Trojaner-Board - Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden (https://www.trojaner-board.de/81400-trojaner-tr-crypt-xpack-gen-andere-malware-gefunden.html)

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden

Hallo zusammen, hab seit Weihnachten diesen Trojaner und Maleware attacken auf meinem PC. Bin in solchen Sachen nicht grad die hellste Kraft und hoffe das ich hier Hilfe bekomme. Diese HijackThis Log sende ich mal mit das hab ich schon mal alleine geschafft, hoffe ich. Ich wäre sehr erfreut wenn sich das mal jemand hier anschaut, Danke im voraus schonmal.

Scan saved at 17:24:07, on 07.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\HPZipm12.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS.0\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\TUProgSt.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\System32\TuneUpDefragService.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS.0\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS.0\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.0\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS.0\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS.0\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS.0\System32\TUProgSt.exe

--
End of file - 6809 bytes

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

File-Upload.net - Scan.zip
Hallo erstmal, danke schon mal im vorraus. Das wäre der link zu upload. Hoffe das das so alles klappt und das alles da ist was du brauchst, bin in solchen Sachen nicht der beste. Bei CCleaner gibt es meiner Meinung kein Log files, war so alles i.O. keine Fehler in der Registry. Wenn irgendwas fehlt bescheid geben ich versuch das dann so schnell wie möglich nachzureichen, ok.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Mach einen Durchlauf mit GMER und poste das Log, dann sehen wir weiter.

Hallo eine Frage,da steht nach jedem Scan-> Copy-> Neustart. Sind dann die Log Dateien da oder muss ich vor dem Neustart die Log´Daten einfügen in die Antwort. Kompliziert ich weiss, Sorry.

Das kannst Du erstmal ignorieren. Wichtig ist für mich erstmal nur das Logfile.

Mist, denke das der Scan zu 75% fertig war dann kamm der Blue Scren.Was jetzt nochmal versuchen.

Versuchs nochmal grad mal schauen was passiert.

Wieder Blue. Sieht nicht gut aus oder. Hab eigentlich allles aus gemacht, so wie es da stand. was tun ne Idee!

Dann probieren wir CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Geht nich. Kein plan was ich wieder gemacht habe. Startet nich, Download ging aber startet nicht. Das umschreiben ging auch nicht, wurde ich nicht aufgefordert.

Rechtsklick = Ziel speichern unter...und dann auf dem Desktop gleich umbenannt abspeichern. NICHT als combofix.exe ausführen!

Puh, habs geschafft wie du merkst bin ich nicht beste. Aber jetzt zum wesentlichen.

ComboFix 10-01-04.01 - Administrator 10.01.2010 18:12:03.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\AskSearch\bin\DefaultSearch.dll
c:\recycler\S-1-5-21-1482476501-1364589140-725345543-1003
c:\windows.0\jestertb.dll
c:\windows.0\system32\tmp78.tmp
c:\windows.0\system32\tmp79.tmp

.
original MBR restored successfully !
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-09 08:49 . 2010-01-09 08:56 -------- d-----w- c:\windows.0\system32\NtmsData
2010-01-08 17:46 . 2010-01-08 17:46 -------- d-----w- C:\rsit
2010-01-08 16:55 . 2010-01-08 16:55 5115824 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 19160 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-01-07 13:24 . 2010-01-07 13:24 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-07 13:24 . 2010-01-08 17:46 -------- d-----w- c:\programme\Trend Micro
2009-12-23 18:43 . 2003-03-18 20:20 1060864 ----a-w- c:\windows.0\system32\MFC71.dll
2009-12-23 18:43 . 2009-12-23 18:43 -------- d-----w- c:\programme\Alwil Software
2009-12-23 18:39 . 2009-12-23 18:39 -------- d-----w- c:\programme\CCleaner
2009-12-23 12:30 . 2009-12-23 12:30 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\UserData
2009-12-23 12:22 . 2009-12-23 18:56 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 16:12 . 2009-05-27 11:51 -------- d-----w- c:\programme\TuneUp Utilities 2009
2010-01-09 09:35 . 2009-03-10 12:17 -------- d-----w- c:\programme\Java
2009-12-25 09:51 . 2008-11-10 11:35 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-24 13:13 . 2007-08-10 19:59 138736 ----a-w- c:\windows.0\system32\drivers\PnkBstrK.sys
2009-12-24 13:13 . 2007-08-10 19:58 188968 ----a-w- c:\windows.0\system32\PnkBstrB.exe
2009-12-23 12:07 . 2009-04-27 22:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-09 08:35 . 2009-07-16 07:06 56816 ----a-w- c:\windows.0\system32\drivers\avgntflt.sys
2009-12-07 09:21 . 2007-03-30 16:47 16816 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 08:43 . 2009-11-16 08:43 -------- d-----w- c:\programme\JRE
2009-11-16 08:43 . 2008-11-10 11:32 -------- d-----w- c:\programme\OpenOffice.org 3
2009-11-16 08:40 . 2009-11-16 08:40 411368 ----a-w- c:\windows.0\system32\deploytk.dll
2009-10-29 05:44 . 2005-12-24 19:05 667648 ----a-w- c:\windows.0\system32\wininet.dll
2009-10-27 18:58 . 2005-12-24 19:05 84318 ----a-w- c:\windows.0\system32\perfc007.dat
2009-10-27 18:58 . 2005-12-24 19:05 458476 ----a-w- c:\windows.0\system32\perfh007.dat
2009-10-21 06:00 . 2005-12-24 19:05 75776 ----a-w- c:\windows.0\system32\strmfilt.dll
2009-10-21 06:00 . 2005-12-24 19:05 25088 ----a-w- c:\windows.0\system32\httpapi.dll
2009-10-20 14:58 . 2005-12-24 19:05 263552 ----a-w- c:\windows.0\system32\drivers\http.sys
2009-10-13 10:51 . 2005-12-24 19:05 267776 ----a-w- c:\windows.0\system32\oakley.dll
2008-10-21 16:24 . 2008-10-21 16:24 27580296 ----a-w- c:\programme\AdbeRdr90_de_DE.exe
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2008-12-25 13680640]
"nwiz"="nwiz.exe" [2008-12-25 1657376]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2008-12-25 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-04-10 37888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2005-12-24 15360]

