases_x\tmp.log

del %wd%\bases_x\mwav_clean.log

del %wd%\bases_x\mwav_cut.log

del %wd%\prclst*

echo. %LOG%

echo Batchstart: %TIMESTART% %LOG%

echo Batchende: %TIME% %LOG%





REM 3.2 Abschluss: Status wird angezeigt

cls

echo.

echo.

echo Auswertung beendet.

echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.



REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet

start notepad %wd%\bases_x\eScan_neu.txt

exit



REM 4.1 Abbruch: Falsches Betriebssystem

:wrngos

cls

color 04

echo.

echo Ihre Windowsversion wird nicht unterstützt.

echo Die Stapelverarbeitung wird abgegbrochen.

echo.

pause

exit



REM 4.2 Abbruch: falsche Installationssprache

:wrnglang

cls

color 04

echo.

echo Fehler bei der Ermittlung der Installationssprache!

echo.

echo Diese Batchdatei kann nur Logdateien in deutscher Sprache

echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt.

echo.

echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um

echo die Sprache bei eScan zu ändern.

echo.

echo Die Stapelverarbeitung wird abgebrochen.

echo.

pause

exit

cosinus 24.08.2009 20:21

Hallo,

bitte KEIN eScan mehr ausführen, im TB wird das Programm schon länger nicht mehr supportet. Außerdem hast Du da nicht das Logfile gepostet, sondern das Script selber.

Bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

franky2207 24.08.2009 22:18

Ok, hier schonmal die Logfile von Malwarebytes'



Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2690
Windows 6.0.6001 Service Pack 1

24.08.2009 23:09:20
mbam-log-2009-08-24 (23-09-20).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 237251
Laufzeit: 1 hour(s), 9 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 25.08.2009 16:36

Ok. Ich warte auf das von RSIT. :party:

franky2207 26.08.2009 18:10

So hier das von RSIT .. etwas verspätet, konnte nicht an den PC :/

Logfile of random's system information tool 1.06 (written by random/random)
Run by franky2207 at 2009-08-26 19:08:07
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 190 GB (62%) free of 305 GB
Total RAM: 4090 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:08:24, on 26.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Users\franky2207\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\franky2207.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5458 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{96C69ACB-6ADE-4910-8102-13E6564E4139}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-04-21 1082880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1555968]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-07-03 152064]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=scecli
psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0
"DisableCAD"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files (x86)\BitTorrent\bittorrent.exe"="C:\Program Files (x86)\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-08-26 18:34:17 ----A---- C:\Windows\system32\tzres.dll
2009-08-26 17:28:54 ----A---- C:\Windows\system32\Apphlpdm.dll
2009-08-26 17:28:53 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2009-08-24 21:43:51 ----D---- C:\Users\franky2207\AppData\Roaming\Malwarebytes
2009-08-24 21:43:40 ----D---- C:\ProgramData\Malwarebytes
2009-08-24 21:43:40 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2009-08-24 21:35:32 ----D---- C:\Program Files (x86)\CCleaner
2009-08-24 02:31:00 ----AD---- C:\Windows\system32\runouce.exe
2009-08-24 02:09:38 ----A---- C:\Windows\system32\msvcr80.dll
2009-08-24 02:09:37 ----A---- C:\Windows\system32\msvcp80.dll
2009-08-24 02:07:26 ----D---- C:\ProgramData\OEM Links
2009-08-24 02:07:25 ----D---- C:\ProgramData\MicroWorld
2009-08-24 02:06:32 ----A---- C:\Windows\killproc.exe
2009-08-24 02:06:21 ----A---- C:\Windows\system32\ZIPDLL.DLL
2009-08-24 02:06:21 ----A---- C:\Windows\system32\UNZDLL.DLL
2009-08-24 02:06:21 ----A---- C:\Windows\system32\sporder.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp64.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\contfilt.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\contf64.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\BACKUP.76648219.contfilt.dll
2009-08-24 02:06:21 ----A---- C:\Windows\sporder.exe
2009-08-24 02:06:21 ----A---- C:\Windows\sporder.dll
2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp64.dll
2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp.dll
2009-08-24 02:06:20 ----A---- C:\Windows\inst_tspx.exe
2009-08-24 02:06:20 ----A---- C:\Windows\inst_tsp.exe
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\eScan
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files\MicroWorld
2009-08-20 16:32:13 ----D---- C:\ProgramData\Blizzard Entertainment
2009-08-18 22:08:24 ----D---- C:\Program Files (x86)\Angel Writer
2009-08-15 14:09:37 ----A---- C:\Windows\dd_NET_Framework35_LangPack_MSI550B.txt
2009-08-15 14:09:33 ----A---- C:\Windows\dd_depcheck_NETFX_EXP_35.txt
2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35install_lp.txt
2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35error_lp.txt
2009-08-14 14:50:57 ----A---- C:\Windows\system32\PresentationHostProxy.dll
2009-08-14 14:50:57 ----A---- C:\Windows\system32\icardres.dll
2009-08-14 14:50:56 ----A---- C:\Windows\system32\PresentationNative_v0300.dll
2009-08-14 14:50:56 ----A---- C:\Windows\system32\infocardapi.dll
2009-08-14 14:50:55 ----A---- C:\Windows\system32\icardagt.exe
2009-08-14 14:50:47 ----A---- C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-08-14 14:50:43 ----A---- C:\Windows\system32\PresentationHost.exe
2009-08-14 14:38:51 ----A---- C:\Windows\system32\netfxperf.dll
2009-08-14 14:38:34 ----A---- C:\Windows\system32\dfshim.dll
2009-08-14 14:38:21 ----A---- C:\Windows\system32\mscoree.dll
2009-08-14 14:38:12 ----A---- C:\Windows\system32\mscorier.dll
2009-08-14 14:38:08 ----A---- C:\Windows\system32\mscories.dll
2009-08-14 00:15:45 ----A---- C:\Windows\system32\kerberos.dll
2009-08-14 00:15:44 ----A---- C:\Windows\system32\wdigest.dll
2009-08-14 00:15:44 ----A---- C:\Windows\system32\schannel.dll
2009-08-14 00:15:44 ----A---- C:\Windows\system32\msv1_0.dll
2009-08-14 00:15:43 ----A---- C:\Windows\system32\secur32.dll
2009-08-13 08:06:27 ----AD---- C:\ProgramData\TEMP
2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCR71.dll
2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCP71.dll
2009-08-12 22:48:55 ----A---- C:\Windows\system32\MFC71.dll
2009-08-12 18:19:06 ----A---- C:\Windows\system32\mstscax.dll
2009-08-12 18:18:56 ----A---- C:\Windows\system32\atl.dll
2009-08-12 18:18:47 ----A---- C:\Windows\system32\avifil32.dll
2009-08-12 18:18:28 ----A---- C:\Windows\system32\wmp.dll
2009-08-12 18:18:25 ----A---- C:\Windows\system32\wmpdxm.dll
2009-08-12 18:18:21 ----A---- C:\Windows\system32\spwmp.dll
2009-08-12 18:18:20 ----A---- C:\Windows\system32\dxmasf.dll
2009-08-12 18:18:18 ----A---- C:\Windows\system32\wmploc.DLL
2009-08-09 19:08:45 ----D---- C:\Program Files (x86)\T-Mobile
2009-07-29 21:50:11 ----A---- C:\Windows\dd_ATL90SP1_KB973924MSI0546.txt
2009-07-29 21:50:10 ----A---- C:\Windows\dd_ATL90SP1_KB973924UI0546.txt
2009-07-29 21:50:00 ----A---- C:\Windows\dd_ATL80SP1_KB973923MSI0523.txt
2009-07-29 21:49:59 ----A---- C:\Windows\dd_ATL80SP1_KB973923UI0523.txt
2009-07-29 21:49:41 ----A---- C:\Windows\dd_ATL80SP1_KB973923MSI04E4.txt
2009-07-29 21:49:40 ----A---- C:\Windows\dd_ATL80SP1_KB973923UI04E4.txt
2009-07-29 20:57:58 ----A---- C:\Windows\system32\mshtml.dll
2009-07-29 20:57:57 ----A---- C:\Windows\system32\ieframe.dll
2009-07-29 20:57:55 ----A---- C:\Windows\system32\wininet.dll
2009-07-29 20:57:55 ----A---- C:\Windows\system32\urlmon.dll
2009-07-29 20:57:55 ----A---- C:\Windows\system32\occache.dll
2009-07-29 20:57:55 ----A---- C:\Windows\system32\iertutil.dll
2009-07-29 20:57:54 ----A---- C:\Windows\system32\msfeedsbs.dll
2009-07-29 20:57:54 ----A---- C:\Windows\system32\msfeeds.dll
2009-07-29 20:57:54 ----A---- C:\Windows\system32\ieUnatt.exe
2009-07-29 20:57:54 ----A---- C:\Windows\system32\ieui.dll
2009-07-29 20:57:54 ----A---- C:\Windows\system32\iesysprep.dll
2009-07-29 20:57:54 ----A---- C:\Windows\system32\iepeers.dll
2009-07-29 20:57:54 ----A---- C:\Windows\system32\iedkcs32.dll
2009-07-29 20:57:53 ----A---- C:\Windows\system32\msfeedssync.exe
2009-07-29 20:57:53 ----A---- C:\Windows\system32\jsproxy.dll
2009-07-29 20:57:53 ----A---- C:\Windows\system32\iesetup.dll
2009-07-29 20:57:53 ----A---- C:\Windows\system32\iernonce.dll
2009-07-29 20:57:53 ----A---- C:\Windows\system32\ie4uinit.exe

