Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.ZPACK.Gen und eventuell noch mehr... (https://www.trojaner-board.de/78322-tr-crypt-zpack-gen-eventuell-noch-mehr.html)

jazzgun 11.10.2009 14:06
TR/Crypt.ZPACK.Gen und eventuell noch mehr...
 
Hallo, bin sehr froh, dass ich dieses Board entdeckt habe. Wirklich sehr hilfreich!
Habe schon mehrere Threads zu diesem Trojaner durchgearbeitet und bin zu dem Schluss gekommen, dass da nur individuelle Hilfe nützt. Mein Hauptproblem ist, dass der Trojaner und auch andere Viren (siehe Anti-Malware-Bericht) nichtnur meinen PC, sondern auch den Laptop (TR/Crypt.ZPACK.Gen ist garantiert drauf) infiziert haben und ich allles säubern muss. Da sich das Teil nur über eine meiner externen Festplatten oder den USB-Stick verbreitet haben kann, müssen wohl auch die 3 überprüft werden...
Ich habe gestern einfach mal HijackThis und Anti-Malware über den PC laufen lassen um einen Anfang zu machen. Hier sind die Berichte:

HijackThis (vor dem Malware-Scan):
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:55, on 10.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre6\bin\javaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FE2280B-88B1-4E54-83C2-FA823BDEB687} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/02/clip_image001.jpg

--
End of file - 6857 bytes
Anti-Malware-Scan:
Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2938
Windows 5.1.2600 Service Pack 3

10.10.2009 22:47:10
mbam-log-2009-10-10 (22-47-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 213805
Laufzeit: 1 hour(s), 46 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\QUAD Registry Cleaner v2 (Adware.QUADRegClean) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/anti-leech plugin,version=1.0.2.3 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\plugins\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\plugins\npalnn.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmd.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ping.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tasklist.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tracert.com (Worm.Alcra) -> Quarantined and deleted successfully.
was installiert ist:

Code:
ATI Control Panel
Microsoft Office XP Professional
CDex extraction audio
micrografx Designer 7
micrografx Flowcharter 7
micrografx Graphics Suite 2 Enterprise
micrografx Simply 3D 2
micrografx Picture Publisher 7
ATI Catalyst Control Center
Realplayer
VideoLAN VLC media player 0.8.6a
Windows Media Player 11
Winamp
RUBIcon
MAGIX Music Cleaning Lab 2006 (D)
Sony Ericsson PC Suite
Autodesk Student Community Download Tool
Spybot - Search & Destroy
Adobe Reader 7.1.0 - Deutsch
ICQ6.5
Microsoft .NET Framework 2.0 Laguage Pack - DEU
Microsoft .NET Framework 3.0 German Language Pack
Windows Internet Explorer 8
DivX Web Player
Microsoft .NET Framework 3.5 SP1
Avira Antivir Personal -  Free Antivirus
Mozilla Firefox (3.0.14)
Malwarebytes' Anti-Malware
uTorrent
CCleaner
HijackThis 2.0.2
VobSub v2.23
Xvid 1.2.2 final
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player 9 ActiveX
ATI - Software Uninstall Utility
ATI Display Driver
J2SE Runtime Environment 5.0 Update 1
Java(TM) 6 Update 15
Marvell Miniport Driver
Micrografx QuickV
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable -x86 9.0.30729.17
MSXML  4.0 SP2 (KB936181)
MSXML  4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
SCR33xx USB Smartcard Reader
Steam(TM)
Windows Media Format 11 runtime
Windiws XP Service Pack 3
WinRaR Archivierer
Ich hoffe mir kann jemand weiterhelfen. Vielen Dank!

kira 11.10.2009 20:16
Hallo und Herzlich Willkommen! :)

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest (ein wenig umständig, dauert lang und garantiert keinen Erfolg!)

Das heißt, solltest die zwei Computer bzw PC + Laptop, voneinander trennen, unabhängig prüfen und säubern lassen. Die gepostete Ergebnisse stammen hier v. dein PC oder Laptop?

Gruß
Coverflow

jazzgun 12.10.2009 11:06
Hi, die Logs gehören zu meinen normalen PC, wobei dazu zu sagen ist, dass der Rechner nurnoch bis Januar benutzt wird und ich den daher nicht unbedingt aufwendig säubern muss.
Den Laptop würde ich nur sehr ungern neu einrichten, da es ein Dell ist und das dann bedingt durch das Windows XP nur über den erweiterten Kundenservice laufen würde. (da XP auch schon 2007 nichtmehr mit einem Laptop ausgeliefert werden durfte usw...) Außerdem sind dort Programme installiert, die ich zum täglichen arbeiten benötige. Dort ist allerdings sicher der im Titel genannte Trojaner drauf.
Meine beiden externen Festplatten sind leider auch voll mit Daten, die ich nur sehr zeitaufwendig rekonstruierbar wären. (Weiß hier auch garnicht, ob es bei externen Festplatten besonderheiten für die Säuberung gibt.)

also kurz und bündig:
1. Desktop-PC ist relativ egal, solange ein wissendes Auge mir zumindest bestätigen kann, dass in den nächsten 3 Monaten keine kritischen Probleme auftreten werden.

2. Laptop und 2 externe Festplatten würde ich gerne säubern, wenn sich jemand bereit erklären würde mir zur Seite zu stehen.

Vielen Dank
jazzgun

jazzgun 13.10.2009 11:31
Habe dann schonmal HijackThis über den Laptop laufen lassen (nur den Scan):
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:50, on 13.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\OEM02Mon.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\KADxMain.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Dell Support Center\bin\sprtcmd.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DellSupport\DSAgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3071018
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.de/hws/sb/dell-row/de/side.html?channel=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de/hws/sb/dell-row/de/side.html?channel=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3071018
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.de/hws/sb/dell-row/de/side.html?channel=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3071018
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file)
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Dell\BAE\BAE.dll
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\WINDOWS\OEM02Mon.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [dscactivate] "C:\Programme\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Programme\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOKUME~1\Googol\LOKALE~1\Temp\herss.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PMB Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Programme\Digital Line Detect\DLG.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Programme\DellSupport\brkrsvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Programme\Dell Support Center\bin\sprtsvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Googol/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 11281 bytes
mfg jazzgun

ChaosPC 13.10.2009 12:07
zu 1.

bestätigen kann dir das niemand. du hast u torrent installiert, kann natürlich gut sein das du was gezogen hast was du besser gelassen hättest

geholfen werden kann dir hier natürlich, aber wie coverflow schon sagt, einen erfolg kann niemand garantieren.