c:\dokumente und einstellungen\All Users.WINDOWS.0\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-12-12 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" -silent
"CTFMON.EXE"=c:\windows.0\system32\ctfmon.exe
"Outlook Express"=c:\programme\Outlook Express\msimn.exe
"Steam"="c:\programme\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SW20"=c:\windows.0\system32\sw20.exe
"SW24"=c:\windows.0\system32\sw24.exe
"WinSys2"=c:\windows.0\system32\winsys2.exe
"NeroFilterCheck"=c:\windows.0\system32\NeroCheck.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"2576:TCP"= 2576:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.07.2009 08:06 108289]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [30.07.2007 18:31 61440]
S3 iMSPCLOj;iMSPCLOj;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [30.07.2007 18:31 17280]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [01.02.2009 14:59 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\sv80q3ln.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-10 18:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (Administrator)
@Allowed: (Read) (Administrator)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:92,0f,7d,34,7b,8a,8f,4e,0e,59,4b,97,b6,7f,16,9f,8d,64,8f,7e,69,e2,9d,
d9,7a,a1,ef,43,b3,46,0e,62,2f,1a,01,d9,d2,40,1d,46,c1,ea,8e,ad,29,3c,08,40,\
"??"=hex:7a,f5,c0,dd,79,7b,e4,8e,55,60,0e,c7,c0,1c,20,f6

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\License information*]
"datasecu"=hex:98,b3,b4,7c,d2,1b,5f,7f,c6,5a,f4,f5,b9,5b,a0,15,38,a5,3b,d6,ed,
17,5e,db,bd,ca,17,10,65,60,9f,86,8b,3e,ce,97,e6,70,55,9f,48,b1,fa,00,16,5d,\
"rkeysecu"=hex:a9,99,9e,c5,a1,49,0b,49,f2,f9,50,b9,23,28,c2,a8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(972)
c:\windows.0\system32\sfc_os.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3244)
c:\windows.0\system32\nview.dll
c:\windows.0\system32\NVWRSDE.DLL
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\HPZipm12.exe
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\system32\rundll32.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows.0\system32\PnkBstrA.exe
c:\windows.0\system32\PnkBstrB.exe
c:\windows.0\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 18:22:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-10 17:22

Vor Suchlauf: 12 Verzeichnis(se), 18.397.478.912 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 18.718.068.736 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - B685CEC2182F379A0B8EB4BB4E60A1F5

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

KILLALL::
 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"WinSys2"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"65533:TCP"=-

"52344:TCP"=-

"2479:TCP"=-

"2576:TCP"=-

"3389:TCP"=-
 

File::

c:\windows.0\system32\winsys2.exe

c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys
 

Driver::

iMSPCLOj

SetupNTGLM7X

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hatte zwar Antivir ausgemacht aber irgendwie hat es dazwischengefunkt, hoffe es hat nicht irgndwie negativ beeinträchtigt das ganze.

ComboFix 10-01-04.01 - Administrator 10.01.2010 18:56:14.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3071.2662 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys"
"c:\windows.0\system32\winsys2.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows.0\system32\winsys2.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IMSPCLOJ
-------\Legacy_SETUPNTGLM7X
-------\Service_iMSPCLOj
-------\Service_SetupNTGLM7X

((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-09 08:49 . 2010-01-09 08:56 -------- d-----w- c:\windows.0\system32\NtmsData
2010-01-08 17:46 . 2010-01-08 17:46 -------- d-----w- C:\rsit
2010-01-08 16:55 . 2010-01-08 16:55 5115824 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 19160 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-01-07 13:24 . 2010-01-07 13:24 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-07 13:24 . 2010-01-08 17:46 -------- d-----w- c:\programme\Trend Micro
2009-12-23 18:43 . 2003-03-18 20:20 1060864 ----a-w- c:\windows.0\system32\MFC71.dll
2009-12-23 18:43 . 2009-12-23 18:43 -------- d-----w- c:\programme\Alwil Software
2009-12-23 18:39 . 2009-12-23 18:39 -------- d-----w- c:\programme\CCleaner
2009-12-23 12:30 . 2009-12-23 12:30 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\UserData
2009-12-23 12:22 . 2009-12-23 18:56 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 16:12 . 2009-05-27 11:51 -------- d-----w- c:\programme\TuneUp Utilities 2009
2010-01-09 09:35 . 2009-03-10 12:17 -------- d-----w- c:\programme\Java
2009-12-25 09:51 . 2008-11-10 11:35 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-24 13:13 . 2007-08-10 19:59 138736 ----a-w- c:\windows.0\system32\drivers\PnkBstrK.sys
2009-12-24 13:13 . 2007-08-10 19:58 188968 ----a-w- c:\windows.0\system32\PnkBstrB.exe
2009-12-23 12:07 . 2009-04-27 22:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-09 08:35 . 2009-07-16 07:06 56816 ----a-w- c:\windows.0\system32\drivers\avgntflt.sys
2009-12-07 09:21 . 2007-03-30 16:47 16816 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 08:43 . 2009-11-16 08:43 -------- d-----w- c:\programme\JRE
2009-11-16 08:43 . 2008-11-10 11:32 -------- d-----w- c:\programme\OpenOffice.org 3
2009-11-16 08:40 . 2009-11-16 08:40 411368 ----a-w- c:\windows.0\system32\deploytk.dll
2009-10-29 05:44 . 2005-12-24 19:05 667648 ------w- c:\windows.0\system32\wininet.dll
2009-10-27 18:58 . 2005-12-24 19:05 84318 ----a-w- c:\windows.0\system32\perfc007.dat
2009-10-27 18:58 . 2005-12-24 19:05 458476 ----a-w- c:\windows.0\system32\perfh007.dat
2009-10-21 06:00 . 2005-12-24 19:05 75776 ----a-w- c:\windows.0\system32\strmfilt.dll
2009-10-21 06:00 . 2005-12-24 19:05 25088 ----a-w- c:\windows.0\system32\httpapi.dll
2009-10-20 14:58 . 2005-12-24 19:05 263552 ----a-w- c:\windows.0\system32\drivers\http.sys
2009-10-13 10:51 . 2005-12-24 19:05 267776 ----a-w- c:\windows.0\system32\oakley.dll
2008-10-21 16:24 . 2008-10-21 16:24 27580296 ----a-w- c:\programme\AdbeRdr90_de_DE.exe
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2008-12-25 13680640]
"nwiz"="nwiz.exe" [2008-12-25 1657376]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2008-12-25 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-04-10 37888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2005-12-24 15360]