======List of files/folders modified in the last 1 months======

2009-08-26 19:08:11 ----D---- C:\Windows\Temp
2009-08-26 19:08:10 ----D---- C:\Program Files (x86)\trend micro
2009-08-26 19:06:12 ----D---- C:\Windows\System32
2009-08-26 19:06:12 ----D---- C:\Windows\inf
2009-08-26 18:35:39 ----D---- C:\Windows\winsxs
2009-08-26 18:35:29 ----D---- C:\Program Files (x86)\Internet Explorer
2009-08-26 18:35:17 ----D---- C:\Windows\SysWOW64
2009-08-26 18:35:17 ----D---- C:\Windows\system32\de-DE
2009-08-26 18:34:11 ----D---- C:\Windows\AppPatch
2009-08-24 21:43:43 ----D---- C:\Windows\system32\drivers
2009-08-24 21:43:40 ----RD---- C:\Program Files (x86)
2009-08-24 21:43:40 ----D---- C:\ProgramData
2009-08-24 21:39:06 ----D---- C:\Windows\Debug
2009-08-24 21:39:06 ----D---- C:\Windows
2009-08-24 21:28:21 ----D---- C:\Windows\Tasks
2009-08-24 21:28:21 ----A---- C:\Windows\win.ini
2009-08-24 19:22:48 ----D---- C:\Users\franky2207\AppData\Roaming\teamspeak2
2009-08-24 02:24:43 ----D---- C:\Program Files (x86)\Mozilla Firefox
2009-08-24 02:08:31 ----SD---- C:\Users\franky2207\AppData\Roaming\Microsoft
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files
2009-08-21 13:21:48 ----HD---- C:\Program Files (x86)\InstallShield Installation Information
2009-08-21 13:20:17 ----D---- C:\Program Files (x86)\Spybot - Search & Destroy
2009-08-21 13:20:16 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-08-15 15:53:47 ----D---- C:\Windows\Microsoft.NET
2009-08-15 14:10:06 ----SHD---- C:\Windows\Installer
2009-08-15 14:10:06 ----HD---- C:\Config.Msi
2009-08-15 14:09:49 ----RSD---- C:\Windows\assembly
2009-08-14 15:27:08 ----D---- C:\Windows\rescache
2009-08-14 15:06:38 ----D---- C:\Windows\system32\XPSViewer
2009-08-14 15:06:31 ----D---- C:\Windows\system32\wbem
2009-08-14 15:06:31 ----D---- C:\Windows\system32\en-US
2009-08-14 14:58:33 ----D---- C:\Windows\Prefetch
2009-08-14 14:49:42 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-08-14 12:01:55 ----SHD---- C:\System Volume Information
2009-08-13 11:50:48 ----D---- C:\Users\franky2207\AppData\Roaming\Mozilla
2009-08-13 11:46:44 ----D---- C:\Torrents
2009-08-12 22:59:56 ----D---- C:\ProgramData\Microsoft
2009-08-12 22:48:52 ----D---- C:\Program Files
2009-08-12 22:39:39 ----D---- C:\ProgramData\McAfee
2009-08-12 21:20:40 ----D---- C:\Program Files (x86)\Windows Mail
2009-08-12 21:20:38 ----D---- C:\Program Files (x86)\Windows Media Player
2009-08-12 21:18:57 ----D---- C:\ProgramData\Microsoft Help
2009-07-29 23:04:44 ----D---- C:\Windows\system32\migration