Ich persönlich würde bei hartnäckiger malware immer das sytem neu aufsetzen. das kostet zeit, aber in der zeit zwischen gestern und heute hättest du schon ein neues system:kloppen:

hast du kein image und backup?

jazzgun 13.10.2009 12:58
hi ChaosPC,
also der Desktop-PC ist nicht wirklich wichtig (keine wichtigen Daten oder sonst was drauf)... der soll halt nurnoch bis Januar laufen und wird dann verschrottet. (nach immerhin 5,5 Jahren) Da ist mir das zusammensuchen der Software und einrichten/updaten von Windows für nen bisschen surfen im Netz etc. einfach zu aufwendig.

Mein Hauptproblem ist eben der Laptop, den ich selber einfach nicht neu machen kann dank der Microsoft Firmenpolitik...

kira 13.10.2009 21:50
hi

na Ok, dann fangen wir an:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
  • lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  • nichts am Pc machen während der Scan läuft![/b]
  • starte in diesem Ordner fsbl.exe
  • klicke auf "I accept the agreement" → "next" → "Scan"
  • wenn der Scan beendet ist, wähle Close.
  • der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren
** kannst Du die Logs bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

6.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Tipps für die Suche nach Dateien
Code:
C:\DOKUME~1\Googol\LOKALE~1\Temp\herss.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!

jazzgun 14.10.2009 14:20
Hallo, vielen Dank für die ausführliche Anleitung.
Leider ist direkt zu Anfang ein Problem aufgetreten... ich kann "alle Dateien und Ordner anzeigen" nicht anwählen: kann den Punkt im entsprechenden Menu setzen und "übernehmen", aber es ändert sich nichts und wenn ich das Menu wieder aufrufe ist die Einstellung auch wieder zurückgesetzt.

ein weiteres Detail, das heute aufgetreten ist: wenn ich auf die Festplatte per "Windows Arbeitsplatz" zugreifen will, werde ich gefragt mit welchem Programm ich die Datei öffnen möchte. Über der Windows Explorer kann ich allerdings ganz normal auf die Festplatte zugreifen. (bevor sich der Arbeitsplatz überhaupt öffnet kommt auch die Antivir Meldung über den Trojaner)

mfg jazzgun

kira 14.10.2009 14:34
mache bitte einfach mal mit Punkt 2. weiter

jazzgun 15.10.2009 18:06
Hallo, bin leider etwas im Stress, werde die Liste wohl erst morgen abarbeiten können... hier ist schonmal der Anfang:

zu 2.
Code:
----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: A022-88A9

 Verzeichnis von C:\

15.10.2009  19:00                43 filelist.txt
15.10.2009  18:34    2.145.579.008 hiberfil.sys
15.10.2009  18:34    2.145.386.496 pagefile.sys
10.10.2009  12:41            2.360 autorun.PNF
10.10.2009  10:42                63 autorun.inf
08.10.2009  14:45          117.945 r2g20.exe
06.10.2009  17:15          117.625 f9o8o.exe
06.10.2009  09:34          118.651 ctu8r.exe
05.10.2009  15:05          117.453 sp1jensi.exe
03.10.2009  17:25          118.853 t2hjo0.exe
02.10.2009  15:45          118.853 cqb6wo.exe
02.10.2009  15:45          118.853 bycfht.exe
02.10.2009  15:45          118.853 incwf.bat
02.10.2009  15:45          118.853 ucivd6xi.bat
19.09.2009  14:32          116.114 wrsf.exe
18.09.2009  18:34          116.114 lhh3v.exe
18.09.2009  18:34          116.114 o8tf6l.exe
18.09.2009  18:34          116.114 mjafm.exe
13.09.2009  17:52          115.485 qcoageh.exe
13.09.2009  15:45          115.742 ph.exe
10.09.2009  10:38          116.029 dogyx90.exe
08.09.2009  19:36          116.142 10nb.exe
08.09.2009  19:21          116.142 cj3k.exe
04.09.2009  11:08          112.699 o9bxu.exe
04.09.2009  10:53          112.699 frg89pi.bat
27.08.2009  10:47          113.233 hx.exe
19.08.2009  08:59          106.383 lcw.exe
15.08.2009  17:03          104.802 m1eqos3.exe
12.08.2009  11:42          106.749 9u.exe
11.08.2009  14:30          106.711 wbj.exe
09.08.2009  14:05          107.691 ktly.exe
05.08.2009  11:34          106.110 22yj2fy1.exe
02.08.2009  23:41          107.841 mqhnawe.bat
02.08.2009  23:41          107.841 ukfbi3aw.exe
01.08.2009  11:28          107.994 6rxt26.exe
31.07.2009  10:59          107.843 rx.exe
29.07.2009  18:19          108.530 mb9x.exe
29.07.2009  14:26              211 boot.ini
27.07.2009  08:47          108.548 u0riu2.exe
26.07.2009  18:08          108.204 hm1bfpuj.exe
21.07.2009  14:48          108.497 cv8j.exe
11.07.2009  12:01          105.986 q1alx.exe
06.07.2009  15:15          111.475 aphqg.exe
26.06.2009  10:56          107.097 s.exe
24.06.2009  10:57          106.448 8paf1d.com
16.06.2009  09:07          108.006 8rcahp.exe
03.02.2009  19:19          251.712 ntldr