c:\dokumente und einstellungen\All Users.WINDOWS.0\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-12-12 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" -silent
"CTFMON.EXE"=c:\windows.0\system32\ctfmon.exe
"Outlook Express"=c:\programme\Outlook Express\msimn.exe
"Steam"="c:\programme\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SW20"=c:\windows.0\system32\sw20.exe
"SW24"=c:\windows.0\system32\sw24.exe
"NeroFilterCheck"=c:\windows.0\system32\NeroCheck.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrB.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.07.2009 08:06 108289]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [30.07.2007 18:31 61440]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [30.07.2007 18:31 17280]
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [01.02.2009 14:59 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\sv80q3ln.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-10 19:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (Administrator)
@Allowed: (Read) (Administrator)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:92,0f,7d,34,7b,8a,8f,4e,0e,59,4b,97,b6,7f,16,9f,8d,64,8f,7e,69,e2,9d,
d9,7a,a1,ef,43,b3,46,0e,62,2f,1a,01,d9,d2,40,1d,46,c1,ea,8e,ad,29,3c,08,40,\
"??"=hex:7a,f5,c0,dd,79,7b,e4,8e,55,60,0e,c7,c0,1c,20,f6

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\License information*]
"datasecu"=hex:98,b3,b4,7c,d2,1b,5f,7f,c6,5a,f4,f5,b9,5b,a0,15,38,a5,3b,d6,ed,
17,5e,db,bd,ca,17,10,65,60,9f,86,8b,3e,ce,97,e6,70,55,9f,48,b1,fa,00,16,5d,\
"rkeysecu"=hex:a9,99,9e,c5,a1,49,0b,49,f2,f9,50,b9,23,28,c2,a8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(972)
c:\windows.0\system32\sfc_os.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(1920)
c:\windows.0\system32\nview.dll
c:\windows.0\system32\NVWRSDE.DLL
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\windows.0\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows.0\system32\HPZipm12.exe
c:\windows.0\system32\PnkBstrA.exe
c:\windows.0\system32\PnkBstrB.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 19:03:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-10 18:03
ComboFix2.txt 2010-01-10 17:22

Vor Suchlauf: 13 Verzeichnis(se), 18.725.998.592 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 18.691.436.544 Bytes frei

- - End Of File - - 0E0A25FD19A01B71B80DC1ED28CAE72A

Ok, wie ist es nun um Deinen Rechner bestellt? Noch Meldungen/Auffälligkeiten?

Äh erstmal guten morgen. Muss erstmal hochfahren, aber gestern wars eigentlich ganz ok. Sitz ja momentan am Lappy. Antivir hat nichts angezeigt und abgestürtzt ist er auch nicht mehr.

Mh sieht erstmal gut aus. Hab mal kurz Online gedaddelt, was ja auch nicht mehr ging, geht wieder. Kann ja mal Antivir updaten und durchlaufen lassen. Was ist mit Quarantäne kann ich die dort alle löschen oder drin lassen.

Die Quarantäne kannst Du leeren :)

Endsieg!! Puh war nicht einfach,aber sehr gut sind ne menge Daten drauf die ich brauch->Geschäftlich. Werd mal das ganze bei mir anders gestalten müssen. Geht nicht mehr so. Ganz herzlichen Dank nochmal an dich sollte noch was kommen werd ich mich wieder melden.Danke!!!!!!!!!!

Gruss Stephan

Hallo Cosinus, bin mal wieder Opfer eines Trojaner name desen ist TR/Fakealert. LJB. Im moment hab ich folgendes problem das Firefox nicht aufbleibt sondern sich nach paar Sekunden wieder schliesst, beim Explorer ist das selbe Problem. Wie krieg ich das jetzt hin weil ich kann dir ja so keine Log files senden zum analysieren.

Wie hast Du das jetzt schon wieder nach drei Wochen geschafft :balla:
Lad Dir Dir Tools von einem anderen Rechner herunter und übertrag sie auf den verseuchten. Hast Du denn schon wieder alles gelöscht, auch RSIT?

Hehe es geht keine angst das geht. Ne Spass beiseite, firefox hab ich wieder zum laufen gebracht und der Troyaner befindet sich in der Quarantäne. Ich geb dir gleich mal paar logs wenn du zeit hast dauert paar minuten

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 21:01:56, on 02.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\WINDOWS.0\system32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\HPZipm12.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\system32\PnkBstrB.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS.0\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askR...1&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askR...gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS.0\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS.0\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.0\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS.0\system32\PnkBstrB.exe

--
End of file - 6021 bytes

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3519
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

08.01.2010 18:37:23
mbam-log-2010-01-08 (18-37-23).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 271280
Laufzeit: 38 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\osGN.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\osGN.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6L8RAT89\eHbd3cbbb0V03f01630002R0baf877d102Tf60ebe0aQ000002fa901801F002a000aJ10000601l0007Kd6a9a8a53180[1] (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP222\A0031850.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP222\A0032833.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP222\A0033832.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP222\A0034832.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP222\A0035226.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP222\A0035706.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP222\A0038771.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP223\A0039773.dll (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP223\A0040942.dll (Rootkit.MBR) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3679
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02.02.2010 19:57:35
mbam-log-2010-02-02 (19-57-35).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 268669
Laufzeit: 42 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Samsung\Samsung PC Studio 3\Update\util\UnZipTemp\OrgLoadX800.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Programme\Samsung\Samsung PC Studio 3\Update\util\UnZipTemp\OrgLoadZ510.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Programme\Samsung\Samsung PC Studio 3\Update\util\UnZipTemp\OrgLoadD500.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\WINDOWS.0\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS.0\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 2. Februar 2010 14:14