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 itecir;ITECIR Infrared Receiver; C:\Windows\system32\DRIVERS\itecir.sys []
R3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw5v64.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys []
R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys []
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys []
R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys []
R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys []
R3 whfltr2k;WheelMouse USB Lower Filter Driver; C:\Windows\system32\DRIVERS\whfltr2k.sys []
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys []
S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
S3 aq8v4d49;aq8v4d49; C:\Windows\system32\drivers\aq8v4d49.sys []
S3 bdfsfltr;bdfsfltr; C:\Windows\system32\DRIVERS\bdfsfltr.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 econceal;MicroWorld Technologies Network Service; C:\Windows\system32\DRIVERS\econceal.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 yukonx64;NDIS6.0 Miniporttreiber für Marvell Yukon-Ethernet-Controller; C:\Windows\system32\DRIVERS\yk60x64.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 MWAgent;MWAgent; C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE [2009-07-31 422408]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2008-07-27 93184]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]
S4 PowerBiosServer;PowerBiosServer; C:\Program Files (x86)\Hotkey\PowerBiosServer.exe [2008-06-10 36864]

-----------------EOF-----------------

franky2207 26.08.2009 20:53

und die info:

nfo.txt logfile of random's system information tool 1.06 2009-06-10 00:59:23

======Uninstall list======

-->MsiExec /X{45235788-142C-44BE-8A4D-DDE9A84492E5}
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9.1.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Advanced Wheel Mouse 6.0.0.002-->C:\ADVANC~1\uninst.exe
AGEIA PhysX v7.09.13-->MsiExec.exe /X{45235788-142C-44BE-8A4D-DDE9A84492E5}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
BattleForge™-->MsiExec.exe /X{C580908C-B3BA-4C19-BD60-16F02F272201}
BisonCam-->C:\Program Files (x86)\InstallShield Installation Information\{4BB1DCED-84D3-47F9-B718-5947E904593E}\setup.exe -runfromtemp -l0x0007 -removeonly
Counter-Strike 1.6-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{13B792AA-C078-43A4-8A3A-8B12D629940D}\Setup.exe" -l0x19
Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
Fallout 3-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x9 -removeonly
Gaming Mouse-->"C:\Program Files (x86)\Gaming Mouse\uninstall.exe"
Gothic III-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{02B244A2-7F6A-42E8-A36F-8C385D7A1625}\setup.exe" -l0x7 -removeonly
HijackThis 2.0.2-->"C:\Program Files (x86)\trend micro\HijackThis.exe" /uninstall
Hotkey-->"C:\Program Files (x86)\InstallShield Installation Information\{164714B6-46BC-4649-9A30-A6ED32F03B5A}\setup.exe" -runfromtemp -l0x0009 -removeonly
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Standard 2007-->MsiExec.exe /X{91120000-0012-0000-0000-0000000FF1CE}
Microsoft Office Standard 2007-Testversion-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall STANDARDR /dll OSETUP.DLL
Microsoft Office Suite Activation Assistant-->MsiExec.exe /X{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
PC VGA Camer@-->C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{E2A36CC2-531D-4BD7-BB75-69F51CB31305} /l1031
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x0007 -removeonly
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {90120000-002A-0000-1000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB960003)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {F04F8702-18D0-458D-921E-146FB7CD38CF}
Security Update for Microsoft Office Excel 2007 (KB959997)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {9EAC3AEC-5C81-4856-A05B-DE9DC236D740}
Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
Security Update for Outlook 2007 (KB946983)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Spybot - Search & Destroy-->"C:\Program Files (x86)\Spybot - Search & Destroy\unins000.exe"
STK1135 PC Camera-->C:\Program Files (x86)\InstallShield Installation Information\{6A92D7DC-DC2A-42B0-8FC0-F162B1CFDFD3}\setup.exe -runfromtemp -l0x0007 -removeonly
System Requirements Lab-->C:\Program Files (x86)\SystemRequirementsLab\Uninstall.exe
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 Help (KB957246)-->msiexec /package {90120000-001A-0407-0000-0000000FF1CE} /uninstall {40EDB4D3-A95E-413F-9578-F2E01A3D209B}
Update for Office 2007 (KB934391)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {B3091818-7C56-4C45-BE7D-CA23027A5EA5}
Update for Outlook 2007 Junk Email Filter (kb968503)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {5DD98950-4D10-4B79-8BF6-59726705207D}
Update für Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}
Update für Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {EA160DA3-E9B5-4D03-A518-21D306665B96}
Update für Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {38472199-D7B6-4833-A949-10E4EE6365A1}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: AntiVir Desktop (disabled) (outdated)
AS: Spybot - Search and Destroy (disabled) (outdated)
AS: Windows Defender

======System event log======

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {31B52CC4-7B69-403D-98E6-F93BAAAE1F28}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: service:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24386
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609223607.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {31B422D5-951E-44D7-9892-055C7A4CF03A}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: driver:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24387
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609223607.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {4BDB0091-8ACB-4BBD-9AFF-D2220598B7E5}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: service:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24388
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609224835.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {F1A82F4C-08D9-42FE-A644-AF125AC73868}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: driver:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24389
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609224835.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 26
Message: Anwendungspopup: : \??\C:\Windows\system32\Drivers\PROCEXP90.SYS failed to load
Record Number: 24390
Source Name: Application Popup
Time Written: 20090609224833.057700-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: Twinkle
Event Code: 4097
Message: Der AntiVir Dienst wurde beendet!
Record Number: 4578
Source Name: Avira AntiVir
Time Written: 20090609220215.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Twinkle
Event Code: 4112
Message: Bei der Anforderung nach einer Resource des Betriebssystems trat ein Fehler auf. Die Resource 'avgntflt' wurde nicht zugewiesen. Der Grund hierfür könnte zu wenig Hauptspeicher oder ein anderer Systemfehler sein. Fehlercode: 0xffffffff
Record Number: 4579
Source Name: Avira AntiVir
Time Written: 20090609220232.000000-000
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: Twinkle
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!
Record Number: 4580
Source Name: Avira AntiVir
Time Written: 20090609220232.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Twinkle
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help".
Record Number: 4581
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090609220323.000000-000
Event Type: Informationen
User:

Computer Name: Twinkle
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 4582
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090609220323.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9518
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609223426.265700-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9519
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609223605.050900-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9520
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609223605.066500-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9521
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609224833.042100-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9522
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609224833.057700-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\34FB5F65-FFEB-4B61-BF0E-A6A76C450FAA\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------

franky2207 28.08.2009 12:44

war doch alles oder ? kann da keiner helfen :(?

cosinus 28.08.2009 13:45

Bitte hab etwas Geduld, wir haben hier auch noch andere Fälle zu bearbeiten!

cosinus 28.08.2009 18:10

Nochmal muss ich nachhaken hier:

Zitat:

habe nach der Anleitung heute mal meinen PC scannen lassen da er mir seit ca. 1-2 Wochen Probleme insofern bereitet dass die CPU auslastung zu ner geringen Aktivität bzw. für den PC geringen Aktivität von 90-100% hochschießt...
Welcher Prozess verursacht die hohe Last?
In RSIT war das darin eingebette Hijackthis-Logfile nicht vollständig, führe Hijackthis bitte nochmal separat aus - da Du Vista hast, HJT über Rechtsklick => Als Administrator ausführen

franky2207 03.09.2009 23:47

hier nochmal das log das nach dem scan aufpoppt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by franky2207 at 2009-09-04 00:43:44
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 186 GB (61%) free of 305 GB
Total RAM: 4090 MB (72% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:44:03, on 04.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\franky2207\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\franky2207.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5611 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{96C69ACB-6ADE-4910-8102-13E6564E4139}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-04-21 1082880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1555968]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-07-03 152064]
"msnmsgr"=C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=scecli
psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0
"DisableCAD"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files (x86)\BitTorrent\bittorrent.exe"="C:\Program Files (x86)\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-09-02 21:34:20 ----A---- C:\Windows\system32\Apphlpdm.dll
2009-09-02 21:34:19 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2009-08-26 18:34:17 ----A---- C:\Windows\system32\tzres.dll
2009-08-24 21:43:51 ----D---- C:\Users\franky2207\AppData\Roaming\Malwarebytes
2009-08-24 21:43:40 ----D---- C:\ProgramData\Malwarebytes
2009-08-24 21:43:40 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2009-08-24 21:35:32 ----D---- C:\Program Files (x86)\CCleaner
2009-08-24 02:31:00 ----AD---- C:\Windows\system32\runouce.exe
2009-08-24 02:09:38 ----A---- C:\Windows\system32\msvcr80.dll
2009-08-24 02:09:37 ----A---- C:\Windows\system32\msvcp80.dll
2009-08-24 02:07:26 ----D---- C:\ProgramData\OEM Links
2009-08-24 02:07:25 ----D---- C:\ProgramData\MicroWorld
2009-08-24 02:06:32 ----A---- C:\Windows\killproc.exe
2009-08-24 02:06:21 ----A---- C:\Windows\system32\ZIPDLL.DLL
2009-08-24 02:06:21 ----A---- C:\Windows\system32\UNZDLL.DLL
2009-08-24 02:06:21 ----A---- C:\Windows\system32\sporder.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp64.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\contfilt.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\contf64.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\BACKUP.76648219.contfilt.dll
2009-08-24 02:06:21 ----A---- C:\Windows\sporder.exe
2009-08-24 02:06:21 ----A---- C:\Windows\sporder.dll
2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp64.dll
2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp.dll
2009-08-24 02:06:20 ----A---- C:\Windows\inst_tspx.exe
2009-08-24 02:06:20 ----A---- C:\Windows\inst_tsp.exe
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\eScan
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files\MicroWorld
2009-08-20 16:32:13 ----D---- C:\ProgramData\Blizzard Entertainment
2009-08-18 22:08:24 ----D---- C:\Program Files (x86)\Angel Writer
2009-08-15 14:09:37 ----A---- C:\Windows\dd_NET_Framework35_LangPack_MSI550B.txt
2009-08-15 14:09:33 ----A---- C:\Windows\dd_depcheck_NETFX_EXP_35.txt
2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35install_lp.txt
2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35error_lp.txt
2009-08-14 14:50:57 ----A---- C:\Windows\system32\PresentationHostProxy.dll
2009-08-14 14:50:57 ----A---- C:\Windows\system32\icardres.dll
2009-08-14 14:50:56 ----A---- C:\Windows\system32\PresentationNative_v0300.dll
2009-08-14 14:50:56 ----A---- C:\Windows\system32\infocardapi.dll
2009-08-14 14:50:55 ----A---- C:\Windows\system32\icardagt.exe
2009-08-14 14:50:47 ----A---- C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-08-14 14:50:43 ----A---- C:\Windows\system32\PresentationHost.exe
2009-08-14 14:38:51 ----A---- C:\Windows\system32\netfxperf.dll
2009-08-14 14:38:34 ----A---- C:\Windows\system32\dfshim.dll
2009-08-14 14:38:21 ----A---- C:\Windows\system32\mscoree.dll
2009-08-14 14:38:12 ----A---- C:\Windows\system32\mscorier.dll
2009-08-14 14:38:08 ----A---- C:\Windows\system32\mscories.dll
2009-08-14 00:15:45 ----A---- C:\Windows\system32\kerberos.dll
2009-08-14 00:15:44 ----A---- C:\Windows\system32\wdigest.dll
2009-08-14 00:15:44 ----A---- C:\Windows\system32\schannel.dll
2009-08-14 00:15:44 ----A---- C:\Windows\system32\msv1_0.dll
2009-08-14 00:15:43 ----A---- C:\Windows\system32\secur32.dll
2009-08-13 08:06:27 ----AD---- C:\ProgramData\TEMP
2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCR71.dll
2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCP71.dll
2009-08-12 22:48:55 ----A---- C:\Windows\system32\MFC71.dll
2009-08-12 18:19:06 ----A---- C:\Windows\system32\mstscax.dll
2009-08-12 18:18:56 ----A---- C:\Windows\system32\atl.dll
2009-08-12 18:18:47 ----A---- C:\Windows\system32\avifil32.dll
2009-08-12 18:18:28 ----A---- C:\Windows\system32\wmp.dll
2009-08-12 18:18:25 ----A---- C:\Windows\system32\wmpdxm.dll
2009-08-12 18:18:21 ----A---- C:\Windows\system32\spwmp.dll
2009-08-12 18:18:20 ----A---- C:\Windows\system32\dxmasf.dll
2009-08-12 18:18:18 ----A---- C:\Windows\system32\wmploc.DLL
2009-08-09 19:08:45 ----D---- C:\Program Files (x86)\T-Mobile

