Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Malware Defense/Security Alert-Trojaner (https://www.trojaner-board.de/81365-malware-defense-security-alert-trojaner.html)

alina 07.01.2010 02:37
Malware Defense/Security Alert-Trojaner
 
Hallo liebe Helfer!

auch mich hat nun der MalwareDefense/SecurityAlert -Virus angesteckt...

Da Avira Antivir sich nicht öffnen ließ habe ich mir die Testversion von "GData Antivirus" runtergeladen und damit geschafft folgende Viren zu löschen (laut GData):

-Trojan.Heur.Iu0v1bRMklkx
-Win32:Jifas-Co
-JS:Redirector-AQ
-Trojan.FakeAlert.BSM
-Trojan.Generic.IS.107367
-Trojan.Tdss.122

Nachdem diese Viren gelöscht waren kamen bis jetzt auch keine Pop-ups bzw. Security Alert Center-Fenster mehr.

Allerdings erscheint bei der Prüfung von "Speicher und Autostart prüfen" noch immer folgender Virus:

-Win32:Jifas-Co [Trj]
Datei: H8SRTbhtamvlxjo.dll
Pfad: globalroot/systemroot/system32

Die Funktionen "Virus entfernen" und "Virus in Quarantäne verschieben" funktionieren nicht. "Virus löschen" geht zwar, allerdings taucht er bei einer neuen Virendurchsuchung wieder auf...

Habe gehört, dass mit Combofix das Problem gelöst werden könnte, wollte vorher allerdings doch noch fachmännischen Rat einholen.

Info: Netzwerkkabel war, außer zur Installation von Malwarebytes und RSIT, ausgesteckt.
Schreibe gerade von einem externen "sauberen" Rechner.

Außerdem hat bei mir die Installation von Malwarebytes nicht funktioniert.
Habe versucht es in mb.exe und mb.com umzubenennen, die Installation hat trotzdem nicht gestartet.

Hiert nun das HiJackThis log

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:04:34, on 07.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G Data\AntiVirus\AVK\AVKService.exe
C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SMSC\SetIcon.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Eigene Programme\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://wwx.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://wxw.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=011810 serial=DR12WEX-1504397-KTY lang=DE
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_5F1A57F0B9B89E2E.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://wwx.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1262536476062
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161181998125
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G Data\AntiVirus\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9474 bytes
Und hier das RSIT log.txt