Es wird nach 1719208 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 10:09:52
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:09:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 10:09:52
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:26:36
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:10:25
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 13:10:25
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 13:10:25
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 13:10:25
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 13:10:25
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 13:10:25
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 13:10:25
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 13:10:25
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 13:10:26
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 13:10:26
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 13:10:26
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 13:08:31
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 13:08:35
VBASE016.VDF : 7.10.3.150 2048 Bytes 01.02.2010 13:08:35
VBASE017.VDF : 7.10.3.151 2048 Bytes 01.02.2010 13:08:35
VBASE018.VDF : 7.10.3.152 2048 Bytes 01.02.2010 13:08:35
VBASE019.VDF : 7.10.3.153 2048 Bytes 01.02.2010 13:08:35
VBASE020.VDF : 7.10.3.154 2048 Bytes 01.02.2010 13:08:35
VBASE021.VDF : 7.10.3.155 2048 Bytes 01.02.2010 13:08:35
VBASE022.VDF : 7.10.3.156 2048 Bytes 01.02.2010 13:08:35
VBASE023.VDF : 7.10.3.157 2048 Bytes 01.02.2010 13:08:35
VBASE024.VDF : 7.10.3.158 2048 Bytes 01.02.2010 13:08:35
VBASE025.VDF : 7.10.3.159 2048 Bytes 01.02.2010 13:08:35
VBASE026.VDF : 7.10.3.160 2048 Bytes 01.02.2010 13:08:35
VBASE027.VDF : 7.10.3.161 2048 Bytes 01.02.2010 13:08:35
VBASE028.VDF : 7.10.3.162 2048 Bytes 01.02.2010 13:08:36
VBASE029.VDF : 7.10.3.163 2048 Bytes 01.02.2010 13:08:36
VBASE030.VDF : 7.10.3.164 2048 Bytes 01.02.2010 13:08:36
VBASE031.VDF : 7.10.3.166 30208 Bytes 02.02.2010 13:08:36
Engineversion : 8.2.1.156
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 19:22:04
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02.02.2010 13:08:37
AESCN.DLL : 8.1.4.0 127348 Bytes 29.01.2010 13:10:30
AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 10:09:52
AERDL.DLL : 8.1.3.4 479605 Bytes 03.12.2009 07:39:36
AEPACK.DLL : 8.2.0.5 422262 Bytes 15.01.2010 10:14:37
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 16.07.2009 07:07:58
AEHEUR.DLL : 8.1.1.1 2322805 Bytes 29.01.2010 13:10:30
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 10:14:35
AEGEN.DLL : 8.1.1.86 369012 Bytes 02.02.2010 13:08:37
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 19:55:41
AECORE.DLL : 8.1.11.1 184694 Bytes 02.02.2010 13:08:36
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 12.09.2009 20:18:22
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 10:09:52

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 2. Februar 2010 14:14

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '74548' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamSpeak.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msa.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS.0\msa.exe'
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ejd.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Ejd.exe'
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDPop3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDCountdown.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'msa.exe' wird beendet
Prozess 'Ejd.exe' wird beendet
C:\WINDOWS.0\msa.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.175
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc92668.qua' verschoben!
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Ejd.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.294
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcc2662.qua' verschoben!

Es wurden '45' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '48' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP20\A0001113.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.175
C:\WINDOWS.0\system32\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.B

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{9B4F7F68-88B8-4BC7-BF6D-F97A0418245D}\RP20\A0001113.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.175
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b982e6c.qua' verschoben!
C:\WINDOWS.0\system32\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.B
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd02eb0.qua' verschoben!

Ende des Suchlaufs: Dienstag, 2. Februar 2010 14:53
Benötigte Zeit: 38:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

13873 Verzeichnisse wurden überprüft
446431 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
446424 Dateien ohne Befall
3623 Archive wurden durchsucht
2 Warnungen
5 Hinweise
74548 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 2. Februar 2010 16:24

Es wird nach 1719487 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 10:09:52
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:09:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 10:09:52
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:26:36
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:10:25
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 13:10:25
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 13:10:25
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 13:10:25
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 13:10:25
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 13:10:25
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 13:10:25
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 13:10:25
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 13:10:26
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 13:10:26
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 13:10:26
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 13:08:31
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 13:08:35
VBASE016.VDF : 7.10.3.150 2048 Bytes 01.02.2010 13:08:35
VBASE017.VDF : 7.10.3.151 2048 Bytes 01.02.2010 13:08:35
VBASE018.VDF : 7.10.3.152 2048 Bytes 01.02.2010 13:08:35
VBASE019.VDF : 7.10.3.153 2048 Bytes 01.02.2010 13:08:35
VBASE020.VDF : 7.10.3.154 2048 Bytes 01.02.2010 13:08:35
VBASE021.VDF : 7.10.3.155 2048 Bytes 01.02.2010 13:08:35
VBASE022.VDF : 7.10.3.156 2048 Bytes 01.02.2010 13:08:35
VBASE023.VDF : 7.10.3.157 2048 Bytes 01.02.2010 13:08:35
VBASE024.VDF : 7.10.3.158 2048 Bytes 01.02.2010 13:08:35
VBASE025.VDF : 7.10.3.159 2048 Bytes 01.02.2010 13:08:35
VBASE026.VDF : 7.10.3.160 2048 Bytes 01.02.2010 13:08:35
VBASE027.VDF : 7.10.3.161 2048 Bytes 01.02.2010 13:08:35
VBASE028.VDF : 7.10.3.162 2048 Bytes 01.02.2010 13:08:36
VBASE029.VDF : 7.10.3.163 2048 Bytes 01.02.2010 13:08:36
VBASE030.VDF : 7.10.3.164 2048 Bytes 01.02.2010 13:08:36
VBASE031.VDF : 7.10.3.168 34304 Bytes 02.02.2010 14:10:43
Engineversion : 8.2.1.156
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 19:22:04
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02.02.2010 13:08:37
AESCN.DLL : 8.1.4.0 127348 Bytes 29.01.2010 13:10:30
AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 10:09:52
AERDL.DLL : 8.1.3.4 479605 Bytes 03.12.2009 07:39:36
AEPACK.DLL : 8.2.0.5 422262 Bytes 15.01.2010 10:14:37
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 16.07.2009 07:07:58
AEHEUR.DLL : 8.1.1.1 2322805 Bytes 29.01.2010 13:10:30
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 10:14:35
AEGEN.DLL : 8.1.1.86 369012 Bytes 02.02.2010 13:08:37
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 19:55:41
AECORE.DLL : 8.1.11.1 184694 Bytes 02.02.2010 13:08:36
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 12.09.2009 20:18:22
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 10:09:52

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 2. Februar 2010 16:24

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '77279' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamSpeak.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDPop3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDCountdown.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '48' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100202-141411-8ACF941D\ARKA4.tmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.B

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100202-141411-8ACF941D\ARKA4.tmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.LJ.B
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dff7f65.qua' verschoben!