----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: A022-88A9

 Verzeichnis von C:\WINDOWS

15.10.2009  18:36        1.168.963 WindowsUpdate.log
15.10.2009  18:34                0 0.log
15.10.2009  18:34            4.200 ModemLog_Conexant HDA D330 MDC V.92 Modem.txt
15.10.2009  18:34              159 wiadebug.log
15.10.2009  18:34                50 wiaservc.log
15.10.2009  18:34            2.048 bootstat.dat
14.10.2009  19:23            32.630 SchedLgU.Txt
10.10.2009  16:21          654.540 setupapi.log
08.09.2009  19:39        1.132.887 iis6.log
08.09.2009  19:39          280.904 comsetup.log
08.09.2009  19:39            45.425 ocmsn.log
08.09.2009  19:39            1.355 imsins.log
08.09.2009  19:39          171.132 ntdtcsetup.log
08.09.2009  19:39            46.856 tabletoc.log
08.09.2009  19:39          439.056 tsoc.log
08.09.2009  19:39            5.941 KB968816.log
08.09.2009  19:39          477.163 ocgen.log
08.09.2009  19:39            67.092 MedCtrOC.log
08.09.2009  19:39          163.816 netfxocm.log
08.09.2009  19:39            47.359 msgsocm.log
08.09.2009  19:39          949.163 FaxSetup.log
08.09.2009  19:39          309.602 msmqinst.log
08.09.2009  19:39            1.355 imsins.BAK
08.09.2009  19:39            5.454 KB961118.log
08.09.2009  19:39            7.156 KB956844.log
08.09.2009  19:39            7.560 KB971961.log
08.09.2009  19:20            77.934 spupdsvc.log
04.09.2009  18:45          167.375 updspapi.log
27.08.2009  10:23            3.964 KB970653-v3.log
12.08.2009  23:38            16.443 KB960859.log
12.08.2009  23:38            16.382 KB971657.log
12.08.2009  23:38            15.979 KB971557.log
12.08.2009  23:38            11.232 KB956744.log
12.08.2009  23:38            10.843 KB973869.log
12.08.2009  23:38            16.298 KB973507.log
12.08.2009  23:38            10.432 KB973354.log
12.08.2009  23:38            9.399 KB973540.log
12.08.2009  23:38            22.003 wmsetup.log
12.08.2009  23:36            16.129 KB973815.log
12.08.2009  23:36            17.987 KB968389.log
29.07.2009  15:02            16.446 KB972260.log
29.07.2009  14:26              738 win.ini
29.07.2009  14:26              227 system.ini
19.07.2009  23:40            6.918 KB973346.log
19.07.2009  23:40            12.293 KB971633.log
19.07.2009  23:38            12.729 KB961371.log
07.07.2009  09:37              352 spupdsvc.log.1.log
06.07.2009  15:05            18.208 WgaNotify.log
23.06.2009  22:43            15.911 KB961501.log
23.06.2009  22:43            16.931 KB969897.log
23.06.2009  22:43            7.980 KB969898.log
23.06.2009  22:42            13.662 KB970238.log
23.06.2009  22:41            13.319 KB968537.log
05.06.2009  18:48          392.909 DirectX.log
12.05.2009  10:20            4.510 setupact.log
27.04.2009  17:54            21.696 KB959426.log
27.04.2009  17:54            20.373 KB961373.log
27.04.2009  17:53            18.325 KB956572.log
27.04.2009  17:52            18.040 KB952004.log
27.04.2009  17:52            16.514 KB960803.log
27.04.2009  17:52            17.222 KB963027.log
27.04.2009  17:52            9.817 KB923561.log
28.03.2009  21:31            13.148 KB960225.log
28.03.2009  21:31            5.318 KB938464-v2.log
28.03.2009  21:31            13.129 KB958690.log