Code:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Alina at 2010-01-07 01:22:15
Microsoft Windows XP Professional Service Pack 3
System drive C: has 179 GB (63%) free of 285 GB
Total RAM: 2046 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:22:15, on 07.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G Data\AntiVirus\AVK\AVKService.exe
C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SMSC\SetIcon.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Eigene Programme\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Eigene Programme\Malwarebytes Anti-Malware\mbam-setup.exe
C:\Eigene Programme\Malwarebytes Anti-Malware\mbam-setup.exe
C:\Eigene Programme\Malwarebytes Anti-Malware\mb.com
C:\Eigene Programme\Malwarebytes Anti-Malware\mb.com
C:\Eigene Programme\Malwarebytes Anti-Malware\mbam-setup.exe
C:\Eigene Programme\Malwarebytes Anti-Malware\mb.exe
C:\Dokumente und Einstellungen\Alina\Desktop\RSIT.exe
C:\Eigene Programme\HiJackThis\Alina.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wxw.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=011810 serial=DR12WEX-1504397-KTY lang=DE
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_5F1A57F0B9B89E2E.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1262536476062
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161181998125
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G Data\AntiVirus\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9953 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}]
G Data WebFilter - C:\Programme\G Data\AntiVirus\Webfilter\AVKWebIE.dll [2009-09-18 594504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll [2006-07-26 434279]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-01-03 279664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-01-03 812528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-01-03 279664]
{0124123D-61B4-456f-AF86-78C53A0790C5} - G Data WebFilter - C:\Programme\G Data\AntiVirus\Webfilter\AVKWebIE.dll [2009-09-18 594504]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-10-09 16236032]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2006-10-09 69632]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-10-06 7700480]
"nwiz"=nwiz.exe /install []
"SetIcon"=\Programme\SMSC\SetIcon.exe [2004-04-28 42496]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]
"LanguageShortcut"=C:\Programme\Home Cinema\PowerDVD\Language\Language.exe [2006-05-18 49152]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-05-11 40048]
"CorelDRAW Graphics Suite 11b"=C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe [2003-11-28 733184]
"atwtusb"=atwtusb.exe beta []
"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2005-03-17 57393]
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2005-03-17 40960]
"SetDefPrt"=C:\Programme\Brother\Brmfl05a\BrStDvPt.exe [2005-01-26 49152]
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe [2005-05-17 933888]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-11-10 417792]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-11-12 141600]
"G DATA AntiVirus Trayapplication"=C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe [2009-09-18 924232]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2010-01-03 39408]
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe [2006-11-03 204288]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE
Status Monitor.lnk - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2006-06-19 702768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe"="C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\WNt500x86\RpcSandraSrv.exe"="C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-01-07 01:22:15 ----D---- C:\rsit
2010-01-07 01:20:47 ----HD---- C:\WINDOWS\PIF
2010-01-06 23:21:27 ----D---- C:\Programme\CCleaner
2010-01-06 19:10:17 ----D---- C:\!KillBox
2010-01-05 13:48:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2010-01-05 13:48:03 ----D---- C:\Programme\Gemeinsame Dateien\G DATA
2010-01-05 13:48:03 ----D---- C:\Programme\G Data
2010-01-05 01:59:55 ----A---- C:\WINDOWS\system32\krl32mainweq.dll
2010-01-05 01:58:20 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini
2010-01-05 01:58:15 ----D---- C:\WINDOWS\Sun
2010-01-04 23:28:29 ----D---- C:\Dokumente und Einstellungen\Alina\Anwendungsdaten\Apple Computer
2010-01-04 23:28:22 ----A---- C:\WINDOWS\system32\GEARAspi.dll
2010-01-04 23:27:48 ----D---- C:\Programme\iPod
2010-01-04 23:27:44 ----D---- C:\Programme\iTunes
2010-01-04 23:27:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2010-01-04 23:27:31 ----D---- C:\Programme\Bonjour
2010-01-04 23:27:06 ----D---- C:\Programme\QuickTime
2010-01-04 23:27:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-01-04 23:26:57 ----D---- C:\Programme\Apple Software Update
2010-01-04 23:26:15 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2010-01-04 23:26:15 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2010-01-04 12:38:58 ----D---- C:\Programme\MSXML 4.0
2010-01-04 12:38:51 ----HDC---- C:\WINDOWS\$NtUninstallKB954154_WM11$
2010-01-04 12:38:48 ----HDC---- C:\WINDOWS\$NtUninstallKB929399$
2010-01-04 12:38:31 ----HDC---- C:\WINDOWS\$NtUninstallKB939683$
2010-01-04 01:39:37 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlE.tmp
2010-01-04 01:39:37 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlD.tmp
2010-01-04 01:39:37 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlC.tmp
2010-01-04 01:34:31 ----D---- C:\Programme\SiSoftware
2010-01-04 01:08:07 ----A---- C:\WINDOWS\system32\pdfcmnnt.dll
2010-01-04 01:08:06 ----D---- C:\Programme\PDFCreator
2010-01-04 01:08:06 ----A---- C:\WINDOWS\system32\MSMPIDE.DLL
2010-01-04 01:08:06 ----A---- C:\WINDOWS\system32\MSCMCDE.DLL
2010-01-04 01:08:06 ----A---- C:\WINDOWS\system32\MSCC2DE.DLL
2010-01-04 00:48:57 ----D---- C:\Programme\Open Canvas
2010-01-04 00:45:07 ----D---- C:\Programme\Gemeinsame Dateien\Sonavis
2010-01-04 00:45:03 ----D---- C:\Programme\Sonavis
2010-01-04 00:45:03 ----D---- C:\Dokumente und Einstellungen\Alina\Anwendungsdaten\Sonavis
2010-01-04 00:38:29 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlB.tmp
2010-01-04 00:38:28 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlA.tmp
2010-01-04 00:38:28 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml9.tmp
2010-01-04 00:08:12 ----D---- C:\Programme\ZipStar
2010-01-04 00:08:12 ----D---- C:\Programme\Gemeinsame Dateien\Squeez
2010-01-04 00:05:38 ----A---- C:\WINDOWS\unin0407.exe
2010-01-03 23:13:44 ----A---- C:\WINDOWS\BRWMARK.INI
2010-01-03 23:13:44 ----A---- C:\WINDOWS\BRPP2KA.INI
2010-01-03 23:13:42 ----A---- C:\WINDOWS\system32\brss01a.ini
2010-01-03 23:11:26 ----A---- C:\WINDOWS\system32\bsplmf01.exe
2010-01-03 23:11:26 ----A---- C:\WINDOWS\system32\bsplmf01.dll
2010-01-03 23:11:26 ----A---- C:\WINDOWS\system32\BrWia05a.dll
2010-01-03 23:11:26 ----A---- C:\WINDOWS\system32\BrUSi05a.dll
2010-01-03 23:11:26 ----A---- C:\WINDOWS\system32\brsvc01a.exe
2010-01-03 23:11:26 ----A---- C:\WINDOWS\system32\brss01a.exe
2010-01-03 23:11:25 ----N---- C:\WINDOWS\system32\brinsstr.dll
2010-01-03 23:11:20 ----N---- C:\WINDOWS\system32\PDRVINST.DLL
2010-01-03 23:11:20 ----N---- C:\WINDOWS\system32\BRWEBUP.EXE
2010-01-03 23:11:20 ----N---- C:\WINDOWS\system32\BrWebIns.dll
2010-01-03 23:11:20 ----D---- C:\Programme\Brother
2010-01-03 23:11:19 ----D---- C:\Brother
2010-01-03 23:11:18 ----N---- C:\WINDOWS\brunin03.dll
2010-01-03 23:08:37 ----A---- C:\WINDOWS\maxlink.ini
2010-01-03 23:08:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2010-01-03 23:08:18 ----D---- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2010-01-03 23:08:14 ----D---- C:\Programme\ScanSoft
2010-01-03 23:08:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2010-01-03 23:06:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
2010-01-03 22:55:26 ----A---- C:\WINDOWS\ULEAD32.INI
2010-01-03 22:54:03 ----D---- C:\Programme\Ulead Systems
2010-01-03 22:49:15 ----A---- C:\WINDOWS\system32\wintab32.dll
2010-01-03 22:49:15 ----A---- C:\WINDOWS\system32\utblfilt.dll
2010-01-03 22:49:15 ----A---- C:\WINDOWS\system32\tblmouse.exe
2010-01-03 22:49:15 ----A---- C:\WINDOWS\system32\Tblfunc.dll
2010-01-03 22:49:15 ----A---- C:\WINDOWS\system32\Funckey.dll
2010-01-03 22:49:14 ----D---- C:\Programme\USB Tablet
2010-01-03 22:49:14 ----A---- C:\WINDOWS\system32\TblRes.dll
2010-01-03 22:49:14 ----A---- C:\WINDOWS\system32\Atwtusb.exe
2010-01-03 22:49:14 ----A---- C:\WINDOWS\aiptbl.ini
2010-01-03 19:56:39 ----D---- C:\Programme\IrfanView
2010-01-03 19:54:00 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\vlc
2010-01-03 19:49:38 ----D---- C:\Programme\VideoLAN
2010-01-03 19:47:15 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Corel
2010-01-03 19:42:12 ----N---- C:\WINDOWS\system32\spmsg.dll
2010-01-03 19:42:07 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$
2010-01-03 19:41:50 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$
2010-01-03 19:41:11 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
2010-01-03 19:40:51 ----D---- C:\WINDOWS\system32\LogFiles
2010-01-03 19:40:46 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$
2010-01-03 19:34:21 ----D---- C:\Programme\Gemeinsame Dateien\Corel
2010-01-03 19:33:53 ----D---- C:\Programme\Corel
2010-01-03 19:09:59 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$
2010-01-03 19:09:52 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2010-01-03 19:03:01 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2010-01-03 19:02:54 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-03 19:02:50 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2010-01-03 19:02:46 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2010-01-03 19:02:41 ----HDC---- C:\WINDOWS\$NtUninstallKB976098-v2$
2010-01-03 19:02:38 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2010-01-03 19:02:33 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$
2010-01-03 19:02:27 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2010-01-03 19:02:23 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$
2010-01-03 19:02:18 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2010-01-03 19:02:13 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$
2010-01-03 19:02:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958869$
2010-01-03 19:02:02 ----HDC---- C:\WINDOWS\$NtUninstallKB971486$
2010-01-03 19:01:56 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$
2010-01-03 19:01:52 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$
2010-01-03 19:01:48 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$
2010-01-03 19:01:45 ----HDC---- C:\WINDOWS\$NtUninstallKB954155_WM9$
2010-01-03 19:01:42 ----HDC---- C:\WINDOWS\$NtUninstallKB973525$
2010-01-03 18:59:24 ----HDC---- C:\WINDOWS\$NtUninstallKB953295$
2010-01-03 18:59:10 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2010-01-03 18:59:03 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2010-01-03 18:58:59 ----HDC---- C:\WINDOWS\$NtUninstallKB973768$
2010-01-03 18:58:45 ----HDC---- C:\WINDOWS\$NtUninstallKB961371-v2$
2010-01-03 18:58:41 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2010-01-03 18:58:37 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2010-01-03 18:58:33 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2010-01-03 18:58:29 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2010-01-03 18:58:25 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2010-01-03 18:58:21 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2010-01-03 18:58:17 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2010-01-03 18:58:10 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2010-01-03 18:58:07 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2010-01-03 18:57:56 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2010-01-03 18:57:51 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2010-01-03 18:57:48 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2010-01-03 18:57:44 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2010-01-03 18:57:40 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2010-01-03 18:57:35 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2010-01-03 18:57:26 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2010-01-03 18:57:21 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2010-01-03 18:57:16 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2010-01-03 18:57:12 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2010-01-03 18:57:01 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$
2010-01-03 18:56:57 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2010-01-03 18:56:53 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2010-01-03 18:56:49 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2010-01-03 18:56:45 ----HDC---- C:\WINDOWS\$NtUninstallKB923723$
2010-01-03 18:56:41 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2010-01-03 18:56:37 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2010-01-03 18:56:33 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2010-01-03 18:56:29 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2010-01-03 18:56:25 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2010-01-03 18:56:22 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2010-01-03 18:56:18 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2010-01-03 18:56:14 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2010-01-03 18:56:10 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2010-01-03 18:56:05 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2010-01-03 18:56:01 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2010-01-03 18:55:57 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2010-01-03 18:55:35 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2010-01-03 18:36:04 ----D---- C:\WINDOWS\system32\XPSViewer
2010-01-03 18:36:02 ----D---- C:\Programme\MSBuild
2010-01-03 18:36:00 ----D---- C:\WINDOWS\system32\en-US
2010-01-03 18:35:57 ----D---- C:\Programme\Reference Assemblies
2010-01-03 18:35:42 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2010-01-03 18:35:42 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2010-01-03 18:35:42 ----N---- C:\WINDOWS\system32\prntvpt.dll
2010-01-03 18:35:42 ----D---- C:\d62ccb19d219de3addb906aca5dfb5
2010-01-03 18:12:40 ----D---- C:\WINDOWS\Prefetch
2010-01-03 18:03:59 ----D---- C:\WINDOWS\system32\de
2010-01-03 18:03:59 ----D---- C:\WINDOWS\system32\bits
2010-01-03 18:03:59 ----D---- C:\WINDOWS\l2schemas
2010-01-03 18:02:37 ----D---- C:\WINDOWS\ServicePackFiles
2010-01-03 18:01:03 ----D---- C:\WINDOWS\network diagnostic
2010-01-03 17:58:52 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2010-01-03 17:35:45 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2010-01-03 17:35:45 ----A---- C:\WINDOWS\system32\wucltui.dll.mui
2010-01-03 17:35:45 ----A---- C:\WINDOWS\system32\wuaueng.dll.mui
2010-01-03 17:35:45 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2010-01-03 17:26:20 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Google
2010-01-03 17:25:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2010-01-03 17:13:28 ----D---- C:\WINDOWS\ie8updates
2010-01-03 17:12:57 ----D---- C:\WINDOWS\WBEM
2010-01-03 17:12:15 ----HDC---- C:\WINDOWS\ie8
2010-01-03 17:12:15 ----D---- C:\WINDOWS\system32\de-DE
2010-01-03 17:11:52 ----HD---- C:\WINDOWS\msdownld.tmp
2010-01-03 16:23:01 ----HDC---- C:\WINDOWS\$NtUninstallKB932823-v3$
2010-01-03 13:12:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2010-01-03 13:12:42 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2010-01-03 13:03:29 ----D---- C:\Eigene Treiber
2010-01-03 13:03:11 ----D---- C:\Eigene Programme
2010-01-03 12:53:06 ----A---- C:\WINDOWS\ODBC.INI
2010-01-03 12:52:32 ----D---- C:\Programme\Gemeinsame Dateien\Designer
2010-01-03 12:52:09 ----D---- C:\WINDOWS\ShellNew
2010-01-03 12:51:14 ----D---- C:\Programme\Microsoft Office
2010-01-03 12:51:14 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft Web Folders
2010-01-03 12:25:19 ----SHD---- C:\RECYCLER
2010-01-03 12:15:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
2010-01-03 12:13:08 ----ASH---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\desktop.ini
2010-01-03 12:13:07 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia
2010-01-03 12:13:07 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Identities
2010-01-03 12:13:07 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\CyberLink
2010-01-03 12:13:07 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Ahead
2010-01-03 12:13:07 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe
2010-01-03 12:13:06 ----SD---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft
2010-01-03 12:13:06 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sun
2010-01-03 12:11:17 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-01-03 12:10:47 ----D---- C:\WINDOWS\SoftwareDistribution
2010-01-03 12:09:02 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-03 12:08:53 ----SHD---- C:\System Volume Information

