Trojaner-Board - Trojaner wird immer nach Systemstart gefunden

RSIT Info:
Code:
info.txt logfile of random's system information tool 1.06 2009-11-24 13:18:52
 

======Uninstall list======
 

-->MsiExec /X{6833245E-DD86-479A-882A-8360D62C8194}

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001}

Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE

Call of Duty 4: Modern Warfare-->"C:\Program Files\CSteam\steam.exe" steam://uninstall/7940

CCleaner-->"C:\Program Files\CCleaner\uninst.exe"

DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN

FormatFactory 2.15-->C:\Program Files\FreeTime\FormatFactory\uninst.exe

GIMP 2.6.7-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"

Green Charger-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{73D7F26F-A650-49F3-9928-AD204673797C} 

HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""

Intel PROSet Wireless-->Intel PROSet Wireless

Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe

Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}

JDownloader-->C:\Program Files\JDownloader\uninstall.exe

JMicron JMB38X Flash Media Controller-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{26604C7E-A313-4D12-867F-7C6E7820BE4C}\setup.exe" -l0x7  -removeonly

Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

Meeting Secretary-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{B25D4EF9-CC92-4405-9353-BBD4C687BF7C} 

Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe

Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}

Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe

Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}

Mozilla Firefox (3.5.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe

NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI

NVIDIA PhysX-->MsiExec.exe /X{6833245E-DD86-479A-882A-8360D62C8194}

Photo Gadget-->"C:\Program Files\XemiComputers\Photo Gadget\unins000.exe"

Program DJ-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{EF2A95D9-C159-4779-A564-12E58D3CD8D7} 

Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe"  -removeonly

Safety Guard-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{5FCCE459-7CB3-48BB-AECD-F52DE8ADE23A} 

Smart Watchdog-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{7243A264-7401-445E-99E6-2CC334960047} 

Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""

VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}

VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe

WinRAR-->C:\Program Files\WinRAR\uninstall.exe

Wireless Switch-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{23BDF7D8-C353-4BA8-8567-814F91332CEA} 

Wow Video&Audio utility-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{F408DA6B-DA75-4D95-B87D-49AFF0B4EBB0} 
 

======Security center information======
 

AS: Windows Defender
 

======System event log======
 

Computer Name: michael-PC

Event Code: 7036

Message: Dienst "TPM-Basisdienste" befindet sich jetzt im Status "Beendet".

Record Number: 26979

Source Name: Service Control Manager

Time Written: 20091124121506.000000-000

Event Type: Informationen

User: 
 

Computer Name: michael-PC

Event Code: 7036

Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt".

Record Number: 26980

Source Name: Service Control Manager

Time Written: 20091124121507.000000-000

Event Type: Informationen

User: 
 

Computer Name: michael-PC

Event Code: 537

Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.

Record Number: 26981

Source Name: Microsoft-Windows-TBS

Time Written: 20091124121506.908579-000

Event Type: Informationen

User: NT-AUTORITÄT\LOKALER DIENST
 

Computer Name: michael-PC

Event Code: 7036

Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Beendet".

Record Number: 26982

Source Name: Service Control Manager

Time Written: 20091124121509.000000-000

Event Type: Informationen

User: 
 

Computer Name: michael-PC

Event Code: 7036

Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt".

Record Number: 26983

Source Name: Service Control Manager

Time Written: 20091124121514.000000-000

Event Type: Informationen

User: 
 

=====Application event log=====
 

Computer Name: michael-PC

Event Code: 1

Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.

Record Number: 2386

Source Name: Microsoft-Windows-CertificateServicesClient

Time Written: 20091124121405.293179-000

Event Type: Informationen

User: michael-PC\michael
 

Computer Name: michael-PC

Event Code: 1

Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.

Record Number: 2387

Source Name: Microsoft-Windows-CertificateServicesClient

Time Written: 20091124121405.299179-000

Event Type: Informationen

User: NT-AUTORITÄT\SYSTEM
 

Computer Name: michael-PC

Event Code: 1

Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 2388

Source Name: SecurityCenter

Time Written: 20091124121507.000000-000

Event Type: Informationen

User: 
 

Computer Name: michael-PC

Event Code: 1001

Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help".

Record Number: 2389

Source Name: Microsoft-Windows-LoadPerf

Time Written: 20091124121807.000000-000

Event Type: Informationen

User: 
 

Computer Name: michael-PC

Event Code: 1000

Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.

Record Number: 2390

Source Name: Microsoft-Windows-LoadPerf

Time Written: 20091124121807.000000-000

Event Type: Informationen

User: 
 

=====Security event log=====
 

Computer Name: michael-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys        

Record Number: 3327

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091124121850.481579-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: michael-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys        

Record Number: 3328

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091124121850.528379-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: michael-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys        

Record Number: 3329

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091124121850.559579-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: michael-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys        

Record Number: 3330

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091124121850.590779-000

Event Type: Überwachung gescheitert

User: 
 

Computer Name: michael-PC

Event Code: 5038

Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
 

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys        

Record Number: 3331

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091124121850.621979-000

Event Type: Überwachung gescheitert

User: 
 

======Environment variables======
 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel

"PROCESSOR_REVISION"=0f0d

"NUMBER_OF_PROCESSORS"=2

"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat

"DFSTRACINGON"=FALSE
 

-----------------EOF-----------------
Antivir hat nach dem Start mal nichts mehr gemeldet.
Muss ich jetzt noch was machen?