|
Windows scrollt immer ans Ende Guten Morgen zusammen, ich hoffe, dass man mir behilflich sein kann. Seit gestern abend habe ich das Problem, dass mein PC im Explorer und Mailprogramm Windows Mail automatisch nach unten scrollt und ich keine Möglichkeit habe, an den Anfang zu gehen. Ich habe mal gegoogelt und befürchte nun, dass ich mir einen Trojaner oder was ähnlich fieses eingefangen habe. Ich habe gemäß dem, was ich so gefunden habe mal den eScan durchlaufen lassen und ein Hijack Logfile erstellt. Ich erlaube mir mal, die Daten hier herein zu kopieren. Wäre super, wenn jemand, der davon definitiv mehr Ahnung hat als ich, drüber schauen könnte, um zu sehen, ob ich tatsächlich einen Befall habe. Vielen Dank im voraus schon mal für jede Hilfe. LG Sanny Hier die Ergebnisse: Hijack Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:39:53, on 01.09.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\System32\wpcumi.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Users\XXX\AppData\Local\Temp\mexe.com C:\Program Files\Windows Media Player\wmpnscfg.exe c:\program files\winamp toolbar\WinampTbServer.exe C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll O1 - Hosts: ::1 localhost O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: (no name) - {8a194578-81ea-4850-9911-13ba2d71efbd} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Save YouTube Video - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O13 - Gopher Prefix: O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe -- End of file - 9626 bytes eScan: 01 Sep 2009 00:24:35 - Zahl der desinfizierten Objekte: 0 01 Sep 2009 00:24:35 - Zahl der umbenannten Objekte: 0 01 Sep 2009 00:24:35 - Zahl der gelöschten Objekte: 0 01 Sep 2009 00:24:35 - Gesamtzahl der Fehler: 59 01 Sep 2009 00:24:35 - Zeit verstrichen: 01:37:51 01 Sep 2009 00:24:35 - Virendatenbankdatum: 01 Aug 2009 01 Sep 2009 00:24:35 - Virendatenbankzähler: 3870379 |
Hi, searchbar/askbar killen: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLLFühre einen Systemscan durch und poste das Ergebnis! chris |
Hallo Chris, vielen Dank für die schnelle Info. Hier das Log vom Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL" deleted successfully. File "C:\Program Files\AskBarDis\bar\bin\askBar.dll" deleted successfully. Folder "C:\Program Files\MySearch\bar\1.bin" deleted successfully. Folder "C:\Program Files\MySearch\bar" deleted successfully. Folder "C:\Program Files\MySearch" deleted successfully. Folder "C:\Program Files\AskBarDis\bar\bin" deleted successfully. Folder "C:\Program Files\AskBarDis\bar" deleted successfully. Folder "C:\Program Files\AskBarDis" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Hi, jetzt bitte noch Avira durchführen... Dann schauen wir mal was der Rechner treibt, sonst bohren wir noch etwas tiefer... chris |
Hi Chris, das kam nun bei Avira raus: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 1. September 2009 16:58 Es wird nach 1676294 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ROCHAZ-PC Versionsinformationen: BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 16:03:57 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 07:49:13 ANTIVIR2.VDF : 7.1.5.146 3087360 Bytes 21.08.2009 13:14:24 ANTIVIR3.VDF : 7.1.5.192 408064 Bytes 01.09.2009 14:58:17 Engineversion : 8.2.1.7 AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04 AESCRIPT.DLL : 8.1.2.26 463227 Bytes 26.08.2009 15:24:52 AESCN.DLL : 8.1.2.4 127348 Bytes 02.08.2009 07:49:32 AERDL.DLL : 8.1.2.4 430452 Bytes 02.08.2009 07:49:31 AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 02.08.2009 07:49:30 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 16:53:20 AEHELP.DLL : 8.1.6.0 233846 Bytes 18.08.2009 16:53:13 AEGEN.DLL : 8.1.1.59 356725 Bytes 26.08.2009 15:23:31 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 02.08.2009 07:49:24 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 1. September 2009 16:58 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '117000' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'mcupdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampTbServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wpcumi.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPBackGround.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '69' Prozesse mit '69' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '51' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' Ende des Suchlaufs: Dienstag, 1. September 2009 18:06 Benötigte Zeit: 1:08:01 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 21219 Verzeichnisse wurden überprüft 443018 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 443017 Dateien ohne Befall 4597 Archive wurden durchsucht 1 Warnungen 1 Hinweise 117000 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Vielen, vielen Dank schon mal. LG Sanny P.S.: Er macht die Zicken immer noch. Hab gerade mal Windows Mail geöffnet :s |
Hi, lass die Datei mal bei Virustotal.com untersuchen und poste das Ergebenis (komplett); c:\windows\system32\wpclsp.dll RSIT, GMER: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Hast Du mal eine neue SW installiert? chris |
Hi Chris, okay, hier das Ergebnis von Virustotal: Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.02 - AhnLab-V3 5.0.0.2 2009.09.02 - AntiVir 7.9.1.7 2009.09.02 - Antiy-AVL 2.0.3.7 2009.09.02 - Authentium 5.1.2.4 2009.09.02 - Avast 4.8.1335.0 2009.09.01 - AVG 8.5.0.409 2009.09.02 - BitDefender 7.2 2009.09.02 - CAT-QuickHeal 10.00 2009.09.02 - ClamAV 0.94.1 2009.09.02 - Comodo 2173 2009.09.02 - DrWeb 5.0.0.12182 2009.09.02 - eSafe 7.0.17.0 2009.09.02 - eTrust-Vet 31.6.6716 2009.09.02 - F-Prot 4.5.1.85 2009.09.01 - F-Secure 8.0.14470.0 2009.09.02 - Fortinet 3.120.0.0 2009.09.02 - GData 19 2009.09.02 - Ikarus T3.1.1.68.0 2009.09.02 - Jiangmin 11.0.800 2009.09.02 - K7AntiVirus 7.10.834 2009.09.02 - Kaspersky 7.0.0.125 2009.09.02 - McAfee 5728 2009.09.02 - McAfee+Artemis 5728 2009.09.02 - McAfee-GW-Edition 6.8.5 2009.09.02 - Microsoft 1.5005 2009.09.02 - NOD32 4390 2009.09.02 - Norman 2009.09.02 - nProtect 2009.1.8.0 2009.09.02 - Panda 10.0.2.2 2009.09.02 - PCTools 4.4.2.0 2009.09.02 - Prevx 3.0 2009.09.02 - Rising 21.45.14.00 2009.09.01 - Sophos 4.45.0 2009.09.02 - Sunbelt 3.2.1858.2 2009.09.01 - Symantec 1.4.4.12 2009.09.02 - TheHacker 6.3.4.3.395 2009.09.02 - TrendMicro 8.950.0.1094 2009.09.02 - VBA32 3.12.10.10 2009.09.01 - ViRobot 2009.9.2.1914 2009.09.02 - VirusBuster 4.6.5.0 2009.09.02 - weitere Informationen File size: 72192 bytes MD5...: dd1d685d387a8ac666ba3b7539c774e8 SHA1..: c5856ee8347b6fc8dd36bb987545bd2832a107eb SHA256: c93c79d42a86a99e0e625d54ae1f5d68dfa3f8a0c466f965689b04df60be8c35 ssdeep: 1536:5CXEmn+Q1xQlKYmcUQDgbd2lJwi3AIj2eMbwbsi+x6JY3:kXEmbRLLi3Rxh bry6JY PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xa08b timedatestamp.....: 0x4791a786 (Sat Jan 19 07:32:22 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xff7c 0x10000 6.44 243c7ec44a5ea28b47e9f4c7b7698601 .data 0x11000 0x82c 0x200 4.68 c1bb3f942e87125c8c97a3495454e71d .rsrc 0x12000 0x358 0x400 2.77 dac95f4f73bc1ab6b30a58f2660b02b6 .reloc 0x13000 0xf0e 0x1000 6.34 c558c78db4e301456b11b4d2f664ae3a ( 8 imports ) > msvcrt.dll: memmove, memcpy_s, _vsnprintf, isspace, strnlen, isdigit, atol, _vscprintf, wcscat_s, _except_handler4_common, _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _strnicmp, _XcptFilter, _vscwprintf, _wcsicmp, __3@YAXPAX@Z, _vsnwprintf, memset, __2@YAPAXI@Z, memcpy > ADVAPI32.dll: RegGetValueW, ConvertSidToStringSidW, OpenThreadToken, OpenProcessToken, GetTokenInformation, GetLengthSid, CopySid, CreateWellKnownSid, ConvertStringSidToSidW, LookupAccountSidW, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, TraceMessage, SetThreadToken > KERNEL32.dll: InterlockedCompareExchange, QueryPerformanceCounter, InterlockedIncrement, SetEvent, UnregisterWaitEx, CreateIoCompletionPort, InterlockedDecrement, RegisterWaitForSingleObject, CreateEventW, LoadLibraryExW, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, InterlockedExchange, LoadLibraryW, ResetEvent, HeapAlloc, CloseHandle, WaitForMultipleObjectsEx, PostQueuedCompletionStatus, DecodePointer, GetLastError, GetQueuedCompletionStatus, CreateThread, GetSystemInfo, TlsSetValue, TlsFree, TlsAlloc, DeleteCriticalSection, InitializeCriticalSection, DisableThreadLibraryCalls, TlsGetValue, WaitForSingleObject, WideCharToMultiByte, HeapFree, EncodePointer, HeapDestroy, GetProcessHeap, FreeLibrary, GetProcAddress, GetCurrentThread, ExpandEnvironmentStringsW, LeaveCriticalSection, Sleep, EnterCriticalSection, HeapCreate, LocalFree, LocalAlloc, GetCurrentProcess > USER32.dll: IsWindow, LoadStringW, LoadStringA > WS2_32.dll: -, -, -, WSCGetProviderPath, WPUCompleteOverlappedRequest, WSCEnumProtocols > NETAPI32.dll: NetUserGetLocalGroups, NetApiBufferFree > RPCRT4.dll: RpcStringFreeW, RpcBindingFromStringBindingW, RpcStringBindingComposeW, RpcBindingFree, NdrClientCall2 > SHELL32.dll: SHGetFolderPathW ( 2 exports ) GetLspGuid, WSPStartup RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win64 Executable Generic (80.9%) Win32 Executable Generic (8.0%) Win32 Dynamic Link Library (generic) (7.1%) Generic Win/DOS Executable (1.8%) Ich mach mich mal an RSIT und GMER und stelle das Ergebnis dann auch hier herein. Mein Mann hat letztens von Videora ein Converter-Programm installiert. Das war die letzte SW, die installiert wurde. Davor weiß ich es nicht... Gruß, Sanny |
