Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira (https://www.trojaner-board.de/83736-system-haengt-avira-malwarebytes-crash-trojanerfund-avira.html)

wgh52 14.03.2010 11:35
System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira
 
Hallo liebe Malwarehelfer!

ich bin ziemlich verzweifelt und ratlos, ich schreibe hier von meinem Zweit PC, denn den HauptPC habe ich von meinem Netzwerk abgetrennt und habe versucht nach der Anleitung FAQ, Links vorzugehen, aber schon das geht nicht:

Nachdem Avira einen Fund meldete, den ich mit "Zugriff verweigern" OK quittierte, passierte folgendes:

Bei Neustart zeigt AVguard kurz TR/Rootkit.gen an, verschwindet dann
Die Windows Firwall ist abgeschaltet, kann nicht eingeschaltet werden (Fehlermeldung, dass der Status wegen eines unbekannten Problemes nicht angezeigt kann)
Avira Full System Scan lässt sich starten, hängt dann
Avira Update hängt nach Start
Malwarebytes lässt sich starten findet mehr als 10 infizierte Dateien, hängt aber wenn ich die Log Datei speichern will oder die markierten Probleme beseitigen lassen will.
Der Windows Taskmanager startet nicht
Selbst Windows Exporer lässt sich nicht starten

Beim System Shutdown hängt der PC, nach reboot kann ich Malwarebytes aber starten

Ich kann also zunächst keine Logs posten und hier veröffentlichen. Ich könnte die Malwarebytesfunde hier eventuell abtippen... Würde das helfen?

Was kann ich tun? RSIT, Malwarebytes und Avenger sind auf dem System vorhanden, ich muss nur drankommen...

Das scheint mir eine harte Nuss zu sein.

BITTE um Hilfe!

Gruss,
Winfried

StLB 14.03.2010 12:26
Hallo,

Was hast du für ein Betriebssystem? 2000, XP, Vista oder Windows 7? 32 oder 64bit?
Kannst du ein HijackThis Logfile machen, oder wird das auch unterdrückt?

Zitat:
Ich kann also zunächst keine Logs posten und hier veröffentlichen. Ich könnte die Malwarebytesfunde hier eventuell abtippen... Würde das helfen?
Das würde im jeden Fall helfen, um hier sinnvoll weiterarbeiten zu können.
Alternativ kannst du auch ein Screenshot (taste "Druck") anfertigen und hier anhängen.

wgh52 14.03.2010 12:43
Hallo Julian,

danke für die schnelle Antwort! Etwas Klarstellung:

Betriebssystem ist WinXP-Pro mit allen Updates und Servicepacks.

Screenshot kann ich hier nicht anhängen, weil ich den befallenen PC vom Netz genommen habe und das System kein Dateispeichern zuzulassen scheint (hängt dann und ich muss neu booten).

Momentan läuft nochmal Malwarebytes Full Scan, ich schreibe nachher die Funde ab und stelle sie hier ein: Sind mindestens 14 infizierte Objekte ...

Gruss,
Winfried

wgh52 14.03.2010 13:55
Hier sind die 14 Funde von Malwarebytes. Irgendwie scheint das Programm zwischendurch mit dem Scan behindert worden zu sein, jedenfalls zählte der Scan nach ca 84000 Objekten nicht weiter und 1/2 Stunde späte habe ich dann abgebrochen. Hier die bis dahin geloggten Scan Ergebnisse:

Zitat:
Anbieter_______Kategorie_____Objekte
Trojan Dropper Memory Module C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
Trojan Dropper File C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\2D.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\31.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FWO.dll
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\TPfx.dll
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BZBLL882\eH9581be22V0100f070006R76ba8d9f102Tde1a2f72201I0007Kedf71a0330dP000101080[1]
Trojan Dropper File C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JEDVT96G\eH9581be22V0100f070006R76ba8d9f102Tde1a2f7c201I0007Kedf71a03318J0f006010[1]
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\2D.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\31.tmp
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\FWO.dll
Trojan Dropper File C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Temp\TPfx.dll
Trojan Dropper File C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1100\A0088082.dll
Trojan Dropper File C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1100\A0088088.dll


Was ist damit anzufangen?