======List of files/folders modified in the last 1 months======

2010-01-07 01:20:47 ----D---- C:\WINDOWS
2010-01-07 01:17:48 ----D---- C:\WINDOWS\Temp
2010-01-07 01:17:48 ----D---- C:\WINDOWS\system32
2010-01-06 23:23:39 ----D---- C:\WINDOWS\Debug
2010-01-06 23:21:27 ----RD---- C:\Programme
2010-01-06 19:37:31 ----D---- C:\WINDOWS\Registration
2010-01-06 19:37:30 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-05 13:56:02 ----D---- C:\WINDOWS\system32\drivers
2010-01-05 13:48:28 ----SHD---- C:\WINDOWS\Installer
2010-01-05 13:48:14 ----HD---- C:\WINDOWS\inf
2010-01-05 13:48:12 ----D---- C:\WINDOWS\WinSxS
2010-01-05 13:48:03 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-04 23:28:22 ----DC---- C:\WINDOWS\system32\DRVSTORE
2010-01-04 23:27:23 ----D---- C:\Programme\Internet Explorer
2010-01-04 23:26:59 ----SD---- C:\WINDOWS\Tasks
2010-01-04 12:53:48 ----D---- C:\Programme\Adobe
2010-01-04 12:48:41 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-01-04 12:38:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-03 23:13:30 ----D---- C:\WINDOWS\twain_32
2010-01-03 23:11:20 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2010-01-03 23:11:17 ----HD---- C:\Programme\InstallShield Installation Information
2010-01-03 23:08:18 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-01-03 22:55:25 ----RSD---- C:\WINDOWS\Fonts
2010-01-03 20:20:40 ----D---- C:\WINDOWS\Microsoft.NET
2010-01-03 20:20:36 ----RSD---- C:\WINDOWS\assembly
2010-01-03 19:51:28 ----D---- C:\WINDOWS\system32\CatRoot
2010-01-03 19:42:04 ----A---- C:\WINDOWS\win.ini
2010-01-03 19:41:59 ----D---- C:\Programme\Windows Media Connect 2
2010-01-03 19:41:58 ----D---- C:\Programme\Windows Media Player
2010-01-03 19:41:56 ----D---- C:\WINDOWS\Help
2010-01-03 19:34:19 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-03 19:15:06 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-03 19:09:26 ----HD---- C:\WINDOWS\$hf_mig$
2010-01-03 19:05:17 ----D---- C:\WINDOWS\AppPatch
2010-01-03 19:05:16 ----D---- C:\WINDOWS\system32\wbem
2010-01-03 18:59:00 ----D---- C:\WINDOWS\ehome
2010-01-03 18:58:27 ----D---- C:\Programme\Outlook Express
2010-01-03 18:35:47 ----D---- C:\WINDOWS\system32\spool
2010-01-03 18:12:25 ----D---- C:\WINDOWS\system32\Setup
2010-01-03 18:11:52 ----D---- C:\WINDOWS\security
2010-01-03 18:04:09 ----D---- C:\Programme\Messenger
2010-01-03 18:04:07 ----D---- C:\WINDOWS\system32\inetsrv
2010-01-03 18:04:07 ----D---- C:\WINDOWS\ime
2010-01-03 18:03:59 ----D---- C:\WINDOWS\system32\usmt
2010-01-03 18:03:59 ----D---- C:\WINDOWS\PeerNet
2010-01-03 18:03:58 ----D---- C:\Programme\Movie Maker
2010-01-03 18:02:29 ----D---- C:\WINDOWS\system32\Restore
2010-01-03 18:02:29 ----D---- C:\WINDOWS\system32\npp
2010-01-03 18:02:29 ----D---- C:\WINDOWS\msagent
2010-01-03 18:02:28 ----D---- C:\WINDOWS\srchasst
2010-01-03 18:02:27 ----D---- C:\Programme\NetMeeting
2010-01-03 18:02:26 ----D---- C:\WINDOWS\system32\Com
2010-01-03 18:02:25 ----D---- C:\Programme\Windows NT
2010-01-03 18:02:23 ----D---- C:\Programme\Gemeinsame Dateien\System
2010-01-03 18:02:10 ----D---- C:\WINDOWS\system32\oobe
2010-01-03 18:02:08 ----D---- C:\WINDOWS\system
2010-01-03 18:00:08 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-01-03 17:26:07 ----D---- C:\Programme\Google
2010-01-03 17:12:59 ----D---- C:\WINDOWS\system32\config
2010-01-03 17:12:51 ----D---- C:\WINDOWS\Media
2010-01-03 12:51:06 ----D---- C:\WINDOWS\msapps
2010-01-03 12:51:06 ----D---- C:\Programme\microsoft frontpage
2010-01-03 12:13:05 ----D---- C:\Dokumente und Einstellungen
2010-01-03 12:12:53 ----RASH---- C:\boot.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 GRD;G Data Rootkit Detector Driver; \??\C:\WINDOWS\system32\drivers\GRD.sys []
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-10-18 21275]
R2 GDTdiInterceptor;GDTdiInterceptor; \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys []
R3 3xHybrid;Philips SAA713x PCI Card; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\System32\Drivers\BrScnUsb.sys [2004-10-15 15295]
R3 FETND5BV;VIA Rhine-Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2006-03-15 43008]
R3 GDMnIcpt;GDMnIcpt; \??\C:\WINDOWS\system32\drivers\MiniIcpt.sys []
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\drivers\GEARAspiWDM.sys [2009-05-18 26600]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 HookCentre;HookCentre; \??\C:\WINDOWS\system32\drivers\HookCentre.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-10-09 4381696]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-10-06 3992608]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 X10Hid;X10 Hid Device; C:\WINDOWS\System32\Drivers\x10hid.sys [2005-11-28 7040]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 RT2500USB;RT2500 USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2005-10-17 245376]
S3 RT73;RT73 USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys [2006-06-08 344064]
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\WNt500x86\Sandra.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 utblfilt;utblfilt; C:\WINDOWS\System32\drivers\utblfilt.sys [2001-05-23 12084]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]
R2 AVKProxy;G Data AntiVirus Proxy; C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2009-12-07 1128008]
R2 AVKService;G Data Scheduler; C:\Programme\G Data\AntiVirus\AVK\AVKService.exe [2009-08-08 397896]
R2 AVKWCtl;G Data Dateisystem Wächter; C:\Programme\G Data\AntiVirus\AVK\AVKWCtl.exe [2009-11-25 1251488]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2006-06-29 237568]
R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-04-24 73728]
R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-10-06 159810]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2005-08-08 167936]
R2 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\wmpnetwk.exe [2006-11-03 920576]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
R3 GDScan;G Data Scanner; C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe [2009-11-26 302152]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-11-12 545568]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-01-03 135664]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-03 182768]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service; C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe [2008-11-03 98488]
S3 usnsvc;Messenger Sharing USN Journal Reader-Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