[SIZE="1"]Okay, hier nun das RSIT Info-Log: info.txt logfile of random's system information tool 1.06 2009-09-02 19:50:02 ======Uninstall list====== -->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER 2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL 50 FREE MP3s +1 Free Audiobook!-->"C:\Program Files\Winamp\eMusic\Uninst-eMusic-promotion.exe" Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7} Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7 Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Agere Systems HDA Modem-->agrsmdel Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} Ask Toolbar-->"C:\Program Files\AskBarDis\unins000.exe" Avanquest update-->"C:\Program Files\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\Setup.exe" -runfromtemp -l0x0007 -removeonly Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe" Business Contact Manager für Outlook 2007-->"C:\Program Files\Microsoft Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {4cb9f93c-9edc-4be9-ae61-af128ddbecfa} Business Contact Manager für Outlook 2007-->MsiExec.exe /X{4cb9f93c-9edc-4be9-ae61-af128ddbecfa} Canon MP Navigator 3.0-->"C:\Program Files\Canon\MP Navigator 3.0\Maint.exe" /UninstallRemove C:\Program Files\Canon\MP Navigator 3.0\uninst.ini Canon MP600-->"C:\Windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP600\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP600 /L0x0007 CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe" Company of Heroes - FAKEMSI-->MsiExec.exe /I{14574B7F-75D1-4718-B7F2-EBF6E2862A35} Company of Heroes - FAKEMSI-->MsiExec.exe /I{199E6632-EB28-4F73-AECB-3E192EB92D18} Company of Heroes - FAKEMSI-->MsiExec.exe /I{25724802-CC14-4B90-9F3B-3D6955EE27B1} Company of Heroes - FAKEMSI-->MsiExec.exe /I{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D} Company of Heroes - FAKEMSI-->MsiExec.exe /I{50193078-F553-4EBA-AA77-64C9FAA12F98} Company of Heroes - FAKEMSI-->MsiExec.exe /I{51D718D1-DA81-4FAD-919F-5C1CE3C33379} Company of Heroes - FAKEMSI-->MsiExec.exe /I{66F78C51-D108-4F0C-A93C-1CBE74CE338F} Company of Heroes - FAKEMSI-->MsiExec.exe /I{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3} Company of Heroes - FAKEMSI-->MsiExec.exe /I{80D03817-7943-4839-8E96-B9F924C5E67D} Company of Heroes - FAKEMSI-->MsiExec.exe /I{97E5205F-EA4F-438F-B211-F1846419F1C1} Company of Heroes - FAKEMSI-->MsiExec.exe /I{99A7722D-9ACB-43F3-A222-ABC7133F159E} Company of Heroes - FAKEMSI-->MsiExec.exe /I{BA801B94-C28D-46EE-B806-E1E021A3D519} Company of Heroes - FAKEMSI-->MsiExec.exe /I{D4D244D1-05E0-4D24-86A2-B2433C435671} Company of Heroes - FAKEMSI-->MsiExec.exe /I{EAF636A9-F664-4703-A659-85A894DA264F} Company of Heroes-->"C:\Program Files\THQ\Company of Heroes\Uninstall_German.exe" DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN DVD Shrink 3.2 deutsch (DeCSS-frei)-->"C:\Program Files\DVD Shrink DE\unins000.exe" DVD Suite-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall Easy Battery Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\setup.exe" -l0x9 Remove Easy Display Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17283B95-21A8-4996-97DA-547A48DB266F}\setup.exe" -l0x9 -removeonly Easy Network Manager 3.0-->C:\Program Files\InstallShield Installation Information\{4EA8EA5D-8E46-4698-9BF7-2F2AD8E1C185}\setup.exe -runfromtemp -l0x0407 Easy SpeedUp Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EF367AA4-070B-493C-9575-85BE59D789C9}\setup.exe" -l0x9 Remove ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly Express Rip-->C:\Program Files\NCH Swift Sound\ExpressRip\uninst.exe Free Audio Converter version 1.1-->"C:\Program Files\DVDVideoSoft\Free Audio Converter\unins000.exe" Free Audio Dub version 1.4-->"C:\Program Files\DVDVideoSoft\Free Audio Dub\unins000.exe" Free DVD Decrypter version 1.3-->"C:\Program Files\DVDVideoSoft\Free DVD Decrypter\unins000.exe" Free DVD Video Burner version 1.1-->"C:\Program Files\DVDVideoSoft\Free DVD Video Burner\unins000.exe" Free Studio version 4.2-->"C:\Program Files\DVDVideoSoft\Free Studio\unins000.exe" Free Video Dub version 1.4-->"C:\Program Files\DVDVideoSoft\Free Video Dub\unins000.exe" Free Video to JPG Converter version 1.4-->"C:\Program Files\DVDVideoSoft\Free Video to JPG Converter\unins000.exe" Free YouTube Download 2.2-->"C:\Program Files\DVDVideoSoft\Free YouTube Download\unins000.exe" Free YouTube to Mp3 Converter version 3.1-->"C:\Program Files\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe" FreeRIP v3.091-->"C:\Program Files\FreeRIP3\unins000.exe" Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3} Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_9DE96A29E721D90A.exe" /uninstall Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C} Google Updater-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" imagine digital freedom - Samsung-->MsiExec.exe /X{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD} Intel(R) PROSet/Wireless Software-->C:\Windows\Installer\iProInst.exe Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} Kaspersky Online Scanner-->C:\Windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe LabelPrint 2.0-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\setup.exe" -uninstall mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29} Medieval II Total War-->C:\Program Files\InstallShield Installation Information\{C0698BDA-0D29-40EE-8570-A31106DF9AB1}\setup.exe -runfromtemp -l0x0007 -removeonly Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE} Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft SOAP Toolkit 2.0 SP2-->MsiExec.exe /I{36BEAD11-8577-49AD-9250-E06A50AE87B0} Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)-->MsiExec.exe /I{028ED9C4-25EE-4DEE-9CF4-91034BC89B18} Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove Microsoft SQL Server Native Client-->MsiExec.exe /I{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA} Microsoft SQL Server VSS Writer-->MsiExec.exe /I{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.0.13)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe My Search Bar-->rundll32 C:\PROGRA~1\MySearch\bar\1.bin\s4bar.dll,O myphotobook 3.65-->C:\Program Files\myphotobook\uninst.exe NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI PDFCreator Toolbar-->"C:\Windows\PDFCreator_Toolbar_Uninstaller_8053.exe" _?=C:\Program Files\PDFCreator Toolbar PDFCreator-->C:\Program Files\PDFCreator\unins000.exe PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe" Play AVStation-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{955597D8-E5E1-474D-B647-60AC44566D24} /l1031 PlayCamera-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{804F1285-8CBF-408D-8CDC-D4D40003B2E4}\setup.exe" -l0x7 Power2Go 5.0-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" -uninstall PowerDirector-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" -uninstall PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall PowerProducer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe" -uninstall QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB} RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Realtek High Definition Audio Driver-->RtlUpd.exe -r -m Samsung Magic Doctor-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\Setup.exe" -l0x9 Remove Samsung Recovery Solution II-->C:\Program Files\InstallShield Installation Information\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\setup.exe -runfromtemp -l0x0007 -removeonly Samsung Update Plus-->"C:\Program Files\InstallShield Installation Information\{A5F483F0-2D79-4FCA-AE09-D0D96E23EBF7}\setup.exe" -runfromtemp -l0x0409 -removeonly Samsung Update Plus-->MsiExec.exe /X{A5F483F0-2D79-4FCA-AE09-D0D96E23EBF7} Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D} Sony Ericsson PC Suite 4.010.00-->C:\Program Files\InstallShield Installation Information\{2FFE93F0-BB72-4E52-8761-354D1AAA9387}\ISAdmin.exe -runfromtemp -l0x0007 -removeonly Switch Sound File Converter-->C:\Program Files\NCH Swift Sound\Switch\uninst.exe Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe" Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)-->MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F} Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update for Office 2007 (KB934528)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {2B939677-2FFD-48F6-9075-7BF48CB87C80} Update for Office System 2007 Setup (KB929722)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {D8E9BEBD-655F-467D-8176-CA9959C140A3} Update Service-->C:\Program Files\Sony Ericsson\Update Service\uninst.exe User Guide-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\setup.exe" -l0x9 Remove VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Videora Xbox 360 Converter 4.08-->C:\Program Files\Red Kawa\Video Converter App\uninstaller.exe Videora Xbox360 Converter 0.81-->C:\Program Files\VideoraXbox360Converter\uninst.exe WIDCOMM Bluetooth Software 6.0.1.5500-->MsiExec.exe /X{03D1988F-469F-4843-8E6E-E5FE9D17889D} Winamp Remote-->"C:\Program Files\Winamp Remote\uninstall.exe" Winamp Toolbar for Firefox-->"C:\Users\Rochaz\AppData\Roaming\Mozilla\Firefox\Profiles\k3t36ibu.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe" Winamp Toolbar for Internet Explorer-->"C:\Program Files\Winamp Toolbar\uninstall.exe" Winamp-->"C:\Program Files\Winamp\UninstWA.exe" Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4} WinZip 12.1-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B8} WISO Sparbuch 2009-->C:\Program Files\InstallShield Installation Information\{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}\Setup.exe -runfromtemp -l0x0007 -removeonly YouTube Downloader App 1.03-->C:\Program Files\Regensoft\Downloader App\uninstaller.exe |