Ich habe nochmals versucht, Malwarebytes diese Objekte entfernen zu lassen, es zeigt dann ein "mbam-log2010-03-14 (12-51-37).txt" an, und in einer Dialogbox, dass nicht alle Dateien entfernt werden konnten. Es scheint, als sollten diese Dateien beim nächsten booten gelöscht werden. Wenn ich dann das Log ansehen will, friert der Bildschirm ein, der Zeiger lässt sich noch bewegen, aber nicht mehr auf die Taskleiste. Wenn ich versuche auf die geöffneten Fenster zu clicken, friert der Zeiger auch ein und nichts geht mehr...

Danke und Gruss,
Winfried

StLB 14.03.2010 15:15
Versuch mal den Avenger zu starten:

http://s10b.directupload.net/images/...4/cxuan34w.jpg

* Haken wie im Bild setzen, folgendes Script in die Zwischenablage kopieren und mit "Paste from Clipboard" einfügen:

Code:
Files to delete:
C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
C:\Windows\system32\spool\printprocs\w32x86\2E.tmp
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\2D.tmp
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\31.tmp
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FWO.dll
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\TPfx.dll
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BZBLL882\eH9581be22V0100f070006R76ba8d9f102Tde1a2f72201I0007Kedf71a0330dP000101080[1]
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JEDVT96G\eH9581be22V0100f070006R76ba8d9f102Tde1a2f7c201I0007Kedf71a03318J0f006010[1]
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\2D.tmp
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\31.tmp
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\temp\FWO.dll
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Temp\TPfx.dll
Hast du deinen Namen durch "xxxxxxxxxxxx" ersetzt, oder war das schon?
Wenn es schon so war, einfach so lassen, sonst wieder umändern!

* Alle Programme schließen
* Execute
* Rechner neustarten mit "Yes" bestätigen
* Das erscheinende Logfile (C:\avenger.txt) bitte hier posten.

Dazu solltest du deinen Rechner wieder ans Netz anschließen, da wir evtl. noch ein paar andere Tools brauchen werden.

wgh52 14.03.2010 16:19
Hallo Julian,

Danke für den Hinweis! Inzwischen konnte ich mal CCleaner starten und jetzt findet Malwarebytes nur noch die 2 ersten infizierten Objekte. Aber AV Guard fand zusätzlich die Datei 2E.tmp den Trojaner TR/Rootkit.gen wieder.

Habe Avenger gestartet, natürlich ohne Script, ich ahbe ja keines und es gab dann den Reboot bekannt. Windows Einstellungen speichern und herunterfahren dauerte mehrere Minuten.

Nach Neustart kam das Logfile: Avenger 2.0 - No rootkits found!

Im nächsten Moment: AV Guard meldet wieder TR/Rootkit.gen mit "Zugriff verweigern" OK Meldung beendet.

Also habe ich Avenger nochmals gestartet, wie angegeben. Wieder extrem lange Herunterfahrzeit, länger als voriges mal... Diesmal kam kein Log!

Dass die Malware aktiv ist, merke ich daran, dass immer die Firewall ausgeschaltet wird...

Ich hänge den Rechner ungerne ans Netzwerk, weil eventuell andere Rechner (z.B. dieser hier) dann auch gefährdet werden. Lieber lade ich die anderen Tools hier herunter und lasse sie vom Memorystick laufen... OK?

"XXXXXXXX" habe ich nicht im System, sondern im Beitragseditor geändert.

Danke und Gruss,
Winfried

wgh52 14.03.2010 16:25
Tschuldigung ich war bescheuert... Habe natürlich Dein Script komplett überlesen, das geht jetzt auf Mamorystick und wird benutzt.

Komme bald wieder!

Gruss,
Winfried

wgh52 14.03.2010 17:29
Beim letzten Lauf von Avenger bootete der PC erst normal, aber dann gab's einen schwarzen Bildschirm und einen Neustart. Alles sehr mysteriös!