und die RSIT info.txt

Code:

info.txt logfile of random's system information tool 1.06 2010-01-07 01:22:17

======Uninstall list======

-->C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->MsiExec.exe /I{8A42F680-2DD6-11D4-9A8C-0040F6982C20}
-->MsiExec.exe /I{A2529672-574A-4A99-86A5-C1770A0E31FE}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Brother MFL-Pro Suite-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}\Setup.exe" -l0x7 Brunin03.dllBrunin03.dll
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
CorelDRAW Graphics Suite 12-->MsiExec.exe /I{505AFDC0-5E72-4928-8368-5DEA385E3647}
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX User Guide-->C:\Programme\DivX\DivXUserGuideUninstall /USERGUIDE
DOit! ZipStar für Windows 95 / NT 4.0-->C:\WINDOWS\unin0407.exe -fC:\Programme\ZipStar\DeIsL1.isu
G Data AntiVirus-->MsiExec.exe /I{0FDB2D25-D880-4E10-868F-8C64EFE155F1}
GemMaster Mystic-->"C:\Programme\GemMasterGerman\uninstallgemmaster.exe"
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_87D2354060A58B1C.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Eigene Programme\HiJackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
iTunes-->MsiExec.exe /I{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}
J2SE Runtime Environment 5.0 Update 8-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150080}
MCE Software Encoder 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7655E113-C306-11D9-A373-0050BAE317E1}\setup.exe"  -uninstall
MD9570 Driver-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\USB Tablet\USB Tablet Driver\Uninst.isu"
Microsoft .NET Framework 1.0 Hotfix (KB953295)-->"C:\WINDOWS\$NtUninstallKB953295$\spuninst\spuninst.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Windows-Journal-Viewer-->MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA8}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 7 Essentials-->MsiExec.exe /I{5B8072B3-A576-4C0B-99BC-FAA7145A1031}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Otto-->"C:\Programme\GermanOtto\uninstallotto.exe"
PaperPort-->MsiExec.exe /I{A17EABB6-D0C6-44E5-820C-72DC7F495064}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe"  -uninstall
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
Ralink Wireless LAN-Karte-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E91E8912-769D-42F0-8408-0E329443BABC}\setup.exe" -l0x7  -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
SiSoftware Sandra Lite 2009.SP1-->"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\unins000.exe"
TVsweeper-->MsiExec.exe /I{D0CC1431-915D-4454-A045-232155BFD498}
Ulead PhotoImpact 5 Bundled Edition-->C:\WINDOWS\ISUn0407.exe -f"C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Uninst.isu" -c"C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\IS32Inst.dll"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 8 (KB975364)-->"C:\WINDOWS\ie8updates\KB975364-IE8\spuninst\spuninst.exe"
Update für Windows Media Player 10 (KB913800)-->"C:\WINDOWS\$NtUninstallKB913800$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Update Rollup 2 für Windows XP Media Center Edition 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
USB2.0 CARD READER-->MsiExec.exe /I{247A11CA-F5CE-4DD6-85E2-64850E64E064}
VIA Platform Device Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VIA Rhine-Family Fast Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA
VideoLAN VLC media player 0.8.6-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Live Messenger-->MsiExec.exe /I{8DCBD4B1-DD30-4A9A-ADF7-FA3162B596C4}
Windows Media Connect-->"C:\WINDOWS\$NtUninstallWMCSetup$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Messenger 5.1-->MsiExec.exe /I{9D1C26BD-E792-4159-9D16-07EA222D8EF0}
Windows XP Media Center Edition 2005 KB908246-->"C:\WINDOWS\$NtUninstallKB908246$\spuninst\spuninst.exe"
Windows XP Media Center Edition 2005 KB919803-->"C:\WINDOWS\$NtUninstallKB919803$\spuninst\spuninst.exe"
Windows XP Media Center Edition 2005 KB973768-->"C:\WINDOWS\$NtUninstallKB973768$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log

======Security center information======

AV: G Data AntiVirus 2010
AV: Malware Defense (outdated)

======System event log======

Computer Name: KZ
Event Code: 7035
Message: Der Steuerbefehl "beenden" wurde erfolgreich an den Dienst "Fax" gesendet.

Record Number: 5
Source Name: Service Control Manager
Time Written: 20100103121858.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: KZ
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 4
Source Name: EventLog
Time Written: 20100103121827.000000+060
Event Type: Informationen
User:

Computer Name: KZ
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 3
Source Name: EventLog
Time Written: 20100103121827.000000+060
Event Type: Informationen
User:

Computer Name: KZ
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 2
Source Name: EventLog
Time Written: 20100103121526.000000+060
Event Type: Informationen
User:

Computer Name: KZ
Event Code: 115
Message: Systemwiederherstellungsüberwachung wurde auf allen Laufwerken aktiviert.

Record Number: 1
Source Name: SRService
Time Written: 20100103121300.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: KZ
Event Code: 32068
Message: Die ausgehende Verteilerregel ist nicht gültig, weil kein gültiges Gerät gefunden werden kann. Ausgehende Faxe, die diese Regel verwenden, werden nicht weitergeleitet. Stellen Sie sicher, dass das angezielte Gerät bzw. die angezielten Geräte angeschlossen, korrekt installiert und angeschaltet sind. Stellen Sie außerdem sicher, dass die Gruppe korrekt konfiguriert ist, falls die Weiterleitung an eine Gruppe von Geräten erfolgen soll.
Landes-/Regionskennzahl: "*"
Ortskennzahl: "*"

Record Number: 5
Source Name: Microsoft Fax
Time Written: 20100103121847.000000+060
Event Type: Warnung
User:

Computer Name: KZ
Event Code: 32026
Message: Fehler beim Initialisieren der zugewiesenen Faxgeräte (virtuell oder TAPI) durch den Faxdienst.
Es können keine Faxe gesendet werden, bis ein Faxgerät installiert ist.

Record Number: 4
Source Name: Microsoft Fax
Time Written: 20100103121847.000000+060
Event Type: Warnung
User:

Computer Name: KZ
Event Code: 0
Message:
Record Number: 3
Source Name: RichVideo
Time Written: 20100103121836.000000+060
Event Type: Informationen
User:

Computer Name: KZ
Event Code: 4
Message: The LightScribe Service started successfully.

Record Number: 2
Source Name: LightScribeService
Time Written: 20100103121835.000000+060
Event Type: Informationen
User:

Computer Name: KZ
Event Code: 11728
Message: Product: WebFldrs XP -- Configuration completed successfully.

Record Number: 1
Source Name: MsiInstaller
Time Written: 20100103121319.000000+060
Event Type: Informationen
User: KZ\Alina

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"SAN_DIR"=C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1
"CLASSPATH"=.;C:\Programme\Java\jre1.5.0_08\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.5.0_08\lib\ext\QTJava.zip

-----------------EOF-----------------
Ich hoffe ihr könnt mir helfen, und Danke schonmal im voraus.

Liebe Grüße
alina

undoreal 07.01.2010 10:49
Halli hallo.