Hier der Rest: ======Security center information====== AS: Spyware Doctor AS: Windows-Defender ======System event log====== Computer Name: XXX Event Code: 7036 Message: Dienst "Windows Installer" befindet sich jetzt im Status "Ausgeführt". Record Number: 142208 Source Name: Service Control Manager Time Written: 20090902174458.000000-000 Event Type: Informationen User: Computer Name: XXX Event Code: 7040 Message: Der Starttyp des Diensts "Microsoft .NET Framework NGEN v2.0.50727_X86" wurde von Manuell starten in Automatisch starten geändert. Record Number: 142209 Source Name: Service Control Manager Time Written: 20090902174511.000000-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: XXX Event Code: 7036 Message: Dienst "Microsoft .NET Framework NGEN v2.0.50727_X86" befindet sich jetzt im Status "Ausgeführt". Record Number: 142210 Source Name: Service Control Manager Time Written: 20090902174512.000000-000 Event Type: Informationen User: Computer Name: XXX Event Code: 19 Message: Installation erfolgreich: Das folgende Update wurde installiert. Update für .NET Framework 3.5 Service Pack 1 für .NET Framework Assistant 1.0 x86 (KB963707) Record Number: 142211 Source Name: Microsoft-Windows-WindowsUpdateClient Time Written: 20090902174525.698730-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: XXX Event Code: 7036 Message: Dienst "Volumeschattenkopie" befindet sich jetzt im Status "Beendet". Record Number: 142212 Source Name: Service Control Manager Time Written: 20090902174804.000000-000 Event Type: Informationen User: =====Application event log===== Computer Name: XXX Event Code: 10001 Message: Sitzung wird beendet: 1. 2009-09-02T17:44:59.402Z wird gestartet. Record Number: 45845 Source Name: Microsoft-Windows-RestartManager Time Written: 20090902174512.920730-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: XXX Event Code: 1001 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help". Record Number: 45846 Source Name: Microsoft-Windows-LoadPerf Time Written: 20090902174605.000000-000 Event Type: Informationen User: Computer Name: XXX Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind. Record Number: 45847 Source Name: Microsoft-Windows-LoadPerf Time Written: 20090902174605.000000-000 Event Type: Informationen User: Computer Name: XXX Event Code: 8224 Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren. Record Number: 45848 Source Name: VSS Time Written: 20090902174803.000000-000 Event Type: Informationen User: Computer Name: XXX Event Code: 5 Message: Unsupported service control request (see data below) Record Number: 45849 Source Name: LightScribeService Time Written: 20090902175001.000000-000 Event Type: Informationen User: =====Security event log===== Computer Name: XXX Event Code: 4648 Message: Anmeldeversuch mit expliziten Anmeldeinformationen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: ROCHAZ-PC$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Konto, dessen Anmeldeinformationen verwendet wurden: Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Zielserver: Zielservername: localhost Weitere Informationen: localhost Prozessinformationen: Prozess-ID: 0x280 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Netzwerkadresse: - Port: - Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird. Record Number: 43478 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090902174452.513730-000 Event Type: Überwachung erfolgreich User: Computer Name: XXX Event Code: 4624 Message: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: ROCHAZ-PC$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x280 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Record Number: 43479 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090902174452.513730-000 Event Type: Überwachung erfolgreich User: Computer Name: XXX Event Code: 4672 Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Record Number: 43480 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090902174452.513730-000 Event Type: Überwachung erfolgreich User: Computer Name: XXX Event Code: 4904 Message: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: XXX Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x175c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x19b69f Record Number: 43481 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090902174501.858730-000 Event Type: Überwachung erfolgreich User: Computer Name: XXX Event Code: 4905 Message: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: XXX Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x175c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x19b69f Record Number: 43482 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090902174501.859730-000 Event Type: Überwachung erfolgreich User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft SQL Server\90\Tools\binn\;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Common Files\DivX Shared\ "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel "PROCESSOR_REVISION"=0f0d "NUMBER_OF_PROCESSORS"=2 "CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- |
Und hier das Logfile: Logfile of random's system information tool 1.06 (written by random/random) Run by Rochaz at 2009-09-02 19:49:52 Microsoft® Windows Vista™ Home Premium Service Pack 1 System drive C: has 37 GB (37%) free of 102 GB Total RAM: 3070 MB (61% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:49:59, on 02.09.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Windows\system32\taskeng.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\System32\wpcumi.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Windows\ehome\ehtray.exe C:\Windows\System32\rundll32.exe C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe c:\program files\winamp toolbar\WinampTbServer.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\Rochaz\Desktop\RSIT.exe C:\Program Files\Trend Micro\HijackThis\Rochaz.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll O1 - Hosts: ::1 localhost O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL (file missing) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing) O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: (no name) - {8a194578-81ea-4850-9911-13ba2d71efbd} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL (file missing) O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Save YouTube Video - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O13 - Gopher Prefix: O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe -- End of file - 9914 bytes ======Scheduled tasks folder====== C:\Windows\tasks\Google Software Updater.job C:\Windows\tasks\SupBackGroundTask.job C:\Windows\tasks\User_Feed_Synchronization-{C6E69F85-9748-4386-A602-DF406EB8586C}.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{014DA6C1-189F-421a-88CD-07CFE51CFF10}] My Search BHO - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] AskBar BHO - C:\Program Files\AskBarDis\bar\bin\askBar.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] Winamp Toolbar Loader - C:\Program Files\Winamp Toolbar\winamptb.dll [2008-07-16 1266992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8a194578-81ea-4850-9911-13ba2d71efbd} ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll [2009-06-12 259696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll [2009-06-23 669168] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}] PDFCreator Toolbar Helper - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-09-21 806912] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}] Google Dictionary Compression sdch - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll [2009-04-30 470512] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Winamp Toolbar - C:\Program Files\Winamp Toolbar\winamptb.dll [2008-07-16 1266992] {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - PDFCreator Toolbar - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-09-21 806912] {014DA6C9-189F-421a-88CD-07CFE51CFF10} - My Search Bar - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL [] {3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Program Files\AskBarDis\bar\bin\askBar.dll [] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll [2009-06-12 259696] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184] "RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-09-13 4702208] "SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2007-03-24 857648] "LanguageShortcut"=C:\Program Files\CyberLink\PowerDVD\Language\Language.exe [2007-01-08 52256] "NvSvc"=C:\Windows\system32\nvsvc.dll [2007-10-24 86016] "NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2007-10-24 8501792] "NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2007-10-24 81920] "QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2008-09-06 413696] "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792] "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888] "WPCUMI"=C:\Windows\system32\WpcUmi.exe [2006-11-02 176128] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "LightScribe Control Panel"=C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe [2007-07-18 451872] "swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-08-25 39408] "ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952] "Sony Ericsson PC Suite"=C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [2008-07-02 397312] "WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb] C:\Program Files\Winamp Remote\bin\OrbTray.exe [2008-04-01 507904] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2007-01-08 68640] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2008-08-25 185632] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe [2008-08-04 36352] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe WISO Mein Sparbuch heute.lnk - C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe C:\Users\Rochaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "LogonHoursAction"=2 "DontDisplayLogonHoursWarnings"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{534b59fa-8029-11dd-97d0-0013776f1d90}] shell\AutoRun\command - F:\setupSNK.exe |