----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: A022-88A9

 Verzeichnis von C:\WINDOWS\system32

15.10.2009  18:34          236.466 NvApps.xml
15.10.2009  18:34            31.966 nvModes.001
15.10.2009  18:34            2.206 wpa.dbl
10.10.2009  14:12                56 ezsidmv.dat
08.09.2009  19:41              118 MRT.INI
08.09.2009  19:19          398.344 FNTCACHE.DAT
04.09.2009  18:49          442.800 perfh009.dat
04.09.2009  18:49        1.030.520 PerfStringBackup.INI
04.09.2009  18:49            72.066 perfc009.dat
04.09.2009  18:49            85.594 perfc007.dat
04.09.2009  18:49          460.908 perfh007.dat
28.08.2009  23:38        24.689.600 MRT.exe
27.08.2009  10:23          613.808 TZLog.log
21.08.2009  13:17          485.920 NVUNINST.EXE
19.08.2009  15:41          219.680 nvwrsja.dll
19.08.2009  15:41          301.600 nvwrspl.dll
19.08.2009  15:41          326.176 nvwrsptb.dll
19.08.2009  15:41          322.080 nvwrsru.dll
19.08.2009  15:41          330.272 nvwrsit.dll
19.08.2009  15:41          170.528 nvwrszhc.dll
19.08.2009  15:41          203.296 nvwrsko.dll
19.08.2009  15:41          174.624 nvwrszht.dll
19.08.2009  15:41          334.368 nvwrsfr.dll
19.08.2009  15:41          334.368 nvwrsesm.dll
19.08.2009  15:41          342.560 nvwrses.dll
19.08.2009  15:41          317.984 nvwrsde.dll
19.08.2009  15:41        1.657.376 nwiz.exe
19.08.2009  15:41          473.632 nvshell.dll
19.08.2009  15:41            73.728 nvtuicpl.cpl
19.08.2009  15:41        1.108.512 nvwimg.dll
19.08.2009  15:41        1.731.104 nvwdmcpl.dll
19.08.2009  15:41          436.768 keystone.exe
19.08.2009  15:41        1.514.016 nview.dll
19.08.2009  15:41          449.056 nvappbar.exe
19.08.2009  15:41        1.194.528 nvcplui.exe
19.08.2009  15:41        1.505.824 nvcpluir.dll
19.08.2009  15:41          420.384 nvcpl.cpl
19.08.2009  15:41            29.892 cad.tvp
19.08.2009  15:41            33.032 finance.tvp
19.08.2009  15:41            31.186 dcc.tvp
19.08.2009  15:41            53.768 default.tvp
19.08.2009  15:41          253.952 nvrspl.dll
19.08.2009  15:41          266.240 nvrsru.dll
19.08.2009  15:41          122.880 nvrszht.dll
19.08.2009  15:41          229.376 nvrszhc.dll
19.08.2009  15:41          266.240 nvrsptb.dll
19.08.2009  15:41          262.144 nvrsko.dll
19.08.2009  15:41          270.336 nvrsja.dll
19.08.2009  15:41          278.528 nvrsde.dll
19.08.2009  15:41          282.624 nvrsfr.dll
19.08.2009  15:41          278.528 nvrsit.dll
19.08.2009  15:41          282.624 nvrses.dll
19.08.2009  15:41          274.432 nvrsesm.dll
19.08.2009  15:41            81.920 nvwddi.dll
19.08.2009  15:41            86.016 nvhotkey.dll
19.08.2009  15:41        3.612.672 nvwssr.dll
19.08.2009  15:41        3.121.152 nvwss.dll
19.08.2009  15:41        4.460.544 nvvitvsr.dll
19.08.2009  15:41        4.038.656 nvvitvs.dll
19.08.2009  15:41        2.854.912 nvmoblsr.dll
19.08.2009  15:40        1.282.048 nvmobls.dll
19.08.2009  15:40          458.752 nvmccssr.dll
19.08.2009  15:40          188.416 nvmccss.dll
19.08.2009  15:40        4.407.296 nvgamesr.dll
19.08.2009  15:40        3.510.272 nvgames.dll
19.08.2009  15:40        6.074.368 nvdispsr.dll
19.08.2009  15:40        4.018.176 nvdisps.dll
19.08.2009  15:40          168.004 nvsvc32.exe
19.08.2009  15:40          143.360 nvcolor.exe
19.08.2009  15:40            67.083 NvwsApps.xml
19.08.2009  15:40            86.016 nvmctray.dll
19.08.2009  15:40          229.376 nvmccs.dll
19.08.2009  15:40        13.762.560 nvcpl.dll
19.08.2009  13:35            19.495 nvdisp.nvu
19.08.2009  13:35          678.432 nvcuvid.dll
19.08.2009  13:35        1.317.408 nvcuvenc.dll
19.08.2009  13:35        1.757.184 nvcuda.dll
19.08.2009  13:35          485.920 nvudisp.exe
19.08.2009  13:35        10.039.296 nvoglnt.dll
19.08.2009  13:35          155.648 nvcodins.dll
19.08.2009  13:35          155.648 nvcod.dll
19.08.2009  13:35          815.104 nvapi.dll
19.08.2009  13:35        5.957.120 nv4_disp.dll
19.08.2009  13:35        1.580.550 nvdata.bin
13.08.2009  17:15          512.000 jscript.dll
06.08.2009  19:24          327.896 wucltui.dll
06.08.2009  19:24          209.632 wuweb.dll
06.08.2009  19:24            18.144 wuaueng.dll.mui
06.08.2009  19:24            15.584 wuapi.dll.mui
06.08.2009  19:24            35.552 wups.dll
06.08.2009  19:24            44.768 wups2.dll
06.08.2009  19:24          217.816 wuaucpl.cpl
06.08.2009  19:24            53.472 wuauclt.exe
06.08.2009  19:24            15.584 wuaucpl.cpl.mui
06.08.2009  19:24            96.480 cdm.dll
06.08.2009  19:24            23.264 wucltui.dll.mui
06.08.2009  19:23          575.704 wuapi.dll
06.08.2009  19:23        1.929.952 wuaueng.dll
05.08.2009  10:59          206.336 mswebdvd.dll
04.08.2009  11:13            27.430 nvModes.dat
18.07.2009  18:03        1.509.888 shdocvw.dll
18.07.2009  18:03        3.090.432 mshtml.dll
17.07.2009  21:01            58.880 atl.dll
14.07.2009  13:03            46.080 tzchange.exe
12.07.2009  12:21          233.472 wmpdxm.dll
12.07.2009  12:21        4.874.240 wmp.dll
09.07.2009  12:16        2.060.288 usbaaplrc.dll
06.07.2009  14:59          103.936 nmdfgds0.dll
26.06.2009  18:49          672.256 wininet.dll
26.06.2009  18:49          621.056 urlmon.dll
26.06.2009  18:49            81.920 ieencode.dll
26.06.2009  18:36          371.200 html.iec
26.06.2009  10:56          103.936 nmdfgds1.dll
26.06.2009  10:56          107.097 olhrwef.exe
25.06.2009  10:25            54.272 wdigest.dll
25.06.2009  10:25          737.792 lsasrv.dll
25.06.2009  10:25          136.192 msv1_0.dll
25.06.2009  10:25            56.832 secur32.dll
25.06.2009  10:25          147.456 schannel.dll
25.06.2009  10:25          301.568 kerberos.dll
16.06.2009  16:36            81.920 fontsub.dll
16.06.2009  16:36          119.808 t2embed.dll
15.06.2009  12:43            78.848 telnet.exe
15.06.2009  12:43            82.944 tlntsess.exe
10.06.2009  16:13            85.504 avifil32.dll
10.06.2009  09:19        2.066.432 mstscax.dll
10.06.2009  08:14          132.096 wkssvc.dll
03.06.2009  21:09        1.296.896 quartz.dll
26.05.2009  17:18            57.344 QuickTime.qts
26.05.2009  17:18            90.112 QuickTimeVR.qtx
20.05.2009  12:24        2.373.504 WMVCore.dll
15.05.2009  11:05            47.104 KMVIDC32.DLL
07.05.2009  17:32          348.160 localspl.dll
28.04.2009  09:55            70.936 PhysXLoader.dll
19.04.2009  21:46        1.847.296 win32k.sys
15.04.2009  16:51          585.216 rpcrt4.dll
07.04.2009  10:50          288.024 PhysXCompatCplUI.exe
07.04.2009  10:50          288.024 PhysXCplUI.exe
07.04.2009  10:50          214.296 PhysX.cpl
07.04.2009  02:29          129.784 PxAFS.DLL
07.04.2009  02:29          187.128 PxMas.dll
07.04.2009  02:29        1.628.920 PxSFS.DLL
07.04.2009  02:29          551.672 Px.dll
07.04.2009  02:29          518.904 pxdrv.dll
07.04.2009  02:29          379.640 PxWave.dll
21.03.2009  16:06        1.063.424 kernel32.dll
10.03.2009  22:18          970.632 WgaTray.exe
10.03.2009  22:18        1.482.112 LegitCheckControl.dll
10.03.2009  22:18          265.096 SET3E.tmp
06.03.2009  16:19          286.720 pdh.dll