======List of files/folders modified in the last 1 months======

2009-09-04 00:43:49 ----D---- C:\Windows\Temp
2009-09-04 00:43:48 ----D---- C:\Program Files (x86)\trend micro
2009-09-04 00:30:12 ----D---- C:\Windows\System32
2009-09-04 00:30:11 ----D---- C:\Windows\inf
2009-09-03 17:55:18 ----D---- C:\Windows\winsxs
2009-09-02 22:39:52 ----D---- C:\Windows\SysWOW64
2009-09-02 22:39:52 ----D---- C:\Windows\AppPatch
2009-08-26 19:15:16 ----D---- C:\Windows\rescache
2009-08-26 18:35:29 ----D---- C:\Program Files (x86)\Internet Explorer
2009-08-26 18:35:17 ----D---- C:\Windows\system32\de-DE
2009-08-24 21:43:43 ----D---- C:\Windows\system32\drivers
2009-08-24 21:43:40 ----RD---- C:\Program Files (x86)
2009-08-24 21:43:40 ----D---- C:\ProgramData
2009-08-24 21:39:06 ----D---- C:\Windows\Debug
2009-08-24 21:39:06 ----D---- C:\Windows
2009-08-24 21:28:21 ----D---- C:\Windows\Tasks
2009-08-24 21:28:21 ----A---- C:\Windows\win.ini
2009-08-24 19:22:48 ----D---- C:\Users\franky2207\AppData\Roaming\teamspeak2
2009-08-24 02:24:43 ----D---- C:\Program Files (x86)\Mozilla Firefox
2009-08-24 02:08:31 ----SD---- C:\Users\franky2207\AppData\Roaming\Microsoft
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files
2009-08-21 13:21:48 ----HD---- C:\Program Files (x86)\InstallShield Installation Information
2009-08-21 13:20:17 ----D---- C:\Program Files (x86)\Spybot - Search & Destroy
2009-08-21 13:20:16 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-08-15 15:53:47 ----D---- C:\Windows\Microsoft.NET
2009-08-15 14:10:06 ----SHD---- C:\Windows\Installer
2009-08-15 14:10:06 ----HD---- C:\Config.Msi
2009-08-15 14:09:49 ----RSD---- C:\Windows\assembly
2009-08-14 15:06:38 ----D---- C:\Windows\system32\XPSViewer
2009-08-14 15:06:31 ----D---- C:\Windows\system32\wbem
2009-08-14 15:06:31 ----D---- C:\Windows\system32\en-US
2009-08-14 14:58:33 ----D---- C:\Windows\Prefetch
2009-08-14 14:49:42 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-08-14 12:01:55 ----SHD---- C:\System Volume Information
2009-08-13 11:50:48 ----D---- C:\Users\franky2207\AppData\Roaming\Mozilla
2009-08-13 11:46:44 ----D---- C:\Torrents
2009-08-12 22:59:56 ----D---- C:\ProgramData\Microsoft
2009-08-12 22:48:52 ----D---- C:\Program Files
2009-08-12 22:39:39 ----D---- C:\ProgramData\McAfee
2009-08-12 21:20:40 ----D---- C:\Program Files (x86)\Windows Mail
2009-08-12 21:20:38 ----D---- C:\Program Files (x86)\Windows Media Player
2009-08-12 21:18:57 ----D---- C:\ProgramData\Microsoft Help

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 itecir;ITECIR Infrared Receiver; C:\Windows\system32\DRIVERS\itecir.sys []
R3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw5v64.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys []
R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys []
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys []
R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys []
R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys []
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys []
S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
S3 aign9wuv;aign9wuv; C:\Windows\system32\drivers\aign9wuv.sys []
S3 bdfsfltr;bdfsfltr; C:\Windows\system32\DRIVERS\bdfsfltr.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 econceal;MicroWorld Technologies Network Service; C:\Windows\system32\DRIVERS\econceal.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 whfltr2k;WheelMouse USB Lower Filter Driver; C:\Windows\system32\DRIVERS\whfltr2k.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 yukonx64;NDIS6.0 Miniporttreiber für Marvell Yukon-Ethernet-Controller; C:\Windows\system32\DRIVERS\yk60x64.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 MWAgent;MWAgent; C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE [2009-07-31 422408]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2008-07-27 93184]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]
S4 PowerBiosServer;PowerBiosServer; C:\Program Files (x86)\Hotkey\PowerBiosServer.exe [2008-06-10 36864]

-----------------EOF-----------------

franky2207 03.09.2009 23:52

ach so, und zu der frage, welcher prozess die hohe auslastung verursacht; keine ahnung, würd ich selber gern wissen... kann im task manager nichts finden das soviel zieht, sehe ja nur wie sehr der PC da ausgelastet ist aber nicht welcher prozess dafür sorgt.. und unter "prozesse" im task manager sehe ich jetzt auch keinen der 1.000 k oder so brauch, also die sind alle im grünen bereich, bzw alle in dem bereich in dem der pc es noch vor ~1-2 monaten locker geschafft hat

franky2207 09.09.2009 21:23

von der reihe nach dran is wohl nicht dierede, da sind wesentlich aktuellere die alle beantwortet wurden...

ihr könnt auch einfach sagen dass ihr bei mir kein fehler findet oder ich mein system in den hintern schieben kann... aber gar nicht antworten ist schon arm

cosinus 09.09.2009 21:54

Wir bemühen uns hier so gut wie es geht! Denk daran, dass wir sowas in unserer Freizeit machen, ich hab "nebenbei" auch noch einen Vollzeitjob!

Du bezahlst hier nix und forderst hier, ich finde diese Haltung einfach nur frech und respektlos! :mad:
Wenn Du alles sofort haben willst, musst Du eben einen Computerfachmann vor ort herholen und BEZAHLEN!!