Und der Rest: ======File associations====== .js - edit - C:\Windows\System32\Notepad.exe %1 .js - open - C:\Windows\System32\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2009-09-02 19:49:52 ----D---- C:\rsit 2009-09-01 16:41:29 ----D---- C:\Avenger 2009-09-01 16:41:29 ----A---- C:\avenger.txt 2009-09-01 05:39:44 ----D---- C:\Program Files\Trend Micro 2009-08-31 22:14:22 ----AD---- C:\Windows\system32\runouce.exe 2009-08-31 22:11:42 ----A---- C:\Windows\system32\msvcr80.dll 2009-08-31 22:11:41 ----A---- C:\Windows\system32\msvcp80.dll 2009-08-31 22:11:40 ----A---- C:\Windows\system32\eEmpty.exe 2009-08-31 22:11:38 ----D---- C:\Program Files\Common Files\MicroWorld 2009-08-31 22:11:36 ----D---- C:\ProgramData\MicroWorld 2009-08-27 17:09:51 ----A---- C:\Windows\system32\tzres.dll 2009-08-13 16:09:54 ----A---- C:\Windows\system32\atl.dll 2009-08-13 16:09:51 ----A---- C:\Windows\system32\wkssvc.dll 2009-08-13 16:09:49 ----A---- C:\Windows\system32\mstscax.dll 2009-08-13 16:09:46 ----A---- C:\Windows\system32\avifil32.dll 2009-08-13 16:09:38 ----A---- C:\Windows\system32\wmp.dll 2009-08-13 16:09:37 ----A---- C:\Windows\system32\wmpdxm.dll 2009-08-13 16:09:37 ----A---- C:\Windows\system32\spwmp.dll 2009-08-13 16:09:36 ----A---- C:\Windows\system32\dxmasf.dll 2009-08-13 16:09:35 ----A---- C:\Windows\system32\wmploc.DLL 2009-08-09 11:21:32 ----D---- C:\Program Files\Regensoft 2009-08-09 11:21:29 ----D---- C:\Program Files\Red Kawa 2009-08-09 11:16:06 ----D---- C:\Program Files\VideoraXbox360Converter ======List of files/folders modified in the last 1 months====== 2009-09-02 19:49:54 ----D---- C:\Windows\Temp 2009-09-02 19:46:05 ----D---- C:\Windows\System32 2009-09-02 19:46:05 ----D---- C:\Windows\inf 2009-09-02 19:46:05 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-09-02 19:45:20 ----D---- C:\Windows\Microsoft.NET 2009-09-02 19:45:12 ----SHD---- C:\Windows\Installer 2009-09-02 19:44:36 ----SHD---- C:\System Volume Information 2009-09-02 19:42:57 ----D---- C:\Windows\Tasks 2009-09-02 19:42:53 ----D---- C:\ProgramData\Google Updater 2009-09-01 16:53:25 ----SD---- C:\Users\Rochaz\AppData\Roaming\Microsoft 2009-09-01 16:41:30 ----RD---- C:\Program Files 2009-09-01 16:41:29 ----D---- C:\Windows\system32\drivers 2009-08-31 22:11:57 ----D---- C:\Windows 2009-08-31 22:11:38 ----D---- C:\Program Files\Common Files 2009-08-31 22:11:36 ----HD---- C:\ProgramData 2009-08-31 15:36:52 ----D---- C:\Windows\Prefetch 2009-08-30 00:50:58 ----D---- C:\Users\Rochaz\AppData\Roaming\Adobe 2009-08-30 00:50:58 ----D---- C:\ProgramData\Adobe 2009-08-27 17:23:01 ----D---- C:\Windows\rescache 2009-08-27 17:11:11 ----D---- C:\Windows\winsxs 2009-08-27 17:11:10 ----D---- C:\Windows\system32\de-DE 2009-08-27 17:10:57 ----D---- C:\Windows\system32\catroot 2009-08-26 22:53:10 ----D---- C:\Users\Rochaz\AppData\Roaming\Skype 2009-08-26 17:30:29 ----D---- C:\Windows\system32\catroot2 2009-08-22 17:31:44 ----D---- C:\Program Files\Common Files\DVDVideoSoft 2009-08-22 17:31:13 ----D---- C:\Program Files\DVDVideoSoft 2009-08-14 22:38:03 ----D---- C:\Program Files\Windows Media Player 2009-08-09 19:20:31 ----D---- C:\Program Files\Mozilla Firefox 2009-08-09 11:16:11 ----D---- C:\Program Files\AviSynth 2.5 ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-08-05 55656] R2 KMDFMEMIO;SAMSUNG Kernel Driver; C:\Windows\system32\DRIVERS\kmdfmemio.sys [2006-11-14 13312] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-09-14 1961120] R3 NETw4v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-06-20 2222080] R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2007-10-24 7629664] R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-03-24 182584] R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-19 134016] R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-19 11264] R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller; C:\Windows\system32\DRIVERS\yk60x86.sys [2007-05-03 245248] S3 ADDMEM;ADDMEM; \??\C:\Users\Rochaz\AppData\Local\Temp\__Samsung_Update\ADDMEM.SYS [] S3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2006-11-29 1161888] S3 ASPI;Advanced SCSI Programming Interface Driver; \??\C:\Windows\System32\DRIVERS\ASPI32.sys [2002-07-17 84832] S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\Windows\system32\DRIVERS\BthEnum.sys [2007-12-29 19456] S3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2006-11-02 92160] S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2007-12-29 220160] S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2007-12-29 29184] S3 btwaudio;Bluetooth-Audiogerät; C:\Windows\system32\drivers\btwaudio.sys [2007-09-05 80424] S3 btwavdt;Bluetooth AVDT; C:\Windows\system32\drivers\btwavdt.sys [2007-07-16 80936] S3 btwrchid;btwrchid; C:\Windows\system32\DRIVERS\btwrchid.sys [2007-07-16 16168] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632] S3 ggflt;SEMC USB Flash Driver Filter; C:\Windows\system32\DRIVERS\ggflt.sys [2009-05-19 13224] S3 ggsemc;SEMC USB Flash Driver; C:\Windows\system32\DRIVERS\ggsemc.sys [2009-05-19 24616] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016] S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista; C:\Windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184] S3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 2028032] S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2006-11-02 49664] S3 RTL8023xp;Realtek 10/100 NIC Family NDIS x86 Driver; C:\Windows\system32\DRIVERS\Rtnicxp.sys [2006-11-02 47104] S3 s0017bus;Sony Ericsson Device 0017 driver (WDM); C:\Windows\system32\DRIVERS\s0017bus.sys [2008-05-27 90536] S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter; C:\Windows\system32\DRIVERS\s0017mdfl.sys [2008-05-27 15016] S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver; C:\Windows\system32\DRIVERS\s0017mdm.sys [2008-05-27 122152] S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM); C:\Windows\system32\DRIVERS\s0017mgmt.sys [2008-05-27 115496] S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS); C:\Windows\system32\DRIVERS\s0017nd5.sys [2008-05-27 25768] S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface; C:\Windows\system32\DRIVERS\s0017obex.sys [2008-05-27 111912] S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM); C:\Windows\system32\DRIVERS\s0017unic.sys [2008-05-27 117672] S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM); C:\Windows\system32\DRIVERS\ssm_bus.sys [2005-08-30 58320] S3 UMPass;Microsoft UMPass-tREIBER; C:\Windows\system32\DRIVERS\umpass.sys [2008-01-19 7680] S3 USB28xxBGA;Cinergy Hybrid T USB XS FM Capture service; C:\Windows\system32\DRIVERS\emBDA.sys [2008-07-02 544416] S3 USB28xxOEM;Cinergy Hybrid T USB XS FM OEM service; C:\Windows\system32\DRIVERS\emOEM.sys [2008-07-02 321056] S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-19 73088] S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328] S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-19 39936] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328] S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2006-11-02 82432] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089] R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-19 21504] R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-07-25 79136] R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336] R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ); C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976] R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2006-12-20 272024] S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280] S3 Adobe LM Service;Adobe LM Service; C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe [2008-09-03 68096] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-27 34312] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 SQLWriter;SQL Server VSS Writer; C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2006-04-14 87840] S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-13 45272] S4 SQLBrowser;SQL Server-Browser; C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2006-04-14 240416] -----------------EOF----------------- |