In Windows\temp (in dieses Verzeichnis zeigt der Avira Guard nach dem Booten, wenn er den TR/Rootkit.gen als Datei 4.tmp findet, die später aber nicht dort ist...) habe ich noch zwei eigenartige versteckte Dateien gefunden, die sich nicht löschen lassen: $$$dq3e und $67we.$ Sie tragen den Timestamp zur Bootzeit....

Was machen wir mit denen?

Gruss,
Winfried

wgh52 14.03.2010 19:03
Leute, ich war mutig und habe die zwei Dateien einfach mit in einen Avenger Script eingetragen und laufen lassen. Ja, ich weis: Risiko!

Nach dem letzten Avenger Lauf, als der PC neu gebootet war, kam dieses Log:

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\spool\prtprocs\w32x86\2E.tmp" deleted successfully.

Error:  file "C:\WINDOWS\system32\spool\prtprocs\w32x86\2E.tmp" not found!
Deletion of file "C:\WINDOWS\system32\spool\prtprocs\w32x86\2E.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\temp\4.tmp" not found!
Deletion of file "C:\Windows\temp\4.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\temp\$$$dq3e" deleted successfully.
File "C:\Windows\temp\$67we.$" deleted successfully.
File "C:\Windows\temp\xsw2" deleted successfully.

Error:  file "C:\Windows\temp\GUR3.tmp" not found!
Deletion of file "C:\Windows\temp\GUR3.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\temp\WGAErrLog.txt" deleted successfully.

Error:  file "C:\Windows\temp\GUR2.tmp" not found!
Deletion of file "C:\Windows\temp\GUR2.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\temp\GUR1.tmp" not found!
Deletion of file "C:\Windows\temp\GUR1.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\temp\Perflib_Perfdata_cf8.dat" not found!
Deletion of file "C:\Windows\temp\Perflib_Perfdata_cf8.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\spool\prtprocs\w32x86\2E.tmp" not found!
Deletion of file "C:\WINDOWS\system32\spool\prtprocs\w32x86\2E.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\spool\prtprocs\w32x86\2E.tmp" not found!
Deletion of file "C:\WINDOWS\system32\spool\prtprocs\w32x86\2E.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Malwarebytes Scan diesen Report ergeben:

Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3770
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14.03.2010 18:53:36
mbam-log-2010-03-14 (18-53-35).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 209574
Laufzeit: 47 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Avira full scan hat nichts gefunden

RSIT werde ich noch laufen lassen. Melde mich dann nochmal, noch traue ich dem Braten nicht wirklich...

Danke und Gruss,
Winfried

StLB 14.03.2010 19:38
Hallo,

sorry, dass ich nicht geantwortet habe, mein Windows hat wieder einen IRQL_NOT_LESS_OR_EQUAL :headbang:

Mit der Anwendung des Avengers hast nichts falsch gemacht ;)
Ich traue dem Braten auch noch nicht, würde daher nach dem Avira und RSIT noch einen GMER-Durchlauf hinterherschicken.

GMER - Rootkit Scanner

Die Logfiles dann bitte hier zur Auswertung posten.

wgh52 14.03.2010 19:43
Jetzt ist RSIT auch gelaufen und sieht so aus (ich kann's nicht wirklich interpretieren...):