Ende des Suchlaufs: Dienstag, 2. Februar 2010 17:03
Benötigte Zeit: 37:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

13858 Verzeichnisse wurden überprüft
444902 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
444900 Dateien ohne Befall
3608 Archive wurden durchsucht
2 Warnungen
2 Hinweise
77279 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Oje, ich hab ganz vergessen Dir zu sagen, dass Du Dich unbedingt um Updates kümmern musst. Bei Dir ist nur das SP2 drauf, es fehlen auch der IE8 und Folgepatches. Aber vorher:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Nochmal CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Guten, bin jetzt on und füre combo fix gleich aus. Was fehlen da für updates und meintest du Internet Explorer 8. Denn benutzt ich gar net geh ja mit Firefox rein.

So bitte hatte noch vergessen zu sagen das gestern abend ein neuer trojaner dazu kamm. Name 'TR/Trash.Gen'.

ComboFix 10-02-02.04 - Administrator 03.02.2010 10:50:09.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3071.2681 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS

((((((((((((((((((((((( Dateien erstellt von 2010-01-03 bis 2010-02-03 ))))))))))))))))))))))))))))))
.

2010-02-02 20:00 . 2010-02-02 20:00 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-02-02 20:00 . 2010-02-02 20:00 -------- d-----w- c:\programme\TrendMicro
2010-02-02 18:11 . 2010-01-07 15:07 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-02-02 18:11 . 2010-02-02 18:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-02 18:11 . 2010-01-07 15:07 19160 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-02-01 09:19 . 2010-02-01 09:19 2434856 ----a-w- c:\windows.0\system32\pbsvc_bc2.exe
2010-02-01 08:55 . 2010-02-01 08:55 -------- d--h--w- c:\windows.0\PIF
2010-01-31 11:32 . 2010-01-31 11:33 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TS3Client
2010-01-31 11:32 . 2010-01-31 11:32 -------- d-----w- c:\programme\TeamSpeak 3 Client
2010-01-10 17:54 . 2010-01-10 18:03 -------- d-----w- C:\cofi
2010-01-09 08:49 . 2010-01-09 08:56 -------- d-----w- c:\windows.0\system32\NtmsData
2010-01-08 17:46 . 2010-01-08 17:46 -------- d-----w- C:\rsit
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2010-01-07 13:24 . 2010-01-08 17:46 -------- d-----w- c:\programme\Trend Micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-02 19:03 . 2007-08-10 19:59 138736 ----a-w- c:\windows.0\system32\drivers\PnkBstrK.sys
2010-02-02 19:03 . 2007-08-10 19:58 188968 ----a-w- c:\windows.0\system32\PnkBstrB.exe
2010-02-01 09:22 . 2007-05-09 13:43 -------- d-----w- c:\programme\Electronic Arts
2010-02-01 09:20 . 2009-06-26 12:24 138056 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2010-02-01 09:20 . 2009-06-26 12:24 138056 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2010-02-01 09:19 . 2007-08-10 19:58 75064 ----a-w- c:\windows.0\system32\PnkBstrA.exe
2010-01-30 09:00 . 2009-03-03 19:49 -------- d-----w- c:\programme\Steam
2010-01-24 12:50 . 2009-01-30 00:53 -------- d-----w- c:\programme\PokerStars
2010-01-22 10:35 . 2008-11-10 11:35 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-10 16:12 . 2009-05-27 11:51 -------- d-----w- c:\programme\TuneUp Utilities 2009
2010-01-09 09:35 . 2009-03-10 12:17 -------- d-----w- c:\programme\Java
2009-12-23 18:43 . 2009-12-23 18:43 -------- d-----w- c:\programme\Alwil Software
2009-12-23 18:39 . 2009-12-23 18:39 -------- d-----w- c:\programme\CCleaner
2009-12-23 12:07 . 2009-04-27 22:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-22 05:39 . 2005-12-24 19:05 667648 ----a-w- c:\windows.0\system32\wininet.dll
2009-12-22 05:39 . 2005-12-24 19:05 81920 ----a-w- c:\windows.0\system32\ieencode.dll
2009-12-09 08:35 . 2009-07-16 07:06 56816 ----a-w- c:\windows.0\system32\drivers\avgntflt.sys
2009-12-07 09:21 . 2007-03-30 16:47 16816 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-21 16:37 . 2005-12-24 19:05 470528 ----a-w- c:\windows.0\AppPatch\aclayers.dll
2009-11-16 08:40 . 2009-11-16 08:40 411368 ----a-w- c:\windows.0\system32\deploytk.dll
2008-10-21 16:24 . 2008-10-21 16:24 27580296 ----a-w- c:\programme\AdbeRdr90_de_DE.exe
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-01-10_17.18.43 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-07 00:19 . 2007-11-07 00:19 54272 c:\windows.0\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
+ 2007-11-07 01:19 . 2007-11-07 01:19 54272 c:\windows.0\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 62976 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 62976 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 46080 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 46080 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 46592 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 46592 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 64512 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 64512 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 66048 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 66048 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 65024 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 65024 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 56832 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 56832 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 66560 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 66560 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 39936 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 39936 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 38912 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 38912 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 05:07 . 2008-07-29 05:07 59904 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
- 2008-07-29 04:07 . 2008-07-29 04:07 59904 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
+ 2008-07-29 05:07 . 2008-07-29 05:07 59904 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
- 2008-07-29 04:07 . 2008-07-29 04:07 59904 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
+ 2009-07-11 19:54 . 2009-07-11 19:54 65536 c:\windows.0\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e79c4723\vcomp.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 49152 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80KOR.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 49152 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80JPN.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 61440 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80ITA.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 61440 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80FRA.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 61440 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80ESP.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 57344 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80ENU.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 65536 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80DEU.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 45056 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80CHT.dll
+ 2009-07-11 19:32 . 2009-07-11 19:32 40960 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80CHS.dll
+ 2009-07-12 00:07 . 2009-07-12 00:07 57856 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_b77cec8e\mfcm80u.dll
+ 2009-07-12 00:19 . 2009-07-12 00:19 69632 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_b77cec8e\mfcm80.dll
+ 2009-07-11 18:41 . 2009-07-11 18:41 97280 c:\windows.0\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_473666fd\ATL80.dll
+ 2010-02-01 09:21 . 2009-09-04 16:44 69464 c:\windows.0\system32\XAPOFX1_3.dll
+ 2009-04-16 18:45 . 2008-10-27 09:04 70992 c:\windows.0\system32\XAPOFX1_2.dll
- 2009-04-16 18:45 . 2008-10-27 08:04 70992 c:\windows.0\system32\XAPOFX1_2.dll
+ 2010-02-01 09:21 . 2009-03-16 13:18 22360 c:\windows.0\system32\X3DAudio1_6.dll
+ 2009-04-16 18:45 . 2008-10-27 09:04 23376 c:\windows.0\system32\X3DAudio1_5.dll
- 2009-04-16 18:45 . 2008-10-27 08:04 23376 c:\windows.0\system32\X3DAudio1_5.dll
+ 2009-05-26 14:09 . 2008-07-08 13:00 18808 c:\windows.0\system32\spmsg.dll