Hi Chris, hier nun noch das GMER log: GMER 1.0.15.15077 [c8yf64ke.exe] - http://www.gmer.net Rootkit scan 2009-09-02 20:50:03 Windows 6.0.6001 Service Pack 1 ---- System - GMER 1.0.15 ---- SSDT 9F12A7D4 ZwCreateThread SSDT 9F12A7C0 ZwOpenProcess SSDT 9F12A7C5 ZwOpenThread SSDT 9F12A7CF ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!KeInsertQueue + 411 824A3A08 4 Bytes [D4, A7, 12, 9F] .text ntoskrnl.exe!KeInsertQueue + 5E1 824A3BD8 4 Bytes [C0, A7, 12, 9F] .text ntoskrnl.exe!KeInsertQueue + 5FD 824A3BF4 4 Bytes [C5, A7, 12, 9F] .text ntoskrnl.exe!KeInsertQueue + 811 824A3E08 4 Bytes [CF, A7, 12, 9F] ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHELL32.dll [USER32.dll!SetWindowLongA] [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHELL32.dll [USER32.dll!AdjustWindowRectEx] [1002DE60] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHELL32.dll [USER32.dll!AdjustWindowRect] [1002DED0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!SetWindowLongA] [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WININET.dll [USER32.dll!SetWindowLongA] [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW] [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW] [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SAMLIB.dll [KERNEL32.dll!LoadLibraryA] [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) IAT C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3676] @ C:\Windows\system32\SAMLIB.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9ed112e Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9f60035 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001dd9ed112e (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001dd9f60035 (not active ControlSet) Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler@Heartbeat 0x27 0x01 0x49 0xD8 ... ---- EOF - GMER 1.0.15 ---- Vielen Dank für deine Hilfe. LG, Sanny |
Hi, gibt alles nicht viel her, zwei Files müssen überprüft werden: Dateien Online überprüfen lassen:
Code: C:\Windows\system32\runouce.exe
Die Einträge der askbar sind noch da, hast Du wie angegeben mit HJ gefixt? Hmm, so kommen wir nicht weiter, probieren wir mal was anderes: System Reparieren: Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Danach dann noch Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Hey Chris, hier Virustotal: Datei eEmpty.exe empfangen 2009.09.03 15:43:53 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.03 - AhnLab-V3 5.0.0.2 2009.09.03 - AntiVir 7.9.1.7 2009.09.03 - Antiy-AVL 2.0.3.7 2009.09.03 - Authentium 5.1.2.4 2009.09.03 - Avast 4.8.1335.0 2009.09.03 - AVG 8.5.0.409 2009.09.03 - BitDefender 7.2 2009.09.03 - CAT-QuickHeal 10.00 2009.09.02 - ClamAV 0.94.1 2009.09.03 - Comodo 2194 2009.09.03 - DrWeb 5.0.0.12182 2009.09.03 - eSafe 7.0.17.0 2009.09.03 - eTrust-Vet 31.6.6718 2009.09.03 - F-Prot 4.5.1.85 2009.09.03 - F-Secure 8.0.14470.0 2009.09.03 - Fortinet 3.120.0.0 2009.09.03 - GData 19 2009.09.03 - Ikarus T3.1.1.68.0 2009.09.03 - Jiangmin 11.0.800 2009.09.03 - K7AntiVirus 7.10.835 2009.09.03 - Kaspersky 7.0.0.125 2009.09.03 - McAfee 5730 2009.09.03 - McAfee+Artemis 5730 2009.09.03 - McAfee-GW-Edition 6.8.5 2009.09.03 - Microsoft 1.5005 2009.09.03 - NOD32 4392 2009.09.03 - Norman 6.01.09 2009.09.02 - nProtect 2009.1.8.0 2009.09.03 - Panda 10.0.2.2 2009.09.03 - PCTools 4.4.2.0 2009.09.03 - Prevx 3.0 2009.09.03 - Rising 21.45.14.00 2009.09.01 - Sophos 4.45.0 2009.09.03 - Sunbelt 3.2.1858.2 2009.09.02 - Symantec 1.4.4.12 2009.09.03 - TheHacker 6.3.4.3.396 2009.09.03 - TrendMicro 8.950.0.1094 2009.09.03 - VBA32 3.12.10.10 2009.09.03 - ViRobot 2009.9.3.1916 2009.09.03 - VirusBuster 4.6.5.0 2009.09.03 - weitere Informationen File size: 34048 bytes MD5...: 38f07d89c0dcb4826f508b78087215d8 SHA1..: 45d01e97c1695fc18fd46598ca1444ddaa6f43b3 SHA256: d23863c0dac5de53fbd1d11a0e2721c175663669b74a3f0f8a459f7a13914b22 ssdeep: 384:W40MvVx9fzmlXUBWEYHyyBYrh6oZqWtR1YJLWQGHbU:7fXKTHyY+h6oneL0H bU PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1010 timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84 .rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0 .data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4 .rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4 ( 1 imports ) > KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) C:\Windows\system32\runouce.exe ist ein leerer Ordner und lässt sich daher bei Virustotal nicht scannen. Die askbar hab ich wie angegeben gefixt. Windowscare ist durchgeführt. Da ich das Ergebnis des Prevx nicht reinkopieren konnte, hab ich es dir mal abgetippt. Pdfcreator_toolbar.dll in c:\program files\pdfcreator toolbar\... \REGISTRY\Machine\Software\Classes\CLSID\{31CF9EBE-5… Dvd shrink 3.2 de (decss-frei).exe in c:\programm files\dvd sh DVD Shrink 3.2 deutsch (DeCSS-frei).ink in \??\C:\ProgramD So, dann bin ich mal gespannt, was du mir als nächstes aufträgst. Nochmal tausend Dank. LG Sanny |
Hi, nichts zu Danken, noch haben wir nichts gefunden... Lass bitte mal die Datei Pdfcreator_toolbar.dll bei virustotal.com prüfen, DVD-Shrink hast Du wahrscheinlich von der Computerbild (halte ich für einen Fehlalarm, kannst die Exe aber auch mal prüfen lassen)... Rootkit denke ich ist es keins... Hmm, lassen wir mal Kapi suchen: Kaskpersky OnlineScanner http://www.kaspersky.com/de/virusscanner Einen Hardwaredefekt kannst Du ausschließen, ebenso ein Einstellungsproblem? chris |
Hey Chris, okay, hab die Datei checken lassen. Hier der Bericht von Virustotal: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.03 - AhnLab-V3 5.0.0.2 2009.09.03 - AntiVir 7.9.1.8 2009.09.03 - Antiy-AVL 2.0.3.7 2009.09.03 - Authentium 5.1.2.4 2009.09.03 - Avast 4.8.1335.0 2009.09.03 - AVG 8.5.0.409 2009.09.03 - BitDefender 7.2 2009.09.03 - CAT-QuickHeal 10.00 2009.09.02 Trojan.Agent.ATV ClamAV 0.94.1 2009.09.03 - Comodo 2196 2009.09.03 - DrWeb 5.0.0.12182 2009.09.03 - eSafe 7.0.17.0 2009.09.03 - eTrust-Vet 31.6.6718 2009.09.03 - F-Prot 4.5.1.85 2009.09.03 - F-Secure 8.0.14470.0 2009.09.03 - Fortinet 3.120.0.0 2009.09.03 - GData 19 2009.09.03 - Ikarus T3.1.1.72.0 2009.09.03 - Jiangmin 11.0.800 2009.09.03 - K7AntiVirus 7.10.835 2009.09.03 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.09.03 - McAfee 5730 2009.09.03 - McAfee+Artemis 5730 2009.09.03 - McAfee-GW-Edition 6.8.5 2009.09.03 Heuristic.LooksLike.Ad-Spyware.Burnfree.K Microsoft 1.5005 2009.09.03 - NOD32 4392 2009.09.03 - Norman 6.01.09 2009.09.03 - nProtect 2009.1.8.0 2009.09.03 - Panda 10.0.2.2 2009.09.03 - PCTools 4.4.2.0 2009.09.03 - Prevx 3.0 2009.09.03 - Rising 21.45.14.00 2009.09.01 - Sophos 4.45.0 2009.09.03 - Sunbelt 3.2.1858.2 2009.09.03 - Symantec 1.4.4.12 2009.09.03 - TheHacker 6.3.4.3.396 2009.09.03 - TrendMicro 8.950.0.1094 2009.09.03 - VBA32 3.12.10.10 2009.09.03 - ViRobot 2009.9.3.1916 2009.09.03 - VirusBuster 4.6.5.0 2009.09.03 - weitere Informationen File size: 806912 bytes MD5...: d2b4a3c726bbb6625a6949ee8a3381f8 SHA1..: 956d129ecc58f059cf4b958b18560db60b08d643 SHA256: 0b2ccbc41442daa8554d1a3e638b6214b8f4117efe07c556c2629482f8d6b502 ssdeep: 12288:aKJGD91Y+oskxcegrSeRfglwxr+OhlKDlrgH8QkkQ7:aGGjYX7crFgLOhM Jrefk PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x551f6 timedatestamp.....: 0x489d4d02 (Sat Aug 09 07:53:38 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x6d60a 0x6e000 6.67 eed3597799ac2517b53e9cac913ba314 .rdata 0x6f000 0x1afe6 0x1b000 5.17 00a3cfbcc4a7827f8ad6969c672296f8 .data 0x8a000 0x1c0c8 0x7000 4.84 3ea4e14647f2ebbc3b12bed74993e319 .SHARED 0xa7000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0xa8000 0x26bb0 0x27000 7.82 4698e42e82a5616fe074c323cdd5e00f .reloc 0xcf000 0xbbac 0xc000 5.87 50361b4aea1957ce4755d33e17ec296d ( 13 imports ) > WININET.dll: InternetOpenUrlA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetOpenA, InternetCloseHandle, HttpQueryInfoA, InternetQueryDataAvailable, InternetReadFile, InternetCrackUrlA, InternetGetConnectedState, InternetCanonicalizeUrlA, InternetCreateUrlA > KERNEL32.dll: WaitForSingleObject, CreateProcessA, IsBadWritePtr, GetTickCount, MultiByteToWideChar, SizeofResource, LockResource, LoadResource, SetEnvironmentVariableA, SetEndOfFile, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetFilePointer, FlushFileBuffers, GetConsoleMode, GetConsoleCP, GetStringTypeW, GetStringTypeA, GetCurrentProcessId, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, LCMapStringA, ExitProcess, HeapCreate, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStdHandle, IsValidCodePage, GetOEMCP, GetCPInfo, GetTimeZoneInformation, GetSystemTimeAsFileTime, VirtualQuery, GetSystemInfo, VirtualProtect, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, RtlUnwind, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, GetProcessHeap, HeapSize, HeapReAlloc, HeapFree, HeapAlloc, HeapDestroy, GetThreadLocale, GetLocaleInfoA, GetACP, ExpandEnvironmentStringsA, SetFileAttributesA, IsDBCSLeadByteEx, GetSystemDirectoryA, GetVolumeInformationA, CreateThread, GetExitCodeProcess, WriteFile, ResetEvent, GetFileSize, ReadFile, GetWindowsDirectoryA, GetFileAttributesA, CreateFileA, CreateDirectoryA, ReleaseMutex, GetVersionExA, FindResourceA, FindResourceExA, WideCharToMultiByte, EnterCriticalSection, LeaveCriticalSection, lstrlenA, FormatMessageA, GetModuleFileNameA, GetModuleHandleA, GetModuleHandleW, GetUserDefaultLangID, GetSystemDefaultLangID, Sleep, CreateMutexA, CloseHandle, CompareStringW, CompareStringA, InterlockedExchange, GlobalHandle, GlobalFree, GlobalLock, GlobalUnlock, MulDiv, lstrcmpA, GlobalAlloc, InterlockedCompareExchange, DisableThreadLibraryCalls, FreeLibrary, IsDBCSLeadByte, InterlockedDecrement, InterlockedIncrement, LoadLibraryExA, lstrcmpiA, DeleteCriticalSection, InitializeCriticalSection, LoadLibraryA, lstrlenW, GetCommandLineA, GetDateFormatA, GetTimeFormatA, CreateEventA, GetProcAddress, GetFileAttributesW, LocalAlloc, GetVersion, RaiseException, FlushInstructionCache, GetCurrentProcess, LoadLibraryW, GetLastError, SetLastError, GetModuleFileNameW, SetEvent, DeleteFileA, GetCurrentThreadId, OutputDebugStringA > USER32.dll: LoadMenuA, InsertMenuItemA, SetMenuItemInfoA, LoadImageA, MessageBoxA, GetWindowLongA, GetParent, GetDlgItem, SetWindowPos, MapWindowPoints, GetClientRect, UnregisterClassA, SetWindowPlacement, FindWindowExA, EnableMenuItem, CheckMenuItem, GetMenuItemInfoA, RemoveMenu, GetMenuItemCount, DestroyMenu, CreatePopupMenu, TrackPopupMenu, GetCursorPos, DrawTextA, DrawStateA, AnimateWindow, MonitorFromPoint, MonitorFromWindow, GetMonitorInfoA, GetAncestor, CopyIcon, DestroyIcon, OffsetRect, PostMessageA, RegisterWindowMessageA, CreateAcceleratorTableA, DestroyAcceleratorTable, BeginPaint, EndPaint, ReleaseCapture, SetCapture, CreateDialogParamA, InvalidateRgn, GetSysColor, SetWindowContextHelpId, MapDialogRect, EndDialog, GetDC, GetSystemMetrics, DialogBoxIndirectParamA, SetFocus, InvalidateRect, GetWindowTextLengthA, GetWindowTextA, GetComboBoxInfo, FillRect, IsChild, GetForegroundWindow, ShowWindow, CharNextA, SetWindowsHookExA, GetFocus, CallNextHookEx, GetClassNameA, UnhookWindowsHookEx, EndMenu, MoveWindow, GetKeyState, ReleaseDC, GetWindowDC, ScreenToClient, ClientToScreen, GetMessageA, IsDialogMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, SetActiveWindow, GetDesktopWindow, IsWindowEnabled, EnableWindow, SendMessageA, IsWindow, IsWindowVisible, CallWindowProcA, DefWindowProcA, CreateWindowExA, GetClassInfoExA, RegisterClassExA, DestroyWindow, LoadCursorA, KillTimer, SetTimer, SetWindowLongA, LoadStringA, SetWindowTextA, GetWindow, GetWindowRect, SystemParametersInfoA, GetWindowPlacement, IsIconic, DrawFrameControl, UpdateWindow, SetWindowRgn, IsRectEmpty, PtInRect, SetRectEmpty, CopyRect, InflateRect, DrawIconEx, SetCursor, GetCapture, UnionRect, DialogBoxParamA, RedrawWindow > GDI32.dll: LPtoDP, DPtoLP, StretchBlt, OffsetRgn, CombineRgn, CreateRoundRectRgn, CreatePolygonRgn, GetClipBox, CreateRectRgn, SetStretchBltMode, SetWindowOrgEx, FrameRgn, GetViewportOrgEx, SetViewportOrgEx, ExcludeClipRect, EqualRgn, GetTextExtentPoint32A, RestoreDC, SaveDC, Polygon, CreatePen, SetTextColor, ExtTextOutA, GetPixel, GetTextColor, CreateFontIndirectA, GetStockObject, GetObjectA, GetDeviceCaps, BitBlt, CreateCompatibleDC, CreateCompatibleBitmap, SetBrushOrgEx, SetBkMode, SetBkColor, SelectObject, DeleteObject, CreatePatternBrush, CreateSolidBrush, GetTextMetricsA, DeleteDC > ADVAPI32.dll: RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA, RegDeleteKeyA, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegEnumKeyExA, RegEnumValueA, OpenProcessToken, GetTokenInformation, LookupAccountSidA, RegCloseKey > SHELL32.dll: SHGetSpecialFolderPathA, ShellExecuteA > ole32.dll: CLSIDFromProgID, CoTaskMemFree, ProgIDFromCLSID, StringFromCLSID, CoLoadLibrary, CoFreeUnusedLibraries, RegisterDragDrop, OleUninitialize, OleInitialize, ReleaseStgMedium, CreateStreamOnHGlobal, CLSIDFromString, OleLockRunning, CoGetClassObject, CoUninitialize, CoInitialize, OleDraw, RevokeDragDrop, StringFromGUID2, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > SHLWAPI.dll: UrlUnescapeA, PathFileExistsA, StrStrIW, StrStrW, PathRemoveFileSpecA, PathRemoveBackslashA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, ImageList_Create, ImageList_GetIconSize, ImageList_SetBkColor, ImageList_Draw > MSIMG32.dll: TransparentBlt > snmpapi.dll: SnmpUtilOidNCmp, SnmpUtilOidCpy, SnmpUtilVarBindFree > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer RDS...: NSRL Reference Data Set - pdfid.: - trid..: DirectShow filter (43.0%) Windows OCX File (26.3%) Win64 Executable Generic (18.2%) Win32 Executable MS Visual C++ (generic) (8.0%) Win32 Executable Generic (1.8%) Ich lass jetzt auch noch Kaspersky durchlaufen. LG Sanny P.S.: Ich denke nicht, dass es ein HArdwaredefekt ist. Denn er macht das nur im Explorer und in Windows Mail, aber nicht z.B. im IE |
Hi, es gibt ein paar Explorereinstellungen... muss mal googlen... Pdfcreator_toolbar.dll könnte ein Fehalarm sein, hänge einfach mal ein .vir hinten dran... würde sie nicht löschen! chris |
Hi Chris, Kasperski hat nichts gefunden. Hast du noch ne Idee oder muss ich wirklich alles platt machen und neu aufspielen? LG Sanny |
Hi, nein, so richtig fällt mir nichts mehr ein... Wie verhält es sich wenn Du in den abgesicherten Modus bootest (F8 beim Booten drücken)...? chris |
Hi Chris, im abgesicherten Modus tritt das Problem genauso auf. LG Sanny |
Hi, ich bin noch mal alles durchgegangen, folgendes fällt auf: F:\setupSNK.exe als mountpoint (wird bei jedem Start vom Explorer ausgeführt), kennst Du das (es gibt einen gleichnamingen Malwaredownloader!) Du sagtest der Rechner verhält sich nach dem 31.08. so? Da wurde das hier installiert: 2009-08-31 22:14:22 ----AD---- C:\Windows\system32\runouce.exe 2009-08-31 22:11:42 ----A---- C:\Windows\system32\msvcr80.dll 2009-08-31 22:11:41 ----A---- C:\Windows\system32\msvcp80.dll 2009-08-31 22:11:40 ----A---- C:\Windows\system32\eEmpty.exe 2009-08-31 22:11:38 ----D---- C:\Program Files\Common Files\MicroWorld 2009-08-31 22:11:36 ----D---- C:\ProgramData\MicroWorld vorher das hier: 2009-08-27 17:09:51 ----A---- C:\Windows\system32\tzres.dll Ich finde keinen Zusammenhang zwischen Explorer und Mailprogramm... Habe mich auf die Addins konzentriert, aber die gelten für den Internet-Explorer.... MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Dann bleibt nur noch sehr tief zu graben und CF für erweiterte Logs loslassen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird chris |
Hi Chris, F:\setupSNK.exe sagt mir nichts. Ist auf jeden Fall nichts, was ich bewusst auf den Rechner gepackt hätte. Ich komm in cmd nicht rein (Problem mit dem Scrollen in Ausführen lässt mich cmd nicht eingeben). Ich starte jetzt mal CF und poste dann das Log. Vielleicht hilft das ja. LG Sanny |
Hi Chris, hier das Log von CF: ComboFix 09-09-05.03 - Rochaz 06.09.2009 15:10.1.2 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3070.2070 [GMT 2:00] ausgeführt von:: c:\users\Rochaz\Desktop\ComboFix.exe SP: Spyware Doctor *enabled* (Updated) {1C3EDD79-273E-46ac-99F8-EFA9E7CBC301} SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-1045108729-643306012-2644737314-500 c:\$recycle.bin\S-1-5-21-2052199247-1029025743-979323182-1008 c:\$recycle.bin\S-1-5-21-2052199247-1029025743-979323182-500 c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500 c:\$recycle.bin\S-1-5-21-562593655-1936356248-2708367035-500 . ((((((((((((((((((((((( Dateien erstellt von 2009-08-06 bis 2009-09-06 )))))))))))))))))))))))))))))) . 2009-09-06 13:18 . 2009-09-06 13:18 -------- d-----w- c:\users\Rochaz\AppData\Local\temp 2009-09-06 13:18 . 2009-09-06 13:18 -------- d-----w- c:\users\Mcx1\AppData\Local\temp 2009-09-06 13:18 . 2009-09-06 13:18 -------- d-----w- c:\users\Gast\AppData\Local\temp 2009-09-06 13:18 . 2009-09-06 13:18 -------- d-----w- c:\users\Default\AppData\Local\temp 2009-09-06 12:53 . 2009-09-06 12:53 71680 ----a-w- c:\users\Rochaz\mbr.exe 2009-09-03 16:00 . 2009-09-03 16:00 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys 2009-09-03 16:00 . 2009-09-03 16:00 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys 2009-09-03 16:00 . 2009-09-03 16:00 -------- d-----w- c:\program files\Prevx 2009-09-03 16:00 . 2009-09-03 16:12 -------- d-----w- c:\programdata\PrevxCSI 2009-09-03 15:50 . 2009-09-03 15:50 -------- d-----w- c:\users\Rochaz\AppData\Roaming\IObit 2009-09-03 15:50 . 2009-09-03 15:50 -------- d-----w- c:\program files\IObit 2009-09-02 17:49 . 2009-09-02 17:50 -------- d-----w- C:\rsit 2009-09-01 03:39 . 2009-09-01 03:39 -------- d-----w- c:\program files\Trend Micro 2009-08-31 20:14 . 2009-08-31 20:14 -------- d---a-w- c:\windows\system32\runouce.exe 2009-08-31 20:11 . 2009-08-31 20:11 632064 ----a-w- c:\windows\system32\msvcr80.dll 2009-08-31 20:11 . 2009-08-31 20:11 554240 ----a-w- c:\windows\system32\msvcp80.dll 2009-08-31 20:11 . 2009-08-31 20:11 34048 ----a-w- c:\windows\system32\eEmpty.exe 2009-08-31 20:11 . 2009-08-31 20:11 -------- d-----w- c:\program files\Common Files\MicroWorld 2009-08-31 20:11 . 2009-08-31 20:11 -------- d-----w- c:\programdata\MicroWorld 2009-08-27 15:09 . 2009-06-22 10:22 2048 ----a-w- c:\windows\system32\tzres.dll 2009-08-13 14:09 . 2009-07-17 14:35 71680 ----a-w- c:\windows\system32\atl.dll 2009-08-13 14:09 . 2009-06-10 12:12 160256 ----a-w- c:\windows\system32\wkssvc.dll 2009-08-13 14:09 . 2009-06-04 12:34 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-08-13 14:09 . 