Poste bitte zwei AVZ logs.

alina 07.01.2010 14:34
Hallo undoreal,

hier die AVZ logs im Anhang

LG
alina

undoreal 07.01.2010 17:57
Führe mit AVZ bitte folgendes Skript aus:
Zitat:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DeleteFile('\\?\globalroot\systemroot\system32\H8SRTbhtamvlxjo.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSVC('H8SRTd.sys');
BC_Activate;
RebootWindows(true);
end.

alina 07.01.2010 18:08
Hallo,

sorry, aber wo soll ich es denn bei AVZ eingeben? (in das leere Feld unter "Log"?)

undoreal 07.01.2010 18:11
In der AVZ Anleitung steht alles ganz genau beschrieben! ;)

Weiter unten unter dem Punkt "Ausführen von Bereinigungs-Skripten".

alina 07.01.2010 19:08
ups, das hatte ich übersehen, aber hier jetzt die erneuten Logs im Anhang. Es gab auch keine Fehlermeldungen.

Hab danach auch nochmal ne Virenprüfung mit GData laufen lassen und es hat nichts gefunden.
(Ist der Virus tatsächlich weg?!?)

alina 07.01.2010 22:04
Nachdem ich jetzt den "Rechner" auf Viren prüfen ließ (vorher hab ich nur "Speicher und Autostart" prüfen lassen) sind wieder 2 Viren erschienen.
Da sie sich nicht in Quarantäne verschieben liessen habe ich die Viren gelöscht.

Soll ich AVZ nochmal durchlaufen lassen?

Liebe Grüße

undoreal 07.01.2010 22:05
Überprüfe den Rechner bitte mit gmer und poste das log.

alina 08.01.2010 01:36
So hier nun endlich das log von Gmer:

Code:

GMER 1.0.15.15281 - hxxp://wwx.gmer.net
Rootkit scan 2010-01-08 01:20:50
Windows 5.1.2600 Service Pack 3
Running: dhcq0p5m.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\fgtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)                        ZwClose [0xBABB12BA]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)                        ZwCreateKey [0xBABB22C0]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)                        ZwDeleteKey [0xBABB23FC]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)                        ZwDeleteValueKey [0xBABB241E]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)                        ZwOpenKey [0xBABB2354]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)                        ZwOpenProcess [0xBABB21B8]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)                        ZwSetValueKey [0xBABB23CE]

---- Kernel code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                section is writeable [0xBA1E8360, 0x24B2BD, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\Tcp                                                                                GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\Udp                                                                                GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\RawIp                                                                              GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                        GDTdiIcpt.sys (G DATA Software AG)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group                                                  file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules                                               
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd                                        \\?\globalroot\systemroot\system32\drivers\H8SRTkjkdlisxyi.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc                                        \\?\globalroot\systemroot\system32\H8SRTjkwpawylto.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr                                      \\?\globalroot\systemroot\system32\H8SRTrkxxnrmyde.dat
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf                                      \\?\globalroot\systemroot\system32\H8SRTbhtamvlxjo.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr                                      \\?\globalroot\systemroot\system32\H8SRTyxumlmprrc.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group                                                      file system
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)                           
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd                                            \\?\globalroot\systemroot\system32\drivers\H8SRTkjkdlisxyi.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc                                            \\?\globalroot\systemroot\system32\H8SRTjkwpawylto.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr                                          \\?\globalroot\systemroot\system32\H8SRTrkxxnrmyde.dat
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf                                          \\?\globalroot\systemroot\system32\H8SRTbhtamvlxjo.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr                                          \\?\globalroot\systemroot\system32\H8SRTyxumlmprrc.dll
Reg            HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y!  71230

---- EOF - GMER 1.0.15 ----
Wünsch dir noch nen schönen Abend...bzw. gute Nacht? ;)

undoreal 08.01.2010 02:16
Da sind noch ein zwei Reste vorhanden.

Poste bitte auch die logs von G-Data.

Und mache das hier:

Anleitung Avenger (by swandog46)
Lade dir das Tool Avenger und speichere es auf dem Desktop
  • Setze den Haken bei "Automatically disable any rootkits found"
  • Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"
Code:
Files to delete:
C:\windows\system32\drivers\H8SRTkjkdlisxyi.sys
C:\windows\system32\H8SRTjkwpawylto.dll
C:\windows\system32\H8SRTrkxxnrmyde.dat
C:\windows\system32\H8SRTbhtamvlxjo.dll
C:\windows\system32\H8SRTyxumlmprrc.dll
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

alina 08.01.2010 12:47
Sooo, hier das log von Avenger

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\windows\system32\drivers\H8SRTkjkdlisxyi.sys" not found!
Deletion of file "C:\windows\system32\drivers\H8SRTkjkdlisxyi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\windows\system32\H8SRTjkwpawylto.dll" not found!
Deletion of file "C:\windows\system32\H8SRTjkwpawylto.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\windows\system32\H8SRTrkxxnrmyde.dat" deleted successfully.

Error:  file "C:\windows\system32\H8SRTbhtamvlxjo.dll" not found!
Deletion of file "C:\windows\system32\H8SRTbhtamvlxjo.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\windows\system32\H8SRTyxumlmprrc.dll" not found!
Deletion of file "C:\windows\system32\H8SRTyxumlmprrc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Beim Start von Avenger gab es von Gdata folgende Meldung (ich habe auf erlauben geklickt):

Code:

avenger.exe versucht, die Systemkonfiguration zu ändern.

Dieser Eintrag bindet eine neue Anwendung ein, die beim Start des Systems ausgeführt wird.
Es wird versucht eine Verknüpfung auf cleanup.exe anzulegen.

Herausgeber: Unbekannter Herausgeber
Die Konfigurationsänderung wurde erlaubt.


Und hier die Protokolle von Gdata:

von heute "Speicher und Autostart Prüfung"

Code:

Virenprüfung mit G Data AntiVirus
Version 20.2.4.1 (22.12.2009)
Virensignaturen vom
Startzeit: 08.01.2010 10:05:46
Engine(s): Engine A, Engine B
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung auf RootKits...
Prüfung aller im Speicher befindlichen Prozesse und Verweise im Autostart...

Analyse vollständig durchgeführt: 08.01.2010 10:07:03
    610 Dateien überprüft
    0 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden
und von heute "Rechner Prüfung"

Code:

Virenprüfung mit G Data AntiVirus
Version 20.2.4.1 (22.12.2009)
Virensignaturen vom
Startzeit: 08.01.2010 10:08:54
Engine(s): Engine A, Engine B
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung auf RootKits...
Prüfung aller lokalen Festplatten...

Analyse vollständig durchgeführt: 08.01.2010 11:02:22
    171305 Dateien überprüft
    0 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden
von gestern "Rechner Prüfung", Virenfund 2:

Code:

Virenprüfung mit G Data AntiVirus
Version 20.2.4.1 (22.12.2009)
Virensignaturen vom
Startzeit: 07.01.2010 19:03:57
Engine(s): Engine A, Engine B
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung auf RootKits...
Prüfung aller lokalen Festplatten...
Objekt: H8SRTjkwpawylto.dll
        Pfad: C:\WINDOWS\system32
        Status: Virus, Datei gelöscht
        Virus: Win32:Jifas-CO [Trj] (Engine B)
Objekt: H8SRTyxumlmprrc.dll
        Pfad: C:\WINDOWS\system32
        Status: Virus, Datei gelöscht
        Virus: Win32:Jifas-CO [Trj] (Engine B)

Analyse vollständig durchgeführt: 07.01.2010 20:57:04
    171231 Dateien überprüft
    2 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden
und hier noch weitere Protokolle von gestern:

Code:

Beim Öffnen der Datei "C:\WINDOWS\system32\H8SRTyxumlmprrc.dll" wurde der Virus "Win32:Jifas-CO [Trj] (Engine B)" entdeckt. Zugriff verweigert.
Code:

Beim Öffnen der Datei "C:\WINDOWS\system32\H8SRTjkwpawylto.dll" wurde der Virus "Win32:Jifas-CO [Trj] (Engine B)" entdeckt. Zugriff verweigert.
Laut den folgenden Protokollen von gestern wurden die 2 gefundenen Viren in Quarantäne gelegt (obwohl es laut Gdata nicht möglich war und ich sie gelöscht habe?)
Und tatsächlich liegen sie auch in Quarantäne (ich war natürlich nicht schlau genug selbst nachzuschauen...)