- 2009-05-26 14:09 . 2009-05-26 11:40 18808 c:\windows.0\system32\spmsg.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 39424 c:\windows.0\system32\pngfilt.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 39424 c:\windows.0\system32\pngfilt.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 16384 c:\windows.0\system32\jsproxy.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 16384 c:\windows.0\system32\jsproxy.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 96768 c:\windows.0\system32\inseng.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 96768 c:\windows.0\system32\inseng.dll
- 2005-12-24 19:05 . 2009-06-16 14:53 82432 c:\windows.0\system32\fontsub.dll
+ 2005-12-24 19:05 . 2009-10-15 17:20 82432 c:\windows.0\system32\fontsub.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 55808 c:\windows.0\system32\extmgr.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 55808 c:\windows.0\system32\extmgr.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 39424 c:\windows.0\system32\dllcache\pngfilt.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 39424 c:\windows.0\system32\dllcache\pngfilt.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 16384 c:\windows.0\system32\dllcache\jsproxy.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 16384 c:\windows.0\system32\dllcache\jsproxy.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 96768 c:\windows.0\system32\dllcache\inseng.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 96768 c:\windows.0\system32\dllcache\inseng.dll
- 2005-12-24 19:05 . 2009-09-25 05:55 81920 c:\windows.0\system32\dllcache\ieencode.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 81920 c:\windows.0\system32\dllcache\ieencode.dll
- 2007-03-30 16:18 . 2009-10-27 11:06 18432 c:\windows.0\system32\dllcache\iedw.exe
+ 2007-03-30 16:18 . 2009-12-16 12:57 18432 c:\windows.0\system32\dllcache\iedw.exe
- 2005-12-24 19:05 . 2009-06-16 14:53 82432 c:\windows.0\system32\dllcache\fontsub.dll
+ 2005-12-24 19:05 . 2009-10-15 17:20 82432 c:\windows.0\system32\dllcache\fontsub.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 55808 c:\windows.0\system32\dllcache\extmgr.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 55808 c:\windows.0\system32\dllcache\extmgr.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 12800 c:\windows.0\assembly\GAC\Microsoft.DirectX.Diagnostics\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Diagnostics.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 12800 c:\windows.0\assembly\GAC\Microsoft.DirectX.Diagnostics\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Diagnostics.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 53248 c:\windows.0\assembly\GAC\Microsoft.DirectX.AudioVideoPlayback\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.AudioVideoPlayback.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 53248 c:\windows.0\assembly\GAC\Microsoft.DirectX.AudioVideoPlayback\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.AudioVideoPlayback.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 655872 c:\windows.0\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 655872 c:\windows.0\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 572928 c:\windows.0\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 572928 c:\windows.0\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
+ 2008-07-29 02:54 . 2008-07-29 02:54 225280 c:\windows.0\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
- 2008-07-29 01:54 . 2008-07-29 01:54 225280 c:\windows.0\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 161784 c:\windows.0\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 161784 c:\windows.0\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
+ 2009-07-12 00:12 . 2009-07-12 00:12 632656 c:\windows.0\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll
+ 2009-07-12 00:09 . 2009-07-12 00:09 554832 c:\windows.0\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcp80.dll
+ 2009-07-12 00:08 . 2009-07-12 00:08 479232 c:\windows.0\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcm80.dll
+ 2005-05-16 15:42 . 2009-12-16 13:59 375808 c:\windows.0\system32\xpsp3res.dll
- 2005-05-16 15:42 . 2009-10-28 00:43 375808 c:\windows.0\system32\xpsp3res.dll
+ 2010-02-01 09:21 . 2009-09-04 16:44 515416 c:\windows.0\system32\XAudio2_5.dll
+ 2010-02-01 09:21 . 2009-03-16 13:18 517448 c:\windows.0\system32\XAudio2_4.dll
+ 2009-04-16 18:45 . 2008-10-27 09:04 514384 c:\windows.0\system32\XAudio2_3.dll
- 2009-04-16 18:45 . 2008-10-27 08:04 514384 c:\windows.0\system32\XAudio2_3.dll
+ 2010-02-01 09:21 . 2009-09-04 16:44 238936 c:\windows.0\system32\xactengine3_5.dll
+ 2010-02-01 09:21 . 2009-03-16 13:18 235352 c:\windows.0\system32\xactengine3_4.dll
- 2009-04-16 18:45 . 2008-10-27 08:04 235856 c:\windows.0\system32\xactengine3_3.dll
+ 2009-04-16 18:45 . 2008-10-27 09:04 235856 c:\windows.0\system32\xactengine3_3.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 626688 c:\windows.0\system32\urlmon.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 626688 c:\windows.0\system32\urlmon.dll
- 2005-12-24 19:05 . 2009-06-16 14:53 119808 c:\windows.0\system32\t2embed.dll
+ 2005-12-24 19:05 . 2009-10-15 21:50 119808 c:\windows.0\system32\t2embed.dll
+ 2005-12-24 19:05 . 2009-12-08 09:10 474624 c:\windows.0\system32\shlwapi.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 532480 c:\windows.0\system32\mstime.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 532480 c:\windows.0\system32\mstime.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 146432 c:\windows.0\system32\msrating.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 146432 c:\windows.0\system32\msrating.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 449024 c:\windows.0\system32\mshtmled.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 449024 c:\windows.0\system32\mshtmled.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 251392 c:\windows.0\system32\iepeers.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 251392 c:\windows.0\system32\iepeers.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 205312 c:\windows.0\system32\dxtrans.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 205312 c:\windows.0\system32\dxtrans.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 357888 c:\windows.0\system32\dxtmsft.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 357888 c:\windows.0\system32\dxtmsft.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 667648 c:\windows.0\system32\dllcache\wininet.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 667648 c:\windows.0\system32\dllcache\wininet.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 626688 c:\windows.0\system32\dllcache\urlmon.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 626688 c:\windows.0\system32\dllcache\urlmon.dll
+ 2005-12-24 19:05 . 2009-10-15 21:50 119808 c:\windows.0\system32\dllcache\t2embed.dll
- 2005-12-24 19:05 . 2009-06-16 14:53 119808 c:\windows.0\system32\dllcache\t2embed.dll
+ 2005-12-24 19:05 . 2009-12-08 09:10 474624 c:\windows.0\system32\dllcache\shlwapi.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 532480 c:\windows.0\system32\dllcache\mstime.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 532480 c:\windows.0\system32\dllcache\mstime.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 146432 c:\windows.0\system32\dllcache\msrating.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 146432 c:\windows.0\system32\dllcache\msrating.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 449024 c:\windows.0\system32\dllcache\mshtmled.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 449024 c:\windows.0\system32\dllcache\mshtmled.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 251392 c:\windows.0\system32\dllcache\iepeers.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 251392 c:\windows.0\system32\dllcache\iepeers.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 205312 c:\windows.0\system32\dllcache\dxtrans.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 205312 c:\windows.0\system32\dllcache\dxtrans.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 357888 c:\windows.0\system32\dllcache\dxtmsft.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 357888 c:\windows.0\system32\dllcache\dxtmsft.dll
- 2005-12-24 19:05 . 2009-10-29 05:43 152064 c:\windows.0\system32\dllcache\cdfview.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 152064 c:\windows.0\system32\dllcache\cdfview.dll
+ 2005-12-24 19:05 . 2009-11-21 16:37 470528 c:\windows.0\system32\dllcache\aclayers.dll