2009-06-10 12:07 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-08-13 14:09 . 2009-07-14 13:00 313344 ----a-w- c:\windows\system32\wmpdxm.dll 2009-08-13 14:09 . 2009-07-14 12:58 7680 ----a-w- c:\windows\system32\spwmp.dll 2009-08-13 14:09 . 2009-07-14 12:59 4096 ----a-w- c:\windows\system32\dxmasf.dll 2009-08-13 14:09 . 2009-07-14 10:59 8147456 ----a-w- c:\windows\system32\wmploc.DLL 2009-08-09 09:21 . 2009-08-09 09:21 -------- d-----w- c:\program files\Regensoft 2009-08-09 09:21 . 2009-08-09 09:21 -------- d-----w- c:\program files\Red Kawa 2009-08-09 09:16 . 2009-08-09 09:16 -------- d-----w- c:\program files\VideoraXbox360Converter . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-06 12:50 . 2007-12-29 00:37 721240 ----a-w- c:\windows\system32\perfh007.dat 2009-09-06 12:50 . 2007-12-29 00:37 165954 ----a-w- c:\windows\system32\perfc007.dat 2009-09-06 12:45 . 2008-08-25 14:48 -------- d-----w- c:\programdata\Google Updater 2009-09-05 07:20 . 2007-12-29 00:44 12 ----a-w- c:\windows\bthservsdp.dat 2009-08-31 13:32 . 2009-01-31 17:04 1036 ----a-w- c:\windows\system32\dmlg.dat 2009-08-30 09:14 . 2008-08-25 15:38 161534 ----a-w- c:\users\Rochaz\AppData\Roaming\nvModes.dat 2009-08-26 20:53 . 2008-08-25 14:38 -------- d-----w- c:\users\Rochaz\AppData\Roaming\Skype 2009-08-22 15:31 . 2008-08-25 16:00 -------- d-----w- c:\program files\Common Files\DVDVideoSoft 2009-08-22 15:31 . 2008-08-25 16:00 -------- d-----w- c:\program files\DVDVideoSoft 2009-08-09 09:16 . 2009-03-28 11:12 -------- d-----w- c:\program files\AviSynth 2.5 2009-08-05 16:03 . 2009-08-02 07:46 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-02 07:45 . 2009-08-02 07:45 -------- d-----w- c:\programdata\Avira 2009-08-02 07:45 . 2009-08-02 07:45 -------- d-----w- c:\program files\Avira 2009-07-24 10:58 . 2008-09-18 20:49 -------- d-----w- c:\program files\DivX 2009-07-24 10:58 . 2009-06-22 09:19 -------- d-----w- c:\program files\Common Files\DivX Shared 2009-07-23 14:27 . 2008-09-07 19:14 -------- d-----w- c:\programdata\WinZip 2009-07-21 21:52 . 2009-07-29 17:56 915456 ----a-w- c:\windows\system32\wininet.dll 2009-07-21 21:47 . 2009-07-29 17:56 109056 ----a-w- c:\windows\system32\iesysprep.dll 2009-07-21 21:47 . 2009-07-29 17:56 71680 ----a-w- c:\windows\system32\iesetup.dll 2009-07-21 20:13 . 2009-07-29 17:56 133632 ----a-w- c:\windows\system32\ieUnatt.exe 2009-07-10 17:34 . 2008-10-05 12:20 -------- d-----w- c:\users\Rochaz\AppData\Roaming\CyberLink 2009-07-10 17:34 . 2008-10-05 12:19 -------- d-----w- c:\programdata\CyberLink 2009-07-09 16:02 . 2009-07-09 16:02 -------- d-----w- c:\programdata\LightScribe 2009-06-15 15:24 . 2009-07-15 17:33 156672 ----a-w- c:\windows\system32\t2embed.dll 2009-06-15 15:20 . 2009-07-15 17:33 72704 ----a-w- c:\windows\system32\fontsub.dll 2009-06-15 15:20 . 2009-07-15 17:33 10240 ----a-w- c:\windows\system32\dciman32.dll 2009-06-15 12:52 . 2009-07-15 17:33 289792 ----a-w- c:\windows\system32\atmfd.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992] [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-25 39408] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] "Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-02 397312] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256] "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-10-24 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-24 8501792] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-24 81920] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "PrevxCSI"="c:\program files\Prevx\prevx.exe" [2009-09-03 4368952] "RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-09-13 4702208] c:\users\Rochaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-3 113664] BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592] WISO Mein Sparbuch heute.lnk - c:\program files\WISO\Sparbuch 2009\meinsparbuchheute.exe [2009-3-28 1140008] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux2"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{AEF93C65-FC34-47E6-96BA-E0C169B1E112}"= c:\program files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD "{04BF8A2F-A82D-4BE0-9FCD-D1FB0975C2E3}"= c:\program files\CyberLink\PowerDirector\PDR.EXE:CyberLink PowerDirector "{97EB91DD-CCE2-4859-A538-2639DD6C609D}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook "{53334C74-9363-42BA-98D4-430E840E77B4}"= c:\program files\Skype\Phone\Skype.exe:Skype "{FC1A1F5E-05DF-47E2-8F35-435B7ECD1EBE}"= UDP:c:\program files\Winamp Remote\bin\Orb.exe:Orb "{586995DA-0384-407A-86DD-5AF658175F63}"= TCP:c:\program files\Winamp Remote\bin\Orb.exe:Orb "{60FBA905-6121-46C9-A720-6460C235B9D4}"= UDP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray "{662063C3-73A7-4DD9-A0C2-C8F1FFB0DCCF}"= TCP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray "{498000F3-85E0-44E1-BD8B-D045A12C60EE}"= UDP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR "{8672D94A-A1A4-47C1-8944-ADF51EA2BA04}"= TCP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR "{C6213D55-4C24-4003-8221-FE970ABB1142}"= UDP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client "{A268D834-2DAF-4E71-96DE-3020252CE548}"= TCP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client "{701A6A5D-A6AD-4F14-A2AA-C1A45B7A8104}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{E5C946DF-B246-41AE-ACD6-404962EBAEC7}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "TCP Query User{EF8E3809-6CAE-4A63-8AE6-B53E00C72A34}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{B618C0F6-7DAA-48E5-9598-C9FA289A1DD0}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer "TCP Query User{96A9225B-B726-4CF3-AD1D-21CDD42AA796}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{30185E4C-C591-4C84-82E5-A49B74476257}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer "TCP Query User{50162B54-9FCA-4503-9CCD-2DFDA8810562}c:\\program files\\sony ericsson\\update service\\update service.exe"= UDP:c:\program files\sony ericsson\update service\update service.exe:Update Service "UDP Query User{D38AD71E-A266-47AC-9904-565B8231E62D}c:\\program files\\sony ericsson\\update service\\update service.exe"= TCP:c:\program files\sony ericsson\update service\update service.exe:Update Service "TCP Query User{6B1D7B07-637D-44D0-8AA9-7A8F7D3163C0}c:\\program files\\sony ericsson\\update service\\update service.exe"= UDP:c:\program files\sony ericsson\update service\update service.exe:Update Service "UDP Query User{9124504C-EEE2-43A6-A645-6B519B91446F}c:\\program files\\sony ericsson\\update service\\update service.exe"= TCP:c:\program files\sony ericsson\update service\update service.exe:Update Service "{7F77C7AD-2D3B-4DD9-918C-A7DC7464E58A}"= UDP:c:\program files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes "{44E4122A-E9D4-48DC-87D3-C42A8859A57C}"= TCP:c:\program files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes "{D1A4FF44-1F8E-44A1-96E8-309CFEABDCAC}"= UDP:c:\program files\THQ\Company of Heroes\RelicDownloader\RelicDownloader.exe:Relic Downloader "{2E4C8D6B-9DDA-43D9-8AF8-1D8CB4E00D64}"= TCP:c:\program files\THQ\Company of Heroes\RelicDownloader\RelicDownloader.exe:Relic Downloader "TCP Query User{20717E6E-BE72-475D-A87B-70D2B2910B44}c:\\users\\rochaz\\appdata\\local\\temp\\b7b0a308d77e444486ddba6b39773225\\relicdownloader.exe"= UDP:c:\users\rochaz\appdata\local\temp\b7b0a308d77e444486ddba6b39773225\relicdownloader.exe:relicdownloader.exe "UDP Query User{8A2DFB3E-A993-45ED-B34C-786BD9C3BDDD}c:\\users\\rochaz\\appdata\\local\\temp\\b7b0a308d77e444486ddba6b39773225\\relicdownloader.exe"= TCP:c:\users\rochaz\appdata\local\temp\b7b0a308d77e444486ddba6b39773225\relicdownloader.exe:relicdownloader.exe R0 pxscan;pxscan;c:\windows\System32\drivers\pxscan.sys [03.09.2009 18:00 22024] R0 pxsec;pxsec;c:\windows\System32\drivers\pxsec.sys [03.09.2009 18:00 27656] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [02.08.2009 09:46 108289] R2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\System32\drivers\KMDFMEMIO.sys [29.12.2007 02:57 13312] R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [14.04.2006 03:07 28933976] S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\drivers\ASPI32.SYS [07.10.2008 18:21 84832] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\System32\drivers\ggflt.sys [19.05.2009 16:49 13224] S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;c:\windows\System32\drivers\NETw2v32.sys [02.11.2006 12:25 2589184] S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\System32\drivers\s0017bus.sys [21.04.2009 17:07 90536] S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\System32\drivers\s0017mdfl.sys [21.04.2009 17:07 15016] S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\System32\drivers\s0017mdm.sys [21.04.2009 17:07 122152] S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\System32\drivers\s0017mgmt.sys [21.04.2009 17:07 115496] S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\System32\drivers\s0017nd5.sys [21.04.2009 17:07 25768] S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\System32\drivers\s0017obex.sys [21.04.2009 17:07 111912] S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\System32\drivers\s0017unic.sys [21.04.2009 17:07 117672] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - aujasnkj [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\program files\Common Files\LightScribe\LSRunOnce.exe" . Inhalt des "geplante Tasks" Ordners 2009-09-06 c:\windows\Tasks\AWC Startup.job - c:\program files\IObit\Advanced SystemCare 3\AWC.exe [2009-09-03 07:55] 2009-09-06 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-25 19:05] 2009-09-06 c:\windows\Tasks\SupBackGroundTask.job - c:\program files\Samsung\Samsung Update Plus\SUPBackGround.exe [2008-10-27 12:38] 2009-09-06 c:\windows\Tasks\User_Feed_Synchronization-{C6E69F85-9748-4386-A602-DF406EB8586C}.job - c:\windows\system32\msfeedssync.exe [2009-07-29 20:13] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file) Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file) WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: &Winamp Search - c:\programdata\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Save YouTube Video - c:\program files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm IE: Save YouTube Video as MP3 - c:\program files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm LSP: c:\windows\system32\wpclsp.dll FF - ProfilePath - c:\users\Rochaz\AppData\Roaming\Mozilla\Firefox\Profiles\k3t36ibu.default\ FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query= FF - prefs.js: browser.search.selectedEngine - Winamp Search FF - prefs.js: browser.startup.homepage - hxxp://www.winamp.com?src=toolbar FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query= FF - component: c:\program files\Common Files\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll FF - component: c:\users\Rochaz\AppData\Roaming\Mozilla\Firefox\Profiles\k3t36ibu.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-06 15:18 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice] @Denied: (2) (LocalSystem) "Progid"="FirefoxHTML" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice] @Denied: (2) (LocalSystem) "Progid"="FirefoxHTML" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice] @Denied: (2) (LocalSystem) "Progid"="FirefoxHTML" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice] @Denied: (2) (LocalSystem) "Progid"="FirefoxHTML" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice] @Denied: (2) (LocalSystem) "Progid"="FirefoxHTML" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'Explorer.exe'(1112) c:\windows\system32\btmmhook.dll . Zeit der Fertigstellung: 2009-09-06 15:21 ComboFix-quarantined-files.txt 2009-09-06 13:21 Vor Suchlauf: 16 Verzeichnis(se), 40.802.279.424 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 40.777.011.200 Bytes frei 259 --- E O F --- 2009-09-03 15:39 |
Hi Chris, ich hab gerade mal meinen Rechner ein bisschen aufgeräumt und ein paar Programme deinstalliert. Überraschenderweise tritt das Problem mit dem Scrollen nun nicht mehr auf. Kann ich dir noch mal ein Log posten, um sicherzugehen, dass mein Rechner wirklich sauber ist? Wennja, welches ist dazu am geeignetsten? LG Sanny |
Hi, dann hängt es mit einem installierten Programm zusammen... Am aussagekräftigsten ist ein CF-Log (aber auch am gefährlichsten)... Deinstallieren CF über Start->Ausführen combofix /u und lade in neu runter und lass ihn nochmal laufen (er wird jeden Tag neu zusammengestellt)... Überprüfe bei virustotal.com unbedingt das hier: c:\windows\system32\btmmhook.dll Es gibt einen gleichnamigen Wurm... Hat es mit den Programmen zu tun, die ich Dir auf Basis des Datum genannt hatte? chris |
Hi Chris, okay, werd das mit CF nochmal machen. Hier ist der Log von Virustotal: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.06 - AhnLab-V3 5.0.0.2 2009.09.05 - AntiVir 7.9.1.8 2009.09.06 - Antiy-AVL 2.0.3.7 2009.09.04 - Authentium 5.1.2.4 2009.09.05 - Avast 4.8.1351.0 2009.09.05 - AVG 8.5.0.409 2009.09.06 - BitDefender 7.2 2009.09.06 - CAT-QuickHeal 10.00 2009.09.05 - ClamAV 0.94.1 2009.09.06 - Comodo 2204 2009.09.06 - DrWeb 5.0.0.12182 2009.09.06 - eSafe 7.0.17.0 2009.09.06 - eTrust-Vet 31.6.6721 2009.09.04 - F-Prot 4.5.1.85 2009.09.05 - F-Secure 8.0.14470.0 2009.09.06 - Fortinet 3.120.0.0 2009.09.06 - GData 19 2009.09.06 - Ikarus T3.1.1.72.0 2009.09.06 - Jiangmin 11.0.800 2009.09.06 - K7AntiVirus 7.10.837 2009.09.05 - Kaspersky 7.0.0.125 2009.09.06 - McAfee 5733 2009.09.06 - McAfee+Artemis 5733 2009.09.06 - McAfee-GW-Edition 6.8.5 2009.09.06 - Microsoft 1.5005 2009.09.06 - NOD32 4400 2009.09.06 - Norman 6.01.09 2009.09.04 - nProtect 2009.1.8.0 2009.09.06 - Panda 10.0.2.2 2009.09.06 - PCTools 4.4.2.0 2009.09.06 - Prevx 3.0 2009.09.06 - Rising 21.45.14.00 2009.09.01 - Sophos 4.45.0 2009.09.06 - Sunbelt 3.2.1858.2 2009.09.06 - Symantec 1.4.4.12 2009.09.06 - TheHacker 6.3.4.3.396 2009.09.04 - TrendMicro 8.950.0.1094 2009.09.05 - VBA32 3.12.10.10 2009.09.05 - ViRobot 2009.9.4.1919 2009.09.04 - VirusBuster 4.6.5.0 2009.09.06 - weitere Informationen File size: 208896 bytes MD5...: 442b653adf02769bd7d211a4cb67b344 SHA1..: 9eed73d0c8c352f6e7c5ac611ae19821105b072c SHA256: 494bd9e9c836847723a2a8822d76f8d09b17da8c9ed1f6cc8fbab5097028f467 ssdeep: 3072:Z9gXkIItMXIM4XTVsk3Li9wgEOe13T7s/Rf5wwq:iT4wkCWOG7yi PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xaae6 timedatestamp.....: 0x46df0cef (Wed Sep 05 20:09:19 2007) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x24cdf 0x25000 6.67 b5e2a9d9b21a49367f88e69dcfedc613 .rdata 0x26000 0x6153 0x7000 5.01 20b8627e12fbba01e7b36dd4b156c53b .data 0x2d000 0x3050 0x2000 2.07 d4f2b42af9f9156133aa21ef066aeb88 .shared 0x31000 0x4 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x32000 0x4ac 0x1000 3.84 a3f53856fbb1c9ace8932243d9b91448 .reloc 0x33000 0x1d3a 0x2000 6.40 3eb961ed16c7db6ad6b47e777532a7a9 ( 5 imports ) > KERNEL32.dll: InterlockedDecrement, lstrlenA, lstrcmpiA, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, GetModuleFileNameA, CloseHandle, OpenProcess, GetProcAddress, InterlockedIncrement, GetVersionExA, SetEnvironmentVariableA, CompareStringW, CompareStringA, FlushFileBuffers, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoW, GetTimeZoneInformation, GetConsoleMode, GetConsoleCP, GetLastError, LeaveCriticalSection, EnterCriticalSection, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, DeleteCriticalSection, InitializeCriticalSection, LoadLibraryA, RaiseException, SetFilePointer, SetConsoleCtrlHandler, IsValidCodePage, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, RtlUnwind, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, GetCPInfo, GetOEMCP, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThread, FatalAppExitA, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, WriteFile, GetStdHandle, Sleep, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW > USER32.dll: UnhookWindowsHookEx, PostMessageA, CallNextHookEx, SetWindowsHookExA, CharNextA, GetDesktopWindow, GetWindow, GetWindowLongA, EnumWindows, GetWindowThreadProcessId, IsWindow, GetWindowTextA, UnregisterClassA > ADVAPI32.dll: RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA, RegQueryValueExA > ole32.dll: CoCreateInstance, CoTaskMemFree, CoTaskMemRealloc, CoTaskMemAlloc > OLEAUT32.dll: -, - ( 2 exports ) SetBtMmHook, UnSetBtMmHook RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) Mmh, ob das genau die Programme waren, ist schwer zu sagen. In der Programmverwaltung hießen die You Tube Download und Downloadcenter oder so... Aber ich hab sie nicht runtergeladen und mein Mann hatte auch keine Ahnung, wo die herkommen. LG Sanny |
Hi, dachte ich mir schon, dass es nicht der Wurm ist... Der Rechner sieht sauber aus, ev. hat sich die SW mit einer anderen "mitinstalliert"... Bliebte Szenarien sind z.B. fehlende Videoplugins die unbedingt nachgeladen werden müssen um eine Seite anschauen zu können etc.... chris |
Hi Chris, ich werde wahnsinnig. Nachdem das Problem gestern abend nicht mehr auftrat, ist es nun wieder da... Ich fühle mich versucht, das gute Stück aus dem Fenster zu werfen :s Was nun? Nochmal HJT drüber laufen lassen oder was schlägst du vor? LG Sanny |
Hi, lass mal CF laufen, was ist Laufwerk F:? Eine Wechselfestplatte/USB-Stick? In der Zeit wo es weg war bis es wieder auftauchte was per USB an den Rechner angesteckt? ADS (Alternate Data Streams) anzeigen Systemverzeichnis auf versteckte Streams untersuchen (ADS): ADS-Spy:
Versuche dann auch mal das Verzeichnis C:\Windows\system32\runouce.exe prüfen zu lassen. chris Ps.: Bin die nächsten zwei Tage unterwegs und nicht erreichbar, vielleicht morgen früh kurz... |
Hi Chris, ADS findet nichts... Ich hab auch mal Spybot installiert. Der hat auch einiges gefunden und entfernt, aber das Problem ist immer noch da.... Ich werd mal versuchen die genannte Datei zu überprüfen. Vielen Dank für deine Hilfe und ich werde geduldig auf deine Rückkehr warten ;-) LG Sanny |
Hi Chris, ein paar Fragen hatte ich noch nicht beantwortet... F:/ ist unsere externe Festplatte und die war nicht mehr angeschlossen, nachdem es mal funktioniert hatte. Vielleicht sollte ich den Lappi doch einfach neu aufsetzen und hoffen, dass das Thema dann durch ist. LG Sanny |
Hi, wenn das Neuaufsetzten einfach geht, dann würde ich das jetzt mal probieren... Das Verhalten des Rechners ist seltsam (und macht für Malware eigentlich keinen Sinn, ausser die Damen und Herren Häcker haben sich "verprogrammiert")... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board