----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: A022-88A9

 Verzeichnis von C:\WINDOWS\Prefetch

15.10.2009  19:00            11.092 FIND.EXE-0EEAD1A7.pf
15.10.2009  19:00            12.378 CMD.EXE-034B0549.pf
15.10.2009  19:00            36.320 WINRAR.EXE-1A0EFB18.pf
15.10.2009  18:59            63.960 SKYPENAMES.EXE-088A9115.pf
15.10.2009  18:59            99.372 FIREFOX.EXE-28BE8AE1.pf
15.10.2009  18:59            10.390 VERCLSID.EXE-28F52AD2.pf
15.10.2009  18:59            15.648 GUARDGUI.EXE-1FA25B88.pf
15.10.2009  18:55            34.020 AVWSC.EXE-1742FD55.pf
15.10.2009  18:54            23.626 WMIPRVSE.EXE-0D449B4F.pf
15.10.2009  18:36            74.574 THUNDERBIRD.EXE-05833C98.pf
15.10.2009  18:36            28.230 RUNDLL32.EXE-3AFF7B1E.pf
15.10.2009  18:36            36.536 SKYPEPM.EXE-1D416A14.pf
15.10.2009  18:36            44.092 WUAUCLT.EXE-1360D60A.pf
15.10.2009  18:35            30.234 WMIAPSRV.EXE-02740A4B.pf
15.10.2009  18:35            31.754 WSCRIPT.EXE-0C5C5251.pf
15.10.2009  18:35            14.300 SVCHOST.EXE-2D5FBD18.pf
15.10.2009  18:35            61.732 DSC.EXE-2BAB1808.pf
15.10.2009  18:35            27.280 BTSTAC~1.EXE-3169C1A9.pf
15.10.2009  18:35            53.796 DOT1XCFG.EXE-1D3BE19B.pf
15.10.2009  18:35            26.400 NPSWF32_FLASHUTIL.EXE-36FEAB12.pf
15.10.2009  18:35            26.150 BTTRAY.EXE-1B30F52D.pf
15.10.2009  18:35            14.130 IPODSERVICE.EXE-07892C80.pf
15.10.2009  18:35            13.140 DLG.EXE-2B1154B0.pf
15.10.2009  18:35            13.824 SPUVOLUMEWATCHER.EXE-0B66AD2A.pf
15.10.2009  18:35            51.654 SKYPE.EXE-0D322358.pf
15.10.2009  18:35            27.848 DSAGNT.EXE-31D8CE82.pf
15.10.2009  18:35            11.376 RUNDLL32.EXE-5841AB92.pf
15.10.2009  18:35            71.790 DSCA.EXE-2B0BF0D2.pf
15.10.2009  18:35            14.798 FPASSIST.EXE-0FA62707.pf
15.10.2009  18:35            12.218 ITUNESHELPER.EXE-1CC2818B.pf
15.10.2009  18:35            30.722 RUNDLL32.EXE-3CAE7316.pf
15.10.2009  18:35            19.244 AGENT.EXE-20725709.pf
15.10.2009  18:35            72.574 AVGNT.EXE-0B50EBC8.pf
15.10.2009  18:35            25.588 RUNDLL32.EXE-6ACD0C83.pf
15.10.2009  18:35            11.706 NWIZ.EXE-2D374245.pf
15.10.2009  18:35            17.328 KHALMNPR.EXE-39603A2C.pf
15.10.2009  18:35            8.758 QTTASK.EXE-0C419446.pf
15.10.2009  18:35        1.011.262 NTOSBOOT-B00DFAAD.pf
14.10.2009  19:23            24.564 LOGONUI.EXE-312BE1BF.pf
14.10.2009  19:23            4.962 WSCNTFY.EXE-0B14C27D.pf
14.10.2009  19:14            8.274 LOGON.SCR-24ADF392.pf
14.10.2009  18:16            66.928 KEEPASS.EXE-0347A4A6.pf
14.10.2009  18:09            29.562 RUNDLL32.EXE-4068656E.pf
14.10.2009  17:08          336.706 Layout.ini
14.10.2009  16:04            61.054 MSIEXEC.EXE-330626DC.pf
14.10.2009  16:04            29.044 DSCPATCH_2_2_09085_2.0.EXE-1439C612.pf
14.10.2009  16:01            12.954 SPRTCMD.EXE-3033C3E4.pf
14.10.2009  15:50            40.982 WIFILOCATOR.EXE-2854193E.pf
14.10.2009  15:50            74.100 PCMSERVICE.EXE-207406AE.pf
14.10.2009  15:12            22.712 RUNDLL32.EXE-52F69C22.pf
14.10.2009  15:12            14.254 CTFMON.EXE-05E57A5E.pf
14.10.2009  15:06            11.876 TEATIMER.EXE-08FD41B0.pf
14.10.2009  15:06            84.152 IEXPLORE.EXE-360BBB5C.pf
14.10.2009  14:43            17.204 IMAPI.EXE-201490BB.pf
13.10.2009  17:51            95.210 HELPSVC.EXE-1C192440.pf
13.10.2009  12:22            14.260 NOTEPAD.EXE-2F2D61E1.pf
13.10.2009  12:20            20.734 HIJACKTHIS.EXE-3643707F.pf
13.10.2009  12:20            14.672 HJTINSTALL.EXE-103B74A7.pf
13.10.2009  12:20            21.732 SPUG4ACCESSOR.EXE-066A3EE6.pf
13.10.2009  12:20            30.938 SPUDCFIMPORTER.EXE-2651B52C.pf
13.10.2009  12:20            15.506 RUNDLL32.EXE-6E8D4657.pf
13.10.2009  12:17            58.412 MBAM.EXE-325FAE38.pf
13.10.2009  12:16            16.496 REGSVR32.EXE-396DEA2C.pf
13.10.2009  12:16            7.772 MBAMGUI.EXE-1253A586.pf
13.10.2009  12:16            14.604 MBAM-SETUP.TMP-22ACA83F.pf
13.10.2009  12:16            14.292 MBAM-SETUP.EXE-0FF45138.pf
13.10.2009  11:49            28.242 RUNDLL32.EXE-47CD8B12.pf
13.10.2009  11:49            26.388 BTSTACKSERVER.EXE-22C08203.pf
12.10.2009  16:33            16.970 RUNDLL32.EXE-41C4C933.pf
11.10.2009  22:16            25.216 RUNDLL32.EXE-5ACE91DC.pf
              70 Datei(en)      3.450.616 Bytes
              0 Verzeichnis(se), 84.947.820.544 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: A022-88A9