Bitte etwas mehr Geduld! Ich schau mir Dein Logfile noch an! :teufel2:

cosinus 10.09.2009 11:52

Zitat:

Zitat von franky2207 (Beitrag 462461)
ach so, und zu der frage, welcher prozess die hohe auslastung verursacht; keine ahnung, würd ich selber gern wissen... kann im task manager nichts finden das soviel zieht,

Lässt Du Dir denn auch alle Prozesse aller Benutzer anzeigen?


Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\Windows\system32\DRIVERS\jmcr.sys
C:\Windows\system32\DRIVERS\smserial.sys
C:\Windows\system32\drivers\megasr.sys


franky2207 10.09.2009 22:06

Danke dir cosinus... kann dich ja auch verstehen, ist einfach nur meine frustration dass das scheiss teure teil bald fast bald so langsam läuft wie meine alte kiste.. entschuldige..

also habe mir jetzt alle prozesse anzeigen lassen - hatte es vorher nicht und es gibt noch einen prozess bzw mehrere mit demselben namen der einiges beansprucht:

svchost.exe ist da auf einmal ca. 20 mal zu sehen.. "ein" svchost.exe zeigt auch ne relativ hohe belastung ein paar andere svchosts' eine mittlere belastung

die dateien die ich bei virustotal.com hochladen soll konnte ich erst finden nachdem ich da überall die häkchen entfernt habe wie in deinem hilfelink... nur leider kann ich sie jetzt nicht bei virustotal.com hochladen, bzw einfach nicht da auswählen weil er nur die dateien findet die ich auch vorher sehen konnte
d.h. wenn ich auf durchsuchen bei virustotal.com gehe und die dateien suchen will zeigt der die versteckten/ausgeblendeten etc. dateien nicht an obwoh ich sie bei mir ja aktiviert habe.. auch wenn ich sie an eine email anhängen will ist es dasselbe, nur die die ich auch vorher gefunden habe

was kann ich da tun?

cosinus 12.09.2009 16:03

Mach doch bitte mal einen mit RSIT, aber RSIT über Rechtsklick => Als Administrator ausführen und bestätigen.

franky2207 17.09.2009 00:36

ok hier die log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by franky2207 at 2009-09-17 01:33:33
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 212 GB (69%) free of 305 GB
Total RAM: 4090 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:33:53, on 17.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Advanced Wheel Mouse\wh_exec.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
C:\Users\franky2207\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\franky2207.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=14978&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [WheelMouse] C:\ADVANC~1\wh_exec.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PowerBiosServer - Unknown owner - C:\Program Files (x86)\Hotkey\PowerBiosServer.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6135 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{96C69ACB-6ADE-4910-8102-13E6564E4139}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-04-21 1082880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WheelMouse"=C:\ADVANC~1\wh_exec.exe [2007-10-13 98304]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1555968]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-07-03 152064]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=scecli
psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0
"DisableCAD"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files (x86)\BitTorrent\bittorrent.exe"="C:\Program Files (x86)\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{186afb8f-3414-11de-a42e-806e6f6e6963}]
shell\AutoRun\command - D:\AutoRunCD.exe


======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-09-14 22:57:04 ----RHD---- C:\Users\franky2207\AppData\Roaming\SecuROM
2009-09-12 00:23:19 ----D---- C:\Program Files (x86)\MSXML 4.0
2009-09-11 14:44:37 ----D---- C:\Users\franky2207\AppData\Roaming\Nero
2009-09-11 14:36:21 ----A---- C:\Windows\Irremote.ini
2009-09-11 14:18:22 ----D---- C:\Program Files (x86)\Nero
2009-09-11 14:17:45 ----D---- C:\ProgramData\Nero
2009-09-11 14:17:44 ----D---- C:\Program Files (x86)\Common Files\Nero
2009-09-11 14:17:06 ----A---- C:\Windows\system32\ole32.dll
2009-09-09 13:32:50 ----A---- C:\Windows\system32\WMVCORE.DLL
2009-09-09 13:32:50 ----A---- C:\Windows\system32\mf.dll
2009-09-09 13:32:31 ----A---- C:\Windows\system32\netiohlp.dll
2009-09-09 13:32:30 ----A---- C:\Windows\system32\TCPSVCS.EXE
2009-09-09 13:32:30 ----A---- C:\Windows\system32\ROUTE.EXE
2009-09-09 13:32:30 ----A---- C:\Windows\system32\NETSTAT.EXE
2009-09-09 13:32:30 ----A---- C:\Windows\system32\MRINFO.EXE
2009-09-09 13:32:30 ----A---- C:\Windows\system32\HOSTNAME.EXE
2009-09-09 13:32:30 ----A---- C:\Windows\system32\finger.exe
2009-09-09 13:32:30 ----A---- C:\Windows\system32\ARP.EXE
2009-09-09 13:32:29 ----A---- C:\Windows\system32\netevent.dll
2009-09-09 13:32:17 ----A---- C:\Windows\system32\jscript.dll
2009-09-09 13:32:15 ----A---- C:\Windows\system32\wlansec.dll
2009-09-09 13:32:15 ----A---- C:\Windows\system32\wlanmsm.dll
2009-09-09 13:32:15 ----A---- C:\Windows\system32\L2SecHC.dll
2009-09-08 21:23:22 ----D---- C:\Program Files (x86)\Microsoft Visual Studio 8
2009-09-08 18:41:25 ----D---- C:\Users\franky2207\AppData\Roaming\BitTorrent
2009-09-08 18:41:19 ----D---- C:\Program Files (x86)\BitTorrent
2009-09-07 19:18:13 ----D---- C:\ProgramData\Avira
2009-09-07 19:18:13 ----D---- C:\Program Files (x86)\Avira
2009-09-02 21:34:20 ----A---- C:\Windows\system32\Apphlpdm.dll
2009-09-02 21:34:19 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2009-08-26 18:34:17 ----A---- C:\Windows\system32\tzres.dll
2009-08-24 21:43:51 ----D---- C:\Users\franky2207\AppData\Roaming\Malwarebytes
2009-08-24 21:43:40 ----D---- C:\ProgramData\Malwarebytes
2009-08-24 21:43:40 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2009-08-24 21:35:32 ----D---- C:\Program Files (x86)\CCleaner
2009-08-24 02:31:00 ----AD---- C:\Windows\system32\runouce.exe
2009-08-24 02:09:38 ----A---- C:\Windows\system32\msvcr80.dll
2009-08-24 02:09:37 ----A---- C:\Windows\system32\msvcp80.dll
2009-08-24 02:07:26 ----D---- C:\ProgramData\OEM Links
2009-08-24 02:07:25 ----D---- C:\ProgramData\MicroWorld
2009-08-24 02:06:32 ----A---- C:\Windows\killproc.exe
2009-08-24 02:06:21 ----A---- C:\Windows\system32\ZIPDLL.DLL
2009-08-24 02:06:21 ----A---- C:\Windows\system32\UNZDLL.DLL
2009-08-24 02:06:21 ----A---- C:\Windows\system32\sporder.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp64.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\contfilt.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\contf64.dll
2009-08-24 02:06:21 ----A---- C:\Windows\system32\BACKUP.76648219.contfilt.dll
2009-08-24 02:06:21 ----A---- C:\Windows\sporder.exe
2009-08-24 02:06:21 ----A---- C:\Windows\sporder.dll
2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp64.dll
2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp.dll
2009-08-24 02:06:20 ----A---- C:\Windows\inst_tspx.exe
2009-08-24 02:06:20 ----A---- C:\Windows\inst_tsp.exe
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\eScan
2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files\MicroWorld
2009-08-20 16:32:13 ----D---- C:\ProgramData\Blizzard Entertainment