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Winfried at 2010-03-14 19:34:54
Microsoft Windows XP Professional Service Pack 3
System drive C: has 11 GB (14%) free of 76 GB
Total RAM: 1014 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:06, on 14.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Winfried\Desktop\RSIT.exe
C:\Programme\trend micro\Winfried.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [FjWirSel] C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.aekyung.kr
O15 - Trusted Zone: http://www.myfidelio.net
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - http://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {61E56682-2F9A-400C-A724-BC1E9D962225} (EGateRegiChecker Control) - http://gw.aekyung.kr/comn/library.nsf/ByDesignName/eGateRegiChecker.cab/$FILE/eGateRegiChecker.cab
O16 - DPF: {9040F8BC-1F13-4D8D-8F62-1140D49F12F4} (eGateFileManagerV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateFileManager.cab/$FILE/eGateFileManagerV2.cab
O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - https://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DBEC973D-63E4-4063-A3B8-675D497AD7E4} (EGatePrint Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGatePrint.cab/$FILE/eGatePrint.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://microsinc.webex.com/client/T23L/support/ieatgpc.cab
O16 - DPF: {F1233514-92E1-4E50-811F-B0F552D041CA} (eGateDocV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateODSV2.files/$FILE/eGateODSV2.CAB
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Media Center 14 Service - J. River, Inc. - C:\Programme\J.River Mediaplayer\JRService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7882 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19C8E43B-07B3-49CB-BFFC-6777B593E6F8}]
Download Manager Browser Helper Object - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL [2007-05-21 525792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F364306-AA45-47B5-9F9D-39A8B94E7EF1}]
FG2CatchUrl - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll [2008-08-19 104016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-07 279664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-02-10 812528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3}
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-07 279664]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-03-07 16010240]
"igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-11-03 77824]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-01-05 761946]
"SSUtility"=C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe [2006-07-22 233472]
"PSUtility"=C:\AddOn\Fujitsu\PSUtility\TrayManager.exe [2006-07-05 118784]
"LoadFUJ02E3"=C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe [2006-04-20 73728]
"IndicatorUtility"=C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe [2005-08-09 81920]
"LoadFujitsuQuickTouch"=C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe [2005-07-21 353792]
"LoadBtnHnd"=C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe [2005-07-21 61440]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2006-06-29 89541]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"M-Audio Taskbar Icon"=C:\WINDOWS\system32\M-AudioTaskBarIcon.exe [2009-09-02 643592]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-10-10 39792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FjWirSel"=C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe [2006-06-29 102400]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\FJWSEL]
C:\WINDOWS\system32\FJWSWNP.dll [2006-06-29 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-11-03 135168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PSUTY]
C:\WINDOWS\system32\PSUWNP.dll [2006-06-02 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqCopy.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpfccopy.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP Drucker und Apps\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Webserver\xampp\apache\bin\apache.exe"="C:\Programme\Webserver\xampp\apache\bin\apache.exe:*:Enabled:Apache HTTP Server"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"
"C:\Programme\FlashGet\FlashGet.exe"="C:\Programme\FlashGet\FlashGet.exe:*:Enabled:Flashget2"
"C:\Programme\FlashGet\LiveUpdate.exe"="C:\Programme\FlashGet\LiveUpdate.exe:*:Enabled:FGLiveUpdate"
"C:\Programme\FlashGet\LiveUpdateEx.exe"="C:\Programme\FlashGet\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0af4e040-6aef-11dd-ae83-0017423033a4}]
shell\AutoRun\command - E:\HPW.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f82b3572-d998-11de-af4e-0017423033a4}]
shell\AutoRun\command - E:\
shell\open\command - WScript.exe .\autorun.vbs


======List of files/folders created in the last 3 months======

2010-03-14 17:59:55 ----A---- C:\avenger.txt
2010-03-14 01:28:05 ----D---- C:\Avenger
2010-03-14 01:19:13 ----A---- C:\lopR.txt
2010-03-14 01:18:43 ----D---- C:\Lop SD
2010-03-11 07:16:42 ----HDC---- C:\WINDOWS\$NtUninstallKB975561$
2010-02-25 07:27:06 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$
2010-02-21 18:15:46 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Malwarebytes
2010-02-21 18:15:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-21 15:17:23 ----D---- C:\Programme\Malwarebekämpfung
2010-02-11 00:17:37 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-11 00:17:33 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-11 00:15:06 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-11 00:14:59 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-11 00:14:54 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-11 00:14:48 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-11 00:14:38 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-11 00:14:29 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-02-11 00:14:12 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$
2010-02-10 17:33:56 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\vlc
2010-01-23 08:39:05 ----D---- C:\ODS
2010-01-17 13:59:35 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\TolvanData
2010-01-17 13:58:45 ----D---- C:\Programme\EDGE
2010-01-14 10:38:54 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-14 10:38:43 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\MC14.exe
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\BBInstaller.exe
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\AudDevicePlugin.dll
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\AReadyLB.dll
2009-12-25 17:29:16 ----A---- C:\WINDOWS\system32\netjr32.dll
2009-12-25 17:29:14 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-12-25 17:29:13 ----D---- C:\WINDOWS\Logs
2009-12-25 17:27:58 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\J River
2009-12-25 16:14:40 ----RD---- C:\Programme\J.River Mediaplayer
2009-12-16 22:03:13 ----D---- C:\Programme\Neuer Ordner (2)
2009-12-16 22:02:57 ----D---- C:\Programme\ASIO4 All