Code:

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\WINDOWS\system32\H8SRTyxumlmprrc.dll
Virus: Win32:Jifas-CO [Trj] (Engine B)
Code:

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\WINDOWS\system32\H8SRTjkwpawylto.dll
Virus: Win32:Jifas-CO [Trj] (Engine B)
So, hoffe hab nichts vergessen...
Und vielen Dank nochmal!

Liebe Grüße
alina

undoreal 08.01.2010 15:38
Gut.

Führe mit AVZ folgendes Skript aus:

Zitat:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\H8SRTd.sys');
RegKeyDel('HKLM','SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}');
DelCLSID('{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Poste danach bitte ein frisches gmer log.

Und ich möchte dir dringend ans Herz legen einen Scan mit DrWeb's LiveCD zu machen: http://www.pcwelt.de/start/sicherhei.../drweb_livecd/
Sollte die was finden schriebe dir bitte das logfile ab!
Also den Namen der Bedrohung und den Dateipfad sowie den Dateinamen!
Danach lasse die Bedrohung von DrWeb desinfizieren/reparieren.
Sollte das nicht gehen lösche sie. (Das wird er dir aber ohnehinn so vorschlagen.)

alina 08.01.2010 22:19
hallo undoreal,

tut mir leid, dass es so lange gedauert hat...hab beim Scan aus Versehen die Maus bewegt, musste deshalb neu scannen.

Hier jetzt aber log von GMER:

Code:

GMER 1.0.15.15281 - hXXp://wXw.gmer.net
Rootkit scan 2010-01-08 22:05:59
Windows 5.1.2600 Service Pack 3
Running: dhcq0p5m.exe; Driver: C:\DOKUME~1\Alina\LOKALE~1\Temp\fgtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)  ZwClose [0xBABB12BA]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)  ZwCreateKey [0xBABB22C0]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)  ZwDeleteKey [0xBABB23FC]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)  ZwDeleteValueKey [0xBABB241E]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)  ZwOpenKey [0xBABB2354]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)  ZwOpenProcess [0xBABB21B8]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G Data Software AG)  ZwSetValueKey [0xBABB23CE]

---- Kernel code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                          section is writeable [0xBA1E8360, 0x24B2BD, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                          GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\Tcp                                                          GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\Udp                                                          GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\RawIp                                                        GDTdiIcpt.sys (G DATA Software AG)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                  GDTdiIcpt.sys (G DATA Software AG)

AttachedDevice  \FileSystem\Fastfat \Fat                                                          fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd                  \\?\globalroot\systemroot\system32\drivers\H8SRTkjkdlisxyi.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc                  \\?\globalroot\systemroot\system32\H8SRTjkwpawylto.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr                \\?\globalroot\systemroot\system32\H8SRTrkxxnrmyde.dat
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf                \\?\globalroot\systemroot\system32\H8SRTbhtamvlxjo.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr                \\?\globalroot\systemroot\system32\H8SRTyxumlmprrc.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd                      \\?\globalroot\systemroot\system32\drivers\H8SRTkjkdlisxyi.sys
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc                      \\?\globalroot\systemroot\system32\H8SRTjkwpawylto.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr                    \\?\globalroot\systemroot\system32\H8SRTrkxxnrmyde.dat
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf                    \\?\globalroot\systemroot\system32\H8SRTbhtamvlxjo.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr                    \\?\globalroot\systemroot\system32\H8SRTyxumlmprrc.dll

---- EOF - GMER 1.0.15 ----

Werde gleich auch noch den Scan mit Dr.Web LiveCD durchführen, muss mich nur noch durch die englische Anleitung kämpfen...

Liebe Grüße
alina

alina 08.01.2010 23:03
Kurze Frage hätte ich noch.

Kenn mich leider nicht gut aus, aber ist es richtig, dass ich die Boot-optionen einstellen kann, wenn ich unter "Ausführen" folgendes eingebe: "C:\windows\pchealth\helpctr\binaries\msconfig -4. MSCONFIG" ?

Dachte ich frage lieber nach, bevor ich was falsch mache...

Liebe Grüße
Alina

undoreal 08.01.2010 23:53
Die Anleitung die ich dir gegeben habe für die DrWebLiveCD ist auf deutsch... ;)

Was genau möchtest du mit msconfig machen? bootOptionen ändern? warum?

alina 09.01.2010 00:05
komisch, ich finde hier nur das pdf mit der englischen, japanischen und russischen Anleitung...

Was ich meinte ist:
Wie starte ich Dr.Web Live CD?

In der Anleitung steht:
"Make sure that your computer is set up to boot from the CD drive, in
which the disk with Dr.Web LiveCD is inserted"

Wo kann ich denn diese Boot-option einstellen, dass es vom CD-Laufwerk startet?

Immer wenn ich den Rechner ausschalte bzw. neustarte startet es mit Windows...
Hab ich irgendwas übersehen?

undoreal 09.01.2010 00:09
Ach so du suchst die komplette Doku für die LiveCD. Die gibt es in der Tat nur in englisch.
Aber diese Kurzanleitung sollte doch reichen.. http://www.pcwelt.de/start/sicherhei.../drweb_livecd/

Die Bootoption musst du im BIOS umstellen.

Bischen englisch aber die Bilder sind selbsterklärend. Sieht bei jedem PC etwas anders aus aber du musst halt ins BIOS rein, dann dort im Menü Punkt "Boot" den "first Boot device" auf CDROM ändern. Der "second Boot device" muss auf HardDrive gestellt sein.
http://www.trojaner-board.de/81857-c...cd-booten.html

alina 09.01.2010 01:14
hey, super, immerhin hab ich jetzt die Boot-optionen gefunden...funktionieren tuts trotzdem nicht :heulen:

hier meine Einstellungen:

Phoenix-Award BIOS CMOS Setup Utility -> Boot Sequence

CD-Rom Boot Priority
1st Boot Device [CD ROM]
2nd Boot Device [Hard Disk]
3rd Boot Device [Hard Disk] (bzw. auch mit [Removable] probiert)

hab nur die .iso Datei gebrannt, fehlt da vielleicht was?
Hoffe du kannst mir helfen!

undoreal 09.01.2010 11:54
Hm, gnaaa.

Mit welche Programm hast du die Iso gebrannt?

Normalerweise sollte es reichen die Iso mit dem Brennprogramm zu öffnen. Das sollte dann von alleine die richtigen Einstellungen wählen.

Wenn du beispielsweise das Programm "CDBurner XP" installierst (mein favorisiertes kostenloses Brennprogramm) dann kannst du während der Installation auswählen welche Dateitypen mit CDBurner XP verknüpft werden sollen. Dort dann einfach auch iso Dateien auswählen.
Danach solltest du die iso ganz einfach durch einen Doppelklick brennen können.

alina 09.01.2010 13:30
Ok, ich glaub genau deshalb ging es nicht...
hab die iso Datei bei Nero in "Daten brennen" Feld gezogen und nicht doppelt geklickt.

Habs jetzt nochmal (hoffentlich) richtig gebrannt und werds gleich nochmal ausprobieren.
Vielen Dank!!!

alina 09.01.2010 14:14
Ok, jetzt hat es wirklich von der CD aus gestartet, allerdings schein der Rechner jetzt abgestürtzt zu sein (ich hab aber auch wirklich gar kein Glück...)

Momentan zeigt es an:

"Booting the system (0%)...Press F2 for verbose mode"
und darunter ein schwarzer Balken.

Kann ich den Rechner einfach manuell ausschalten, und dann wieder hochfahren?
Oder wird es dann garnicht erst wieder starten? (Trau mich schon garnichts mehr zu machen...)

undoreal 09.01.2010 14:47
Ja, schalte ihn einfach nochmal aus.

Evtl. wird deine Hardware nicht unterstützt.

Nur nicht verzagen! :) Das bekommen wir schon hin.

Also einfach nochmal ausschalten und dann nochmal versuchen von der CD zu booten.