 Verzeichnis von C:\WINDOWS\tasks

15.10.2009  18:34                6 SA.DAT
27.08.2009  10:14              276 AppleSoftwareUpdate.job
04.08.2004  15:00                65 desktop.ini
              3 Datei(en)            347 Bytes
              0 Verzeichnis(se), 84.947.820.544 Bytes frei
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: A022-88A9

 Verzeichnis von C:\WINDOWS\Temp

15.10.2009  18:34              483 WGAErrLog.txt
04.09.2009  18:49            4.374 dd_wcf_retCA49D6.txt
04.09.2009  18:49            5.158 ASPNETSetup_00001.log
04.09.2009  18:47          273.268 dd_dotnetfx35install.txt
04.09.2009  18:47            47.392 uxeventlog.txt
04.09.2009  18:47        1.435.532 dd_NET_Framework35_MSI43EB.txt
04.09.2009  18:46        3.988.660 dd_NET_Framework30_Setup42D5.txt
04.09.2009  18:46            4.374 dd_wcf_retCA7C8A.txt
04.09.2009  18:45            19.733 dd_XPS.txt
04.09.2009  18:45        22.317.698 dd_NET_Framework20_Setup405B.txt
04.09.2009  18:43            5.158 ASPNETSetup_00000.log
04.09.2009  18:42            15.915 dd_clwireg.txt
04.09.2009  18:42          204.259 dd_depcheck_NETFX_EXP_35.txt
04.09.2009  18:41                2 dd_dotnetfx35error.txt

----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: A022-88A9

 Verzeichnis von C:\DOKUME~1\Googol\LOKALE~1\Temp

15.10.2009  19:00                0 IMG2E.tmp
15.10.2009  18:59                0 etilqs_xRCMjg53AEi9MT6a5rPk
15.10.2009  18:35            16.384 Perflib_Perfdata_934.dat
15.10.2009  18:35              270 AUInst.log
15.10.2009  18:34            16.384 ~DFA205.tmp
14.10.2009  15:07            16.384 Perflib_Perfdata_ff8.dat
11.10.2009  15:58            16.384 Perflib_Perfdata_534.dat
10.10.2009  16:20            5.248 plf3B4.tmp
10.10.2009  15:49            2.080 java_install_reg.log
10.10.2009  13:37        2.430.976 SkypeToolbars.msi
10.10.2009  13:37        18.788.864 Skype.msi
10.10.2009  10:39            75.678 cvasds1.dll
10.10.2009  10:39            11.366 dd_vcredistUI4BD1.txt
10.10.2009  10:39          491.778 dd_vcredistMSI4BD1.txt
10.10.2009  10:11              380 MSI13430.LOG
08.10.2009  14:45            77.055 cvasds0.dll
03.10.2009  17:30          552.960 .Sony_PMBrowser3000_BrowserDiskCache
03.10.2009  17:30            3.456 .Sony_PMBrowser3000_BrowserDiskCache.idx
03.10.2009  17:28              368 SubDlResult.xml
02.10.2009  15:45            77.799 cvasds6.dll
02.10.2009  10:13            77.594 cvasds5.dll
23.09.2009  17:39            74.172 cvasds4.dll
23.09.2009  17:04            74.172 cvasds3.dll
23.09.2009  16:39            73.674 cvasds2.dll
13.09.2009  17:26                0 IMG30.tmp
10.09.2009  21:32                0 IMG34.tmp
27.08.2009  10:15        2.931.976 SetupAdmin774.log
27.08.2009  10:15            2.208 QTInstallCode.log
27.08.2009  10:15            3.884 qtplugin.log
19.08.2009  11:06            4.060 cmdlog V19.txt
19.08.2009  11:06          197.120 DCCACHE.tmp
11.08.2009  14:10                0 si17.tmp
08.08.2009  11:17                0 JET1DAC.tmp
04.08.2009  09:38            12.818 control.xml
01.08.2009  11:26                0 si29.tmp
31.07.2009  13:52                0 JETB9C5.tmp
31.07.2009  12:35                0 etilqs_JKcZpdHwoZ53TtXgg8JL
31.07.2009  11:44                0 JETC9F5.tmp
31.07.2009  11:04                0 etilqs_CfxfNIxFeLAbWNVAZnnZ
31.07.2009  10:59                0 JET9A85.tmp
29.07.2009  14:23        16.825.216 718631~1.exe
26.07.2009  18:06          115.200 nmdfgds0.dll
21.07.2009  14:48          115.200 nmdfgds1.dll
21.07.2009  14:48          108.497 olhrwef.exe
14.07.2009  11:08          798.234 IMT3B.xml
14.07.2009  11:08              426 IMT3A.xml
14.07.2009  11:08            2.036 IMT39.xml
13.07.2009  10:52            7.542 {D5068583-D569-468B-9755-5FBF5848F46F}.log
13.07.2009  10:49              781 {CE2121C6-C94D-4A73-8EA4-6943F33EE335}.log
13.07.2009  10:47              932 {D2A98502-8929-420F-AD48-086B1FD5CDEA}.log
13.07.2009  10:47            1.521 {B2C4A8C4-AA20-425D-9FEE-C78039238C81}.log
13.07.2009  10:46            5.509 {36C41D70-56F5-4E2B-81DA-6BEB7502D7A1}.log
12.07.2009  14:23              822 PartCMD45000S.bmp
12.07.2009  14:23              822 PartCMD45002S.bmp
12.07.2009  14:23              822 PartCMD57600S.bmp
12.07.2009  14:23              822 PartCMD40218S.bmp
12.07.2009  14:17                0 srvpack~.reg
12.07.2009  14:17                98 sereg.err
11.07.2009  12:01          106.496 nmdfgds2.dll
05.06.2009  20:20                0 tmpB.tmp
05.06.2009  20:11                0 tmpA.tmp
05.06.2009  19:57                0 tmp9.tmp
05.06.2009  19:52                0 tmp8.tmp
05.06.2009  19:41                0 tmp7.tmp
05.06.2009  19:26                0 tmp6.tmp
05.06.2009  19:16                0 tmp5.tmp
05.06.2009  19:04                0 tmp4.tmp
05.06.2009  18:49            72.192 ~e5.0001
14.05.2009  08:58          117.200 set5A.tmp
07.05.2009  13:37                0 JETD511.tmp
03.03.2009  18:14          798.234 IMT6C.xml
03.03.2009  18:14              426 IMT6B.xml
03.03.2009  18:14            2.036 IMT6A.xml

jazzgun 15.10.2009 18:12
3. passte nichtmehr ins post:

Code:
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.2 - Deutsch
Advanced Audio FX Engine
Advanced Video FX Engine
Apple Mobile Device Support
Apple Software Update
AutoCAD Civil 3D 2008 - Deutsch
Autodesk Design Review 2008
Autodesk DWF Viewer 7
Autodesk Student Community Download Tool
Avira AntiVir Personal - Free Antivirus
Broadcom Management Programs
Browser Address Error Redirector
CCleaner (remove only)
Cisco Systems VPN Client 5.0.02.0090
Conexant HDA D330 MDC V.92 Modem
Counter-Strike: Source
Dell Support Center (Support Software)
Dell System Restore
Dell Touchpad
Dell Webcam Center
Dell Webcam Manager
DellSupport
Digital Line Detect
DivX Web Player
Foxit Reader
FreePDF (Remove only)
GPL Ghostscript 8.70
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
ICQ6.5
Intel(R) PROSet/Wireless Software
IntelliSonic Speech Enhancement
iTunes
J2SE Runtime Environment 5.0 Update 6
KeePass Password Safe 2.09
Laptop Integrated Webcam Driver (1.03.02.0719)
Logitech Desktop Messenger
Logitech SetPoint
Malwarebytes' Anti-Malware
MediaDirect
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft MSDN 2005 Express Edition - DEU
Microsoft Office Enterprise 2007
Microsoft Visual C# 2005 Express Edition - DEU
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works
Mixer
Modem-Diagnose-Tool
Mozilla Firefox (3.0.14)
Mozilla Thunderbird (2.0.0.23)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Music Transfer
NetWaiting
NVIDIA Drivers
NVIDIA PhysX
OutlookAddinSetup
QuickSet
QuickTime
RedMon - Redirection Port Monitor
SearchAssist
Skype web features
Skype™ 4.1
Solid Edge V19
Sony Picture Utility
Sound Blaster Audigy ADVANCED MB Demo
Spybot - Search & Destroy
Steam
System Requirements Lab
TeamViewer 4
VideoLAN VLC media player 0.8.6c
VirtualCloneDrive
Warhammer 40,000: Dawn of War II
WIDCOMM Bluetooth Software
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 3
WinRAR
zu 4. hätte ich die Frage, wie ich Antivir ganz beenden kann... reicht AVguard deaktivieren?

mfg jazzgun

kira 15.10.2009 22:33
hi

1.
**Spybot Tea Timer bitte abstellen! Falls "Tea Timer" auch aktiviert:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.

2.
Diese Dateinamen haben einige interessante Besonderheiten, lassen wir mal prüfen:

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Tipps für die Suche nach Dateien
Code:
unter Verzeichnis von C:\

r2g20.exe
f9o8o.exe
ctu8r.exe
sp1jensi.exe
t2hjo0.exe
cqb6wo.exe
bycfht.exe
incwf.bat
ucivd6xi.bat
wrsf.exe
lhh3v.exe
o8tf6l.exe
mjafm.exe
qcoageh.exe
ph.exe
dogyx90.exe
10nb.exe
cj3k.exe
o9bxu.exe
frg89pi.bat
hx.exe
lcw.exe
m1eqos3.exe
9u.exe
wbj.exe
ktly.exe
22yj2fy1.exe
mqhnawe.bat
ukfbi3aw.exe
6rxt26.exe
rx.exe
mb9x.exe
u0riu2.exe
hm1bfpuj.exe
cv8j.exe
q1alx.exe
aphqg.exe
s.exe
8paf1d.com
8rcahp.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1)
Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
Code:
Datei xxx empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.28        -
AhnLab-V3        5.0.0.2        2009.01.28        -
AntiVir        7.9.0.60        2009.01.28        -
Authentium        5.1.0.4        2009.01.27        -

...sind es insgesamt 41 Online Virus Scanner...also Geduld!!
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

jazzgun 16.10.2009 09:51
zu 4.
Code:
10/16/09 10:37:04 [Info]: BlackLight Engine 2.2.1092 initialized
10/16/09 10:37:04 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/16/09 10:37:04 [Note]: 7019 4
10/16/09 10:37:04 [Note]: 7005 0
10/16/09 10:38:00 [Note]: 7006 0
10/16/09 10:38:00 [Note]: 7011 220
10/16/09 10:38:00 [Note]: 7035 0
10/16/09 10:38:00 [Note]: 7026 0
10/16/09 10:38:00 [Note]: 7026 0
10/16/09 10:38:03 [Note]: FSRAW library version 1.7.1024
10/16/09 10:47:13 [Note]: 7007 0

jazzgun 16.10.2009 11:52
weiter komme ich jetzt leider nicht...

zu 5. Gmer Scan:

Code:
GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-16 12:44:59
Windows 5.1.2600 Service Pack 3
Running: 8bkf9dnr.exe; Driver: C:\DOKUME~1\Googol\LOKALE~1\Temp\fwldypog.sys


---- System - GMER 1.0.15 ----

SSDT            B8716BAE                                                                                                            ZwCreateKey
SSDT            B8716BA4                                                                                                            ZwCreateThread
SSDT            B8716BB3                                                                                                            ZwDeleteKey
SSDT            B8716BBD                                                                                                            ZwDeleteValueKey
SSDT            spiy.sys                                                                                                            ZwEnumerateKey [0xB7EC6CA2]                                              <-- ROOTKIT !!!
SSDT            spiy.sys                                                                                                            ZwEnumerateValueKey [0xB7EC7030]                                        <-- ROOTKIT !!!
SSDT            B8716BC2                                                                                                            ZwLoadKey
SSDT            spiy.sys                                                                                                            ZwOpenKey [0xB7EA80C0]                                                  <-- ROOTKIT !!!
SSDT            B8716B90                                                                                                            ZwOpenProcess
SSDT            B8716B95                                                                                                            ZwOpenThread
SSDT            spiy.sys                                                                                                            ZwQueryKey [0xB7EC7108]                                                  <-- ROOTKIT !!!
SSDT            spiy.sys                                                                                                            ZwQueryValueKey [0xB7EC6F88]                                            <-- ROOTKIT !!!
SSDT            B8716BCC                                                                                                            ZwReplaceKey
SSDT            B8716BC7                                                                                                            ZwRestoreKey
SSDT            B8716BB8                                                                                                            ZwSetValueKey
SSDT            B8716B9F                                                                                                            ZwTerminateProcess