======List of files/folders modified in the last 3 months======

2010-03-14 19:35:01 ----D---- C:\Programme\trend micro
2010-03-14 19:08:11 ----D---- C:\WINDOWS\Prefetch
2010-03-14 18:17:36 ----D---- C:\WINDOWS\temp
2010-03-14 18:00:36 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-14 18:00:25 ----D---- C:\WINDOWS\system32\Lang
2010-03-14 17:59:55 ----D---- C:\WINDOWS\system32\drivers
2010-03-14 17:59:55 ----D---- C:\Programme
2010-03-14 17:59:18 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-14 17:43:19 ----D---- C:\WINDOWS
2010-03-14 17:26:53 ----D---- C:\WINDOWS\system32
2010-03-14 15:25:32 ----D---- C:\WINDOWS\Minidump
2010-03-14 00:29:09 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\BITS
2010-03-13 16:21:54 ----D---- C:\Dokumente und Einstellungen
2010-03-11 20:37:52 ----D---- C:\WINDOWS\Debug
2010-03-11 07:16:56 ----HD---- C:\WINDOWS\inf
2010-03-11 07:16:45 ----RSHD---- C:\WINDOWS\system32\dllcache
2010-03-11 07:16:44 ----D---- C:\Programme\Movie Maker
2010-03-11 07:16:22 ----HD---- C:\WINDOWS\$hf_mig$
2010-03-10 15:47:39 ----D---- C:\Programme\Brother
2010-03-02 20:18:26 ----SHD---- C:\WINDOWS\Installer
2010-03-02 20:18:26 ----HD---- C:\Config.Msi
2010-03-02 20:18:20 ----D---- C:\Programme\O&O Defrag
2010-03-02 06:30:12 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-25 17:28:17 ----D---- C:\TEMP
2010-02-21 20:01:57 ----D---- C:\Programme\Java
2010-02-21 19:46:48 ----D---- C:\Programme\SuperAntispyware
2010-02-21 19:45:00 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\SUPERAntiSpyware.com
2010-02-21 19:44:56 ----D---- C:\Programme\Gemeinsame Dateien
2010-02-10 17:32:56 ----D---- C:\Programme\VLC Player
2010-02-10 01:07:43 ----SD---- C:\WINDOWS\Tasks
2010-02-10 01:07:41 ----D---- C:\Programme\Google
2010-02-03 19:41:59 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2010-01-31 16:43:22 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Media Player Classic
2010-01-31 16:39:21 ----D---- C:\Programme\Media Player Classic
2010-01-23 09:11:44 ----N---- C:\WINDOWS\system32\tzchange.exe
2010-01-23 08:39:16 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-01-23 00:48:09 ----D---- C:\WINDOWS\system32\de-de
2010-01-23 00:48:09 ----D---- C:\Programme\Internet Explorer
2010-01-23 00:48:01 ----D---- C:\WINDOWS\ie7updates
2010-01-15 14:01:59 ----A---- C:\WINDOWS\win.ini
2010-01-14 11:35:47 ----D---- C:\WINDOWS\AppPatch
2010-01-05 10:52:17 ----A---- C:\WINDOWS\system32\wininet.dll
2010-01-05 10:52:17 ----A---- C:\WINDOWS\system32\webcheck.dll
2010-01-05 10:52:17 ----A---- C:\WINDOWS\system32\urlmon.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\url.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\pngfilt.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\occache.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\mstime.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\msrating.dll
2010-01-05 10:52:15 ----A---- C:\WINDOWS\system32\mshtmled.dll
2010-01-05 10:52:15 ----A---- C:\WINDOWS\system32\mshtml.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\msfeedsbs.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\msfeeds.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\jsproxy.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iertutil.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iernonce.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iepeers.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\ieframe.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieencode.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\iedkcs32.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieapfltr.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieaksie.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieakeng.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\icardie.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\extmgr.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\dxtrans.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\dxtmsft.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\corpol.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\advpack.dll
2010-01-04 23:51:08 ----A---- C:\WINDOWS\F300V1.50.INI
2010-01-02 23:27:35 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-12-31 16:32:47 ----A---- C:\WINDOWS\system32\ieudinit.exe
2009-12-31 16:32:47 ----A---- C:\WINDOWS\system32\ie4uinit.exe
2009-12-30 17:47:39 ----A---- C:\WINDOWS\system.ini
2009-12-29 10:12:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-12-28 13:34:40 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-12-28 13:33:33 ----D---- C:\Programme\PCPitstop Optimize
2009-12-25 21:18:42 ----HD---- C:\Programme\InstallShield Installation Information
2009-12-25 21:06:41 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-12-25 21:06:31 ----D---- C:\Programme\M-Audio
2009-12-25 17:29:16 ----D---- C:\WINDOWS\system32\DirectX
2009-12-18 14:04:09 ----A---- C:\WINDOWS\system32\ieakui.dll
2009-12-17 08:40:01 ----A---- C:\WINDOWS\system32\mspaint.exe
2009-12-16 21:32:22 ----D---- C:\Programme\Cool Edit Pro