Wenn das nicht klappt dann mache bitte einen Scan mit DrWeb CureIt: http://www.trojaner-board.de/59299-a...eb-cureit.html (ohne die LiveCD)

alina 09.01.2010 16:45
Hey,

kurzer Zwischenbericht:
Die LiveCD ging auch bei einem Neustart nicht, hab jetzt den Schnell Scan von Cureit durchlaufen lassen, er hat folgendes gefunden:

Objekt: pv.exe
Pfad: C:/Dokumente und Einstellungen/xxxxx/Eigene Dateien/Eigene Dokumente/xampp/apache/bin
Status: Program.PrcView.3725

Hab desinfizierten gewählt, bzw. "Nicht desinfizierbare Objekte löschen"
Jetzt läuft auch gerade der Full Scan.

So, das wars erstmal sowei, bis später :)

LG
alina

alina 10.01.2010 01:25
Guten Abend :)

Hier ist jetzt endlich die Protokollliste von Dr.Web Cureit:

Code:

pv.exe;C:\Dokumente und Einstellungen\Alina\Eigene Dateien\Eigene Dokumente\xampp\apache\bin;Program.PrcView.3725;Nicht desinfizierbar.Gelöscht.;
AIMC_1.2.exe\setup.exe;C:\Eigene Programme\AIM\AIMC_1.2.exe;Wahrscheinlich BACKDOOR.Trojan;;
AIMC_1.2.exe;C:\Eigene Programme\AIM;Archiv enthält infizierte Objekte;Verschoben.;
AIMC_1.2.exe\setup.exe;G:\Medion MD 8818\Eigene Programme\AIM\AIMC_1.2.exe;Wahrscheinlich BACKDOOR.Trojan;;
AIMC_1.2.exe;G:\Medion MD 8818\Eigene Programme\AIM;Archiv enthält infizierte Objekte;Verschoben.;
visstyler_install.exe/data002\{app}\ThemeHelperSvc.exe;G:\Stick3\Eigene Programme\Media Center-Stil\visstyler_install.exe/data002;BackDoor.Pigeon.27750;;
data002;G:\Stick3\Eigene Programme\Media Center-Stil;Archiv enthält infizierte Objekte;;
visstyler_install.exe;G:\Stick3\Eigene Programme\Media Center-Stil;Container enthält infizierte Objekte;Verschoben.;
pv.exe;G:\RECOVER\Dokumente und Einstellungen\Alina\Eigene Dateien\01  Alina Held\xampp\apache\bin;Program.PrcView.3725;;
xampp-win32-1.6.6a-installer.exe\pv.exe;G:\RECOVER\Eigene Programme\xampp\xampp-win32-1.6.6a-installer.exe;Program.PrcView.3725;;
xampp-win32-1.6.6a-installer.exe;G:\RECOVER\Eigene Programme\xampp;Archiv enthält infizierte Objekte;Verschoben.;
nc.exe;G:\RECOVER\Eigene Programme\CryptLoad\router\FRITZ!Box;Tool.Netcat;;
AIMC_1.2.exe\setup.exe;G:\RECOVER\Eigene Programme\AIM\AIMC_1.2.exe;Wahrscheinlich BACKDOOR.Trojan;;
AIMC_1.2.exe;G:\RECOVER\Eigene Programme\AIM;Archiv enthält infizierte Objekte;Verschoben.;
visstyler_install.exe/data002\{app}\ThemeHelperSvc.exe;G:\Eigene Programme (MOI)\Media Center-Stil\visstyler_install.exe/data002;BackDoor.Pigeon.27750;;
data002;G:\Eigene Programme (MOI)\Media Center-Stil;Archiv enthält infizierte Objekte;;
visstyler_install.exe;G:\Eigene Programme (MOI)\Media Center-Stil;Container enthält infizierte Objekte;Verschoben.;
Soll ich jezt alle markieren und sie desinfizieren bzw. löschen?
Bei einigen Ojekten steht ja, dass sie verschoben wurden und bei anderen steht garnichts, was wurde mit denen gemacht?

LG
alina

undoreal 10.01.2010 09:36
Alle desinfizieren oder löschen lassen!

Bei denen wo nichts steht wurde auch noch nichts gemacht!
Also unbedingt alles löschen!

Da nun noch einiges gefunden wurde müssen wir auf jeden Fall weitere Scans machen!


Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Prevx
  • Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  • Deaktiviere die Wächter aller anderen AntiViren Produkte!

  • Downloade dir Prevx und installiere das Programm wie vorgeschlagen.
  • Der Computer wird dabei überprüft. Sollte der Trojaner gefunden werden so folge bitte den vorgeschlagenen Desinfektions Methoden.
  • Nachdem der Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "Scan bei Installation"
  • Nachdem die Installation abgeschlossen ist wechsel im Hauptfenster des Programms in die Settings Sektion. Dort findest du die Heuristic Settings Sektion.
  • Dort schiebe bitte alle drei Regler ganz nach rechts auf Maximum!
  • Klicke danach den blauen Button Save Changes um die Änderungen zu speichern.
  • Starte den Rechner neu.
  • Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  • Wechsel aus dem Hauptfenster wieder in die Tools Sektion und wähle dort Advanced Scan -> Deep Scan -> Scan now aus.
  • Nachdem der deep Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "depp Scan".
  • Beide auf dem Desktop gespeicherten logs lade bitte bei rapidshare hoch und poste die Downloadlinks in deinem nächsten Beitrag!

alina 10.01.2010 17:19
hallo undoreal,

hier das Ergebnis vom PandaScan:

Code:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-01-10 16:44:51
PROTECTIONS: 2
MALWARE: 1
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                      Active    Updated
;===================================================================================================================================================================================
G Data AntiVirus 2010                        18.0                          Yes      Yes
Malware Defense                              1.0                          Yes      No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
03738741  Generic Malware                    Virus/Trojan        No        0        Yes            No          g:\recover\eigene programme\cryptload\ocr\netload.in\asmcaptcha\test.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        d:\tools\sceneo bonavista (0.9)\data1.cab[killodsbcapp.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity      Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Und hier auch die Logs von Prevx, der hat allerdings nichts gefunden...seltsam...

http://rapidshare.de/files/48974272/Prevx_ScanbeiInstallation.log.html
http://rapidshare.de/files/48974282/Prevx_deepScan.log.html

LG
alina

undoreal 10.01.2010 17:40

AVP-Tool
  • Downloade dir das Tool: Kaspersky Virus Removal Tool Download
  • Installiere es wie vorgeschlagen.
  • Räume mit dem cCleaner auf. Punkte 1&2
  • Starte den Computer im abgesicherten Modus.
  • Starte dort das AVP-Tool.
  • Setze unter Automatic Scan alle verfügbaren Häkchen so dass dein gesammter Computer untersucht wird.
  • Klicke im Hauptfenster unter Settings auf "Security Level".
  • Klicke unter Security Level auf den "Customize..."-Button.
    • General:
      • File types: Scan all files.
      • Productivity: Keine Häkchen setzen.
      • Compound files: Alle Häkchen setzen:
        • Scan All archives.
        • Scan All emdedded OLE objects.
        • Parse e-mail formats.
        • Scan passwort protected archives. (Das wird dazu führen, dass du während des Scans nach den Passwörtern für die Archive gefragt wirst. Weisst du diese grade nicht mehr kannst du die Untersuchung des Archives einfach überspringen.
    • Heuritic analyzer: Alle drei Häkchen setzen und den Schieberegler ganz nach rechts auf "High" stellen.
      • Rootkit Search:
        • Enable rootkits search
        • Enable deep rootkits search
      • Use heuristic analizer:
        • Häkchen setzen
        • Schieberegler ganz nach rechts auf "High" stellen.
  • Übernehme alle Einstellungen durch Klicken des "OK"-Buttons.
  • Stelle im Hauptfenster noch einmal sicher, dass dein gesammter PC untersucht wird und starte den Scan durch Klicken des "Scan"-Buttons.

Der Scan beginnt in einem neuen Fenster.
Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern.
Nach Abschluss des Scans wirst du über gefundene Objekte informiert.
Folge den empfohlenen Maßnahmen!
Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren.
Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen.
In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen.
Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht.
Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden!

alina 11.01.2010 07:29
Guten Morgen :)

Nach mehr als 10 Stunden Scan hier endlich der Report von AVP (im Anhang)

Heut fängt Arbeit wieder an, d.h. ich bin wahrscheinlich erst um 19 Uhr wieder da...