+ 2010-02-01 09:21 . 2009-09-04 16:29 235344 c:\windows.0\system32\d3dx11_42.dll
+ 2010-02-01 09:21 . 2009-09-04 16:29 453456 c:\windows.0\system32\d3dx10_42.dll
+ 2010-02-01 09:21 . 2009-03-09 14:27 453456 c:\windows.0\system32\d3dx10_41.dll
- 2009-04-16 18:45 . 2008-10-10 02:52 452440 c:\windows.0\system32\d3dx10_40.dll
+ 2009-04-16 18:45 . 2008-10-15 05:22 452440 c:\windows.0\system32\d3dx10_40.dll
- 2005-12-24 19:05 . 2009-10-29 05:43 152064 c:\windows.0\system32\cdfview.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 152064 c:\windows.0\system32\cdfview.dll
+ 2010-02-01 08:50 . 2010-02-01 08:50 424960 c:\windows.0\Installer\b1e29.msi
+ 2010-02-01 09:21 . 2010-02-01 09:21 223232 c:\windows.0\assembly\GAC\Microsoft.DirectX\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 223232 c:\windows.0\assembly\GAC\Microsoft.DirectX\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 178176 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectSound\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectSound.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 178176 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectSound\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectSound.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 364544 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectPlay\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectPlay.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 364544 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectPlay\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectPlay.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 159232 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectInput\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectInput.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 159232 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectInput\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectInput.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 145920 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectDraw\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectDraw.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 145920 c:\windows.0\assembly\GAC\Microsoft.DirectX.DirectDraw\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectDraw.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 578560 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2911.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 578560 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2911.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 578560 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2910.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 578560 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2910.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 577536 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2909.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 577536 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2909.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 577536 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2908.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 577536 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2908.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 577024 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2907.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 577024 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2907.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 576000 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2906.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 576000 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2906.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 567296 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2905.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 567296 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2905.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 563712 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2904.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 563712 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2904.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 473600 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3D\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Direct3D.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 473600 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3D\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Direct3D.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 3783672 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 3783672 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 3768312 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
- 2008-07-29 06:05 . 2008-07-29 06:05 3768312 c:\windows.0\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
+ 2009-07-11 19:46 . 2009-07-11 19:46 1093120 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_b77cec8e\mfc80u.dll
+ 2009-07-11 19:46 . 2009-07-11 19:46 1105920 c:\windows.0\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_b77cec8e\mfc80.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 1506304 c:\windows.0\system32\shdocvw.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 1506304 c:\windows.0\system32\shdocvw.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 3084800 c:\windows.0\system32\mshtml.dll
- 2005-12-24 19:05 . 2009-10-29 05:44 1506304 c:\windows.0\system32\dllcache\shdocvw.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 1506304 c:\windows.0\system32\dllcache\shdocvw.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 3084800 c:\windows.0\system32\dllcache\mshtml.dll
- 2005-12-24 19:05 . 2009-09-25 05:55 1056256 c:\windows.0\system32\dllcache\danim.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 1056256 c:\windows.0\system32\dllcache\danim.dll
- 2005-12-24 19:05 . 2009-10-29 05:43 1023488 c:\windows.0\system32\dllcache\browseui.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 1023488 c:\windows.0\system32\dllcache\browseui.dll
- 2005-12-24 19:05 . 2009-09-25 05:55 1056256 c:\windows.0\system32\danim.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 1056256 c:\windows.0\system32\danim.dll
+ 2010-02-01 09:21 . 2009-09-04 16:29 1892184 c:\windows.0\system32\D3DX9_42.dll
+ 2010-02-01 09:21 . 2009-03-09 14:27 4178264 c:\windows.0\system32\D3DX9_41.dll
+ 2009-04-16 18:45 . 2008-10-15 05:22 4379984 c:\windows.0\system32\D3DX9_40.dll
- 2009-04-16 18:45 . 2008-10-10 02:52 4379984 c:\windows.0\system32\D3DX9_40.dll
+ 2010-02-01 09:21 . 2009-09-04 16:29 5501792 c:\windows.0\system32\d3dcsx_42.dll
+ 2010-02-01 09:21 . 2009-09-04 16:29 1974616 c:\windows.0\system32\D3DCompiler_42.dll
+ 2010-02-01 09:21 . 2009-03-09 14:27 1846632 c:\windows.0\system32\D3DCompiler_41.dll
+ 2009-04-16 18:45 . 2008-10-15 05:22 2036576 c:\windows.0\system32\D3DCompiler_40.dll
- 2009-04-16 18:45 . 2008-10-10 02:52 2036576 c:\windows.0\system32\D3DCompiler_40.dll
- 2005-12-24 19:05 . 2009-10-29 05:43 1023488 c:\windows.0\system32\browseui.dll
+ 2005-12-24 19:05 . 2009-12-22 05:39 1023488 c:\windows.0\system32\browseui.dll
+ 2010-02-02 20:00 . 2010-02-02 20:00 1093632 c:\windows.0\Installer\3897ae.msi
+ 2010-02-01 09:23 . 2010-02-01 09:23 2940416 c:\windows.0\Installer\11b5a4.msi
+ 2010-02-01 09:23 . 2010-02-01 09:23 1668480 c:\windows.0\Installer\{D53A3D44-C983-4D21-ABF6-2AA2AB88FB28}\BFBC2BetaUpdater.exe
+ 2010-02-01 09:21 . 2010-02-01 09:21 2846720 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2903.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 2846720 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2903.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-02-01 09:21 . 2010-02-01 09:21 2676224 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
- 2009-10-18 17:25 . 2009-10-18 17:25 2676224 c:\windows.0\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2007-03-30 16:29 . 2010-01-05 00:17 29634504 c:\windows.0\system32\MRT.exe
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2008-12-25 13680640]
"nwiz"="nwiz.exe" [2008-12-25 1657376]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2008-12-25 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-04-10 37888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2005-12-24 15360]