======List of files/folders modified in the last 1 months======

2009-09-17 01:33:47 ----D---- C:\Windows\Prefetch
2009-09-17 01:33:38 ----D---- C:\Windows\Temp
2009-09-17 01:33:37 ----D---- C:\Program Files (x86)\trend micro
2009-09-16 22:02:11 ----D---- C:\Windows\System32
2009-09-16 22:02:10 ----D---- C:\Windows\inf
2009-09-15 21:42:38 ----D---- C:\Users\franky2207\AppData\Roaming\Skype
2009-09-15 20:55:24 ----D---- C:\Users\franky2207\AppData\Roaming\skypePM
2009-09-15 02:05:22 ----SHD---- C:\System Volume Information
2009-09-12 19:58:57 ----SHD---- C:\Windows\Installer
2009-09-12 19:58:57 ----HD---- C:\Config.Msi
2009-09-12 19:58:55 ----D---- C:\ProgramData\Microsoft Help
2009-09-12 19:05:34 ----D---- C:\Program Files (x86)\Mozilla Firefox
2009-09-12 00:23:33 ----D---- C:\Windows\winsxs
2009-09-12 00:23:19 ----RD---- C:\Program Files (x86)
2009-09-12 00:23:19 ----D---- C:\Windows\SysWOW64
2009-09-12 00:23:17 ----D---- C:\Windows
2009-09-11 16:26:56 ----D---- C:\Windows\pss
2009-09-11 14:17:45 ----D---- C:\ProgramData
2009-09-11 14:17:44 ----D---- C:\Program Files (x86)\Common Files
2009-09-11 14:16:33 ----D---- C:\Windows\SoftwareDistribution
2009-09-09 21:52:59 ----D---- C:\Windows\rescache
2009-09-09 18:51:03 ----D---- C:\Windows\Debug
2009-09-09 18:46:10 ----D---- C:\Windows\ehome
2009-09-09 18:46:10 ----D---- C:\Program Files (x86)\Windows Mail
2009-09-09 18:46:09 ----D---- C:\Windows\system32\de-DE
2009-09-08 21:26:43 ----RSD---- C:\Windows\assembly
2009-09-08 21:25:42 ----D---- C:\Program Files (x86)\Common Files\microsoft shared
2009-09-08 21:25:41 ----D---- C:\Program Files (x86)\MSBuild
2009-09-08 21:25:18 ----D---- C:\Windows\ShellNew
2009-09-08 21:25:00 ----D---- C:\Program Files (x86)\Microsoft Office
2009-09-08 21:24:58 ----D---- C:\ProgramData\Microsoft
2009-09-08 21:23:02 ----A---- C:\Windows\win.ini
2009-09-08 18:55:11 ----D---- C:\Torrents
2009-09-07 19:18:14 ----D---- C:\Windows\system32\drivers
2009-09-02 22:39:52 ----D---- C:\Windows\AppPatch
2009-08-26 18:35:29 ----D---- C:\Program Files (x86)\Internet Explorer
2009-08-24 21:28:21 ----D---- C:\Windows\Tasks
2009-08-24 19:22:48 ----D---- C:\Users\franky2207\AppData\Roaming\teamspeak2
2009-08-24 02:08:31 ----SD---- C:\Users\franky2207\AppData\Roaming\Microsoft
2009-08-21 13:21:48 ----HD---- C:\Program Files (x86)\InstallShield Installation Information
2009-08-21 13:20:17 ----D---- C:\Program Files (x86)\Spybot - Search & Destroy
2009-08-21 13:20:16 ----D---- C:\ProgramData\Spybot - Search & Destroy

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 itecir;ITECIR Infrared Receiver; C:\Windows\system32\DRIVERS\itecir.sys []
R3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw5v64.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys []
R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys []
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys []
R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys []
R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys []
R3 whfltr2k;WheelMouse USB Lower Filter Driver; C:\Windows\system32\DRIVERS\whfltr2k.sys []
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys []
S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
S3 a9i7gilg;a9i7gilg; C:\Windows\system32\drivers\a9i7gilg.sys []
S3 bdfsfltr;bdfsfltr; C:\Windows\system32\DRIVERS\bdfsfltr.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 econceal;MicroWorld Technologies Network Service; C:\Windows\system32\DRIVERS\econceal.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 yukonx64;NDIS6.0 Miniporttreiber für Marvell Yukon-Ethernet-Controller; C:\Windows\system32\DRIVERS\yk60x64.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 MWAgent;MWAgent; C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE [2009-07-31 422408]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [2009-05-15 935208]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 PowerBiosServer;PowerBiosServer; C:\Program Files (x86)\Hotkey\PowerBiosServer.exe [2008-06-10 36864]
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2008-07-27 93184]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]