Liebe Grüße
alina

undoreal 11.01.2010 09:41
Das sieht soweit alles sauber aus.

Allerdings solltest du deinen Rechner unbedingt updaten! Da sind zig Sicherheitslücken vorhanden!
Lass dir dabei von Secunia PSI helfen!
Ich poste dir einen Leitfaden für einen sicheren, gesunden und schnellen PC:
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
    Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
    Sehr empfehlen kann ich PrevX!
    Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista und Windows 7 können einige Dienste deaktiviert werden: TechNET
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Der Flash Player sollte sicher konfiguriert werden.
    .
  • Der Windows Autorun sollte unbedingt deaktiviert werden! Downloade dir dafür diese Datei und führe sie mit einem Doppelklick aus.
    .
  • Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
    .
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

alina 11.01.2010 20:31
Liste der Anhänge anzeigen (Anzahl: 2)
Hey :D

vielen, vielen Dank!!! Ich kanns kaum glauben, dass er wirklich sauber sein soll!!
Werde mich auch gleich um die Sicherheitsmaßnahmen kümmern...

Eine Sache irritiert mich aber doch noch etwas, und zwar ist bei mir das Windows Sicherheitscenter nicht aktiviert, und ich frage mich jetzt, ob das noch am Virus liegt oder ich irgendetwas einstellen muss?

Hab dir mal zwei Screenshot im Anhang beigefügt von meinem Sicherheitscenter und den vom "sauberen" Rechner.

Liebe Grüße
alina

undoreal 11.01.2010 20:50
Wieso ist das Sicherheitscenter nicht aktiviert?

Das sieht doch alles gut aus!
Oder nölt dir Windows die Ohren voll, dass das SC nicht aktiviert sei?
Aber dann könntest du es eigentlich garnicht öffnen.

alina 12.01.2010 20:27
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo undoreal,

das mit dem Sicherheitscenter hab ich inzwischen gelöst (musste bei der Computerverwaltung auf "automatisch" stellen (vorher war es deaktiviert))
Jetzt sieht es auch so aus wie ich es kenne (mit den Firewall/Virenschutz/Update-Aktiv Balken)

Allerdings hab ich ein weiteres Problem (oje oje...)
Hab zur Sicherheit nochmal mit Malwarebytes Antimalware einen Scan durchlaufen lassen (jetzt ging das Programm auch) und es hat auch einige Viren gefunden (habe sie gelöscht).
Log hab ich natürlich nicht erstellen lassen, da ich dachte, dass es nicht mehr nötig wäre...
Hab allerdings einen Screenshot von dem Fund erstellt, kannst du was damit anfangen? Bzw. ist der Rechner jetzt sauber?

Liebe Grüße
alina

undoreal 13.01.2010 06:42
Jo, das waren noch Reste.

Scanne ruhig auch nochmal mit SuperAntiSpware und poste das log.

alina 14.01.2010 00:31
hallo nochmal :)

hier ist auch das Log von SuperAntiSpyware.
Hat nur eine infizierte Datei gefunden:

Code:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/13/2010 at 07:48 PM

Application Version : 4.33.1000

Core Rules Database Version : 4472
Trace Rules Database Version: 2290

Scan type      : Complete Scan
Total Scan Time : 02:30:04

Memory items scanned      : 531
Memory threats detected  : 0
Registry items scanned    : 6390
Registry threats detected : 0
File items scanned        : 175115
File threats detected    : 1

Rogue.SmartProtector
        C:\WINDOWS\system32\srcr.dat
Liebe Grüße
alina

undoreal 14.01.2010 08:30
Beobachte den PC und mache häufige Vollscans mit G-Data.

Auch SuperAntiSpyware und Malwarebytes solltest du in nächster ab und an mal laufen lassen... Wenn was gefunden wird kannst du das hier gerne posten.

alina 18.01.2010 20:41
Hey :D

also vielen, vielen Dank nochmal für deine Hilfe und dass dass du deine Zeit für mich geopfert hast!
Bis jetzt kam auch nichts Auffälliges mehr, hoffe das bleibt auch so!
Also danke!

Liebe grüße
alina

undoreal 18.01.2010 20:41
Halli hallo. :)

Immer gerne aber hoffentlich nie wieder... ^^ ;)

traumreisend 20.01.2010 20:49
Win32:Jifas-Co kriegt man inzwischen per Kaspersky Demoversion plattgemacht!
Bin überhaupt nicht der Computerexperte, meine Kiste war aber auch seit gestern vom Win32:Jifas-Co befallen. Ständig fake popups und Avira lahmgelegt :-(
Hab mir heute die 30-Tage Demoversion von Kaspersky auf nem anderen Rechner runtergeladen, ließ sich ohne Probleme auf dem verseuchten Rechner installieren, Virendatenbank aktualisiert - war zwar sehr langsam am Anfang vom Download, ging dann aber schlußendlich. Dann "Vollständige Untersuchung" gestartet, die zum Neustart inkl. Scan auffordert. Das gemacht, danach, als Windows wieder hochgefahren war, nochmal "Vollständige Untersuchung" gestartet.
Und jetzt - Tadaa! - kann ich hier das posten, was ich selbst gern gefunden hätte als ich nach Win32:Jifas-Co gegoogelt ab (gabs nur mickrige 6 Treffer).

Freut mich, wenn ich helfen konnte!

cosinus 20.01.2010 23:10
Zitat:
Zitat von traumreisend (Beitrag 497634)
Freut mich, wenn ich helfen konnte!
Mit ner Augenkrebs-Überschrift hilfst Du jedenfalls keinem :balla:
SCNR

traumreisend 21.01.2010 13:08
Die Überschrift dient eigentlich nur praktischen Zwecken - oder wie lange hats gedauert, bis Dir klar war, dass du nicht durch seitenlange Anweisungen und die installation verschiedenster Programme durch musst um den Win32:jifa-co loszuwerden? Genau! Man findet die Lösung sofort. Was ja ganz praktisch ist, ne?
;-)

undoreal 21.01.2010 13:19
Du bist hier trotzdem völlig falsch weil du einfach in einen anderen Thread reingepostet hast!
Das ist gegen die NUBs!

cosinus 21.01.2010 14:01
Zitat:
Zitat von traumreisend (Beitrag 497811)
Was ja ganz praktisch ist, ne? ;)
ja oberpraktisch. :balla:
Du schlussfolgerst falsch, nur weil Du mit "Deiner" Anleitung einen einzelnen Fall "bereinigt" hast, kannst Du das nicht allgemein auf alle anderen Fälle 1:1 auch übertragen. Fast jeder Infektionsfall ist individuell und es ist höchst gefährlich ohne manuelles Nachschauen von geschulten Augen davon auszugehen, dass alles sauber sei. :nixda:

traumreisend 21.01.2010 15:17
ich sehe schon, das gibt hier ne Endlosdiskussion. Warten wir doch auf den der Postet, dass sich win32:jifas-co NICHT mit Kaspersky entfernen ließ. Ihr werdets nicht glauben, aber neben den totalen insidern und tech-freaks gibts auch Internetnutzer, die ne schnelle Lösung wollen. ich denke, das hier ist sie. Und ja, die Kiste läuft wieder wie ne eins und nach doppeltem scan durch Kaspersky wiege ich mich in die völlig naive Sicherheit das mein Rechner wieder tut.

Kurzum, manchmal brauchts viel Wissen und Feinarbeit - manchmal nen guten Baseballschläger.

cosinus 21.01.2010 15:32
Zitat:
mich in die völlig naive Sicherheit das mein Rechner wieder tut.
Glaub Du bitte was Du glauben möchtest, aber verschone hier die anderen mit gefährlichen Tipps. Was machst Du denn, wenn der Tipp nicht hilft? :nixda:

undoreal 21.01.2010 15:52
Zitat:
und nach doppeltem scan durch Kaspersky wiege ich mich in die völlig naive Sicherheit das mein Rechner wieder tut.
Scanne mal nur so für dich mit Malwarebytes Anti-Malware...


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131