c:\dokumente und einstellungen\All Users.WINDOWS.0\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-12-12 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" -silent
"CTFMON.EXE"=c:\windows.0\system32\ctfmon.exe
"Outlook Express"=c:\programme\Outlook Express\msimn.exe
"Steam"="c:\programme\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SW20"=c:\windows.0\system32\sw20.exe
"SW24"=c:\windows.0\system32\sw24.exe
"NeroFilterCheck"=c:\windows.0\system32\NeroCheck.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield Bad Company 2 - BETA\\BFBC2BetaUpdater.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.07.2009 08:06 108289]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [30.07.2007 18:31 61440]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [30.07.2007 18:31 17280]
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [01.02.2009 14:59 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\sv80q3ln.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-02-03 10:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (Administrator)
@Allowed: (Read) (Administrator)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:92,0f,7d,34,7b,8a,8f,4e,0e,59,4b,97,b6,7f,16,9f,8d,64,8f,7e,69,e2,9d,
d9,7a,a1,ef,43,b3,46,0e,62,2f,1a,01,d9,d2,40,1d,46,c1,ea,8e,ad,29,3c,08,40,\
"??"=hex:7a,f5,c0,dd,79,7b,e4,8e,55,60,0e,c7,c0,1c,20,f6

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\License information*]
"datasecu"=hex:98,b3,b4,7c,d2,1b,5f,7f,c6,5a,f4,f5,b9,5b,a0,15,38,a5,3b,d6,ed,
17,5e,db,bd,ca,17,10,65,60,9f,86,8b,3e,ce,97,e6,70,55,9f,48,b1,fa,00,16,5d,\
"rkeysecu"=hex:a9,99,9e,c5,a1,49,0b,49,f2,f9,50,b9,23,28,c2,a8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\windows.0\system32\sfc_os.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3776)
c:\windows.0\system32\nview.dll
c:\windows.0\system32\NVWRSDE.DLL
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows.0\system32\RUNDLL32.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows.0\system32\rundll32.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\HPZipm12.exe
c:\windows.0\system32\PnkBstrA.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows.0\system32\PnkBstrB.exe
c:\windows.0\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-03 11:00:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-03 10:00
ComboFix2.txt 2010-01-10 18:03
ComboFix3.txt 2010-01-10 17:22

Vor Suchlauf: 14 Verzeichnis(se), 15.291.981.824 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 15.265.619.968 Bytes frei

- - End Of File - - AF055B6AB97DB1A7D9B88374232AF70C

Zitat:

Was fehlen da für updates und meintest du Internet Explorer 8. Denn benutzt ich gar net geh ja mit Firefox rein.

Service Pack 3 für XP und der IE8 plus Folgeupdates fehlen. IE8 muss auch deswegen rein, weil Windows immer die kernkomponenten des IE benutzt, auch wenn Du ihn sichtbar nicht benutzt, sind seine Kernkomponenten immer geladen.

Mach bitte einen Durchgang mit GMER und poste das Log, danach noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Konnt ich mir jetzt fast denken das es mit benutzt wird. Gmer läuft grad sitz am lappy keine angst alle prog. aus, aufm hauptrechner.

Also dieses Gmer geht nicht bei mir das letzte mal wars genauso der bleibt dann einfach hängen beim Scan und nichts geht ehr oder sehr sehr langsam!!!

Wie lange hast ihn denn letztesmal laufen lassen?

Beim erstenmal ging es ziehmlich lange war schon bei sys32 also denk ich um die 80%. Beim zweiten dann höchstens 10 min nicht weit. Musste jetzt nen kaltstart machen.

Lass den ruhig mal länger laufen. Hast Du auch das beachtet?

Zitat:

GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Die Meldung hatte ich noch nie welch ein wunder. Habs jetzt nochmal angeworfen meld mich wenns geklappt hat, ok.

Also Gmer ist durchgelaufen, bin jetzt bei MalewareBytes am Scanen. Hab schonmal geschaut wegen IE8 und SP3 kann ich mir bei Chip runterziehen nachher.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3679
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.02.2010 18:55:49
mbam-log-2010-02-03 (18-55-49).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 266080
Laufzeit: 32 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Shit hab schon wieder nen fehler gemacht in der zwischenablage war jetzt nur die Maleware drin und nicht die logs von Gmer wo kann ich unter umständen die finden oder wurden die gar nicht irgendwo gespeichert.

Eigentlich müsste das GMER Log da liegen, wo die GMER-Executable auch liegt, also da wovon Du es ausgeführt hast (Desktop?)

Ne, is nich. Hab in der zwischen zeit gepatched und geudatet. Wenn ich noch mal Gmer mache dann aber erst morgen ok.

Vllt hilft Dir auch die Windows-Suchfunktion beim GMER Log weiter...

Morche, hab jetzt nochmal gesucht auch mit der hilfe aber find ich nicht muss das denk ich dann nochmal machen oder!

Also es tut mir leid ich kann dir die logs von Gmer nicht geben. Problem ist das, das wenn der Scan durschgelaufen ist meine CPU bei 100% ist. Danach geht er nicht runter so das ich gar nicht in der lage bin irgendetwas auf zu machen das dauert dann stunden. Ich muss jedesmal den PC Neustarten das wieder was geht keine ahnung was da vor sich geht. Und nach dem Neustart ist auch das Log mit Strg+V nicht mehr da. Sorry