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-25 96104]
R1 crlscsi;crlscsi; C:\WINDOWS\system32\drivers\crlscsi.sys [1995-11-07 6144]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R2 ATNT40K;ActiveTouch NT Appsharing Driver; C:\WINDOWS\SYSTEM32\DRIVERS\ATNT40K.SYS [2007-04-26 51304]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R2 BtnHnd;BtnHnd; \??\C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-06-29 1160320]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 FUJ02B1;Fujitsu FUJ02B1 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02B1.sys [2001-08-01 5248]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%; C:\WINDOWS\System32\Drivers\FUJ02E1.sys [2004-10-18 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 4864]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-03-08 4246016]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 O2SCBUS;O2Micro SmartCardBus Reader; C:\WINDOWS\system32\DRIVERS\ozscr.sys [2004-10-25 92561]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913]
R3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-01-05 191936]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-07-06 248832]
S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer; C:\WINDOWS\system32\DRIVERS\ADM8511.SYS [2001-08-17 20160]
S3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-09-14 468768]
S3 catchme;catchme; \??\C:\DOKUME~1\Winfried\LOKALE~1\Temp\catchme.sys []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2009-08-22 85969]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-07 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-07 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-07 21744]
S3 MADFUTRANSIT;Service for M-Audio Transit DFU; C:\WINDOWS\system32\DRIVERS\MAudioTransit_DFU.sys [2009-09-02 42248]
S3 MADFUTS;M-Audio Transit DFU Driver; C:\WINDOWS\system32\DRIVERS\MADFUTS.sys []
S3 MAUSBTRANSIT;Service for M-Audio Transit; C:\WINDOWS\system32\DRIVERS\MAudioTransit.sys [2009-09-02 158344]
S3 MAUSBTZ;Service for M-Audio Transit (WDM); C:\WINDOWS\system32\DRIVERS\mausbts.sys []
S3 NRKCTL32;NRKCTL32; \??\E:\Programme\WCPUID\NRKCTL32.SYS []
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\NSNDIS5.SYS []
S3 pdcv2;pdcv2; C:\WINDOWS\system32\DRIVERS\pdcv2.sys [2003-12-09 16128]
S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
S3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
S3 sermouse;Serieller Maustreiber