-----------------EOF-----------------

franky2207 17.09.2009 00:37

und hier die info:


info.txt logfile of random's system information tool 1.06 2009-06-10 00:59:23

======Uninstall list======

-->MsiExec /X{45235788-142C-44BE-8A4D-DDE9A84492E5}
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9.1.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Advanced Wheel Mouse 6.0.0.002-->C:\ADVANC~1\uninst.exe
AGEIA PhysX v7.09.13-->MsiExec.exe /X{45235788-142C-44BE-8A4D-DDE9A84492E5}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
BattleForge™-->MsiExec.exe /X{C580908C-B3BA-4C19-BD60-16F02F272201}
BisonCam-->C:\Program Files (x86)\InstallShield Installation Information\{4BB1DCED-84D3-47F9-B718-5947E904593E}\setup.exe -runfromtemp -l0x0007 -removeonly
Counter-Strike 1.6-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{13B792AA-C078-43A4-8A3A-8B12D629940D}\Setup.exe" -l0x19
Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
Fallout 3-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x9 -removeonly
Gaming Mouse-->"C:\Program Files (x86)\Gaming Mouse\uninstall.exe"
Gothic III-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{02B244A2-7F6A-42E8-A36F-8C385D7A1625}\setup.exe" -l0x7 -removeonly
HijackThis 2.0.2-->"C:\Program Files (x86)\trend micro\HijackThis.exe" /uninstall
Hotkey-->"C:\Program Files (x86)\InstallShield Installation Information\{164714B6-46BC-4649-9A30-A6ED32F03B5A}\setup.exe" -runfromtemp -l0x0009 -removeonly
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Standard 2007-->MsiExec.exe /X{91120000-0012-0000-0000-0000000FF1CE}
Microsoft Office Standard 2007-Testversion-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall STANDARDR /dll OSETUP.DLL
Microsoft Office Suite Activation Assistant-->MsiExec.exe /X{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
PC VGA Camer@-->C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{E2A36CC2-531D-4BD7-BB75-69F51CB31305} /l1031
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x0007 -removeonly
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {90120000-002A-0000-1000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB960003)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {F04F8702-18D0-458D-921E-146FB7CD38CF}
Security Update for Microsoft Office Excel 2007 (KB959997)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {9EAC3AEC-5C81-4856-A05B-DE9DC236D740}
Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
Security Update for Outlook 2007 (KB946983)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Spybot - Search & Destroy-->"C:\Program Files (x86)\Spybot - Search & Destroy\unins000.exe"
STK1135 PC Camera-->C:\Program Files (x86)\InstallShield Installation Information\{6A92D7DC-DC2A-42B0-8FC0-F162B1CFDFD3}\setup.exe -runfromtemp -l0x0007 -removeonly
System Requirements Lab-->C:\Program Files (x86)\SystemRequirementsLab\Uninstall.exe
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 Help (KB957246)-->msiexec /package {90120000-001A-0407-0000-0000000FF1CE} /uninstall {40EDB4D3-A95E-413F-9578-F2E01A3D209B}
Update for Office 2007 (KB934391)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {B3091818-7C56-4C45-BE7D-CA23027A5EA5}
Update for Outlook 2007 Junk Email Filter (kb968503)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {5DD98950-4D10-4B79-8BF6-59726705207D}
Update für Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}
Update für Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {EA160DA3-E9B5-4D03-A518-21D306665B96}
Update für Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {38472199-D7B6-4833-A949-10E4EE6365A1}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: AntiVir Desktop (disabled) (outdated)
AS: Spybot - Search and Destroy (disabled) (outdated)
AS: Windows Defender

======System event log======

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {31B52CC4-7B69-403D-98E6-F93BAAAE1F28}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: service:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24386
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609223607.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {31B422D5-951E-44D7-9892-055C7A4CF03A}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: driver:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24387
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609223607.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {4BDB0091-8ACB-4BBD-9AFF-D2220598B7E5}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: service:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24388
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609224835.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {F1A82F4C-08D9-42FE-A644-AF125AC73868}
Benutzer: Twinkle\franky2207
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: driver:PROCEXP90
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 24389
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090609224835.000000-000
Event Type: Warnung
User:

Computer Name: Twinkle
Event Code: 26
Message: Anwendungspopup: : \??\C:\Windows\system32\Drivers\PROCEXP90.SYS failed to load
Record Number: 24390
Source Name: Application Popup
Time Written: 20090609224833.057700-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: Twinkle
Event Code: 4097
Message: Der AntiVir Dienst wurde beendet!
Record Number: 4578
Source Name: Avira AntiVir
Time Written: 20090609220215.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Twinkle
Event Code: 4112
Message: Bei der Anforderung nach einer Resource des Betriebssystems trat ein Fehler auf. Die Resource 'avgntflt' wurde nicht zugewiesen. Der Grund hierfür könnte zu wenig Hauptspeicher oder ein anderer Systemfehler sein. Fehlercode: 0xffffffff
Record Number: 4579
Source Name: Avira AntiVir
Time Written: 20090609220232.000000-000
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: Twinkle
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!
Record Number: 4580
Source Name: Avira AntiVir
Time Written: 20090609220232.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Twinkle
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help".
Record Number: 4581
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090609220323.000000-000
Event Type: Informationen
User:

Computer Name: Twinkle
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 4582
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090609220323.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9518
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609223426.265700-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9519
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609223605.050900-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9520
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609223605.066500-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9521
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609224833.042100-000
Event Type: Überwachung gescheitert
User:

Computer Name: Twinkle
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS
Record Number: 9522
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090609224833.057700-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\34FB5F65-FFEB-4B61-BF0E-A6A76C450FAA\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------

cosinus 17.09.2009 11:05

Code:

C:\Windows\system32\drivers\a9i7gilg.sys
Im neuen Logfile taucht auf einmal diese Datei auf. Bitte auch mal bei Virustotal auswerten sofern noch vorhanden.
Da Du ein 64 Bit Vista hast, ist das nicht einfach evtl. hartnäckigere Schädlinge zu entfernen. Tools wie Combofix oder Avenger laufen auf dem 64 Bit System einfach nicht!!

franky2207 17.09.2009 20:44

Mit dieser Datei ist es leider dasselbe wie mit den anderen die ich gerne dort auswerten lassen würde, sie können nicht gefunden werden, es werden nur die nicht-versteckten dateien zum hochladen angezeigt bei "Durchsuchen..."

Hmm, und da kann ich gar nichts gegen diese Schädlinge unternehmen?
Würde eventuell eine Vollversion von AntiVir oder irgendwelchen anderen Antivirus programmen dagegen helfen?

Ich verstehe nicht, wie solche Schädlinge es jedes mal aufs System schaffen obwohl ich ja permanent AntiVir oder vor 2 Monaten noch Kaspersky draufhatte plus aktivierter Firewall und stets alles updaten ließ...


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132