INT 0x62        ?                                                                                                                    8A791BF8
INT 0x63        ?                                                                                                                    8A791BF8
INT 0x63        ?                                                                                                                    8A791BF8
INT 0x94        ?                                                                                                                    8A55DBF8
INT 0xA4        ?                                                                                                                    8A55DBF8
INT 0xA4        ?                                                                                                                    8A55DBF8
INT 0xA4        ?                                                                                                                    8A55DBF8
INT 0xB4        ?                                                                                                                    8A55DBF8
INT 0xB4        ?                                                                                                                    8A55DBF8
INT 0xB4        ?                                                                                                                    8A55DBF8
INT 0xB4        ?                                                                                                                    8A55DBF8

---- Kernel code sections - GMER 1.0.15 ----

?              spiy.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          USBPORT.SYS!DllUnload                                                                                                B6C488AC 5 Bytes  JMP 8A55D1D8
.text          al5lxyh8.SYS                                                                                                        B68E9386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          al5lxyh8.SYS                                                                                                        B68E93AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          al5lxyh8.SYS                                                                                                        B68E93C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text          al5lxyh8.SYS                                                                                                        B68E93C9 1 Byte  [2E]
.text          al5lxyh8.SYS                                                                                                        B68E93C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text          ...                                                                                                                 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [B7EA9040] spiy.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [B7EA913C] spiy.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B7EA90BE] spiy.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B7EA97FC] spiy.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B7EA96D2] spiy.sys
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [B7EB9048] spiy.sys
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfAcquireSpinLock]                                                C0840CEC
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!READ_PORT_UCHAR]                                                  053C0D74
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KeGetCurrentIrql]                                                  57B80974
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfRaiseIrql]                                                      8B000000
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfLowerIrql]                                                      56C35DE5
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!HalGetInterruptVector]                                            8D08758B
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!HalTranslateBusAddress]                                            8D51FC4D
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KeStallExecutionProcessor]                                        8D52FD55
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfReleaseSpinLock]                                                8D51FE4D
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          8D52FF55
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!READ_PORT_USHORT]                                                  8D51F84D
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          5052F455
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  EACAE856
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[WMILIB.SYS!WmiSystemControl]                                              0FC08520
IAT            \SystemRoot\System32\Drivers\al5lxyh8.SYS[WMILIB.SYS!WmiCompleteRequest]                                            0001B185

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              8A71F1F8

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\usbuhci \Device\USBPDO-0                                                                                    8A55C1F8
Device          \Driver\sptd \Device\2151704218                                                                                      spiy.sys
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    8A55C1F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            8A7211F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              8A7211F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                8A7211F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                8A7211F8
Device          \Driver\usbehci \Device\USBPDO-2                                                                                    8A5451F8
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                    8A55C1F8
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                    8A55C1F8
Device          \Driver\usbuhci \Device\USBPDO-5                                                                                    8A55C1F8
Device          \Driver\usbehci \Device\USBPDO-6                                                                                    8A5451F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              8A7921F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              8A7921F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                        8A4B71F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                        8A4B71F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          [B7DFBB40] atapi.sys[unknown section]
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [B7DFBB40] atapi.sys[unknown section]
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  [B7DFBB40] atapi.sys[unknown section]
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e                                                                          [B7DFBB40] atapi.sys[unknown section]
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                              8A7921F8
Device          \Driver\Cdrom \Device\CdRom2                                                                                        8A4B71F8
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                              8A7921F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              89FA3500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    89FA3500
Device          \Driver\NetBT \Device\NetBT_Tcpip_{E063DA0C-57A7-4E38-B39D-5E6CCE0F0651}                                            89FA3500
Device          \Driver\PCI_PNP2968 \Device\0000005e                                                                                spiy.sys
Device          \Driver\NetBT \Device\NetBT_Tcpip_{D31ECCE7-CA5E-4022-ACA1-7C07162617F5}                                            89FA3500
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    8A55C1F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    8A55C1F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    89F9D500
Device          \Driver\usbehci \Device\USBFDO-2                                                                                    8A5451F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          89F9D500
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                    8A55C1F8
Device          \Driver\usbuhci \Device\USBFDO-4                                                                                    8A55C1F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                    8A7921F8
Device          \Driver\usbuhci \Device\USBFDO-5                                                                                    8A55C1F8
Device          \Driver\usbehci \Device\USBFDO-6                                                                                    8A5451F8
Device          \Driver\VClone \Device\Scsi\VClone1                                                                                  89F3C1F8
Device          \Driver\al5lxyh8 \Device\Scsi\al5lxyh81                                                                              8A473500
Device          \Driver\VClone \Device\Scsi\VClone1Port2Path0Target0Lun0                                                            89F3C1F8
Device          \Driver\al5lxyh8 \Device\Scsi\al5lxyh81Port3Path0Target0Lun0                                                        8A473500
Device          \FileSystem\Fastfat \Fat                                                                                            89FEA500
Device          \FileSystem\Fastfat \Fat                                                                                            B1906297

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                              89FB6500

---- Services - GMER 1.0.15 ----

Service        C:\Programme\Dell (*** hidden *** )                                                                                  [AUTO] sprtsvc_dellsupportcenter                                        <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0x6B 0x9B 0xD1 0x71 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x3C 0x03 0x3F 0x05 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0xBC 0x2D 0xF8 0x14 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x6B 0x9B 0xD1 0x71 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x3C 0x03 0x3F 0x05 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xBC 0x2D 0xF8 0x14 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x6B 0x9B 0xD1 0x71 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x3C 0x03 0x3F 0x05 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xBC 0x2D 0xF8 0x14 ...

---- EOF - GMER 1.0.15 ----

kira 17.10.2009 15:22
hi

kommt noch was von dir?


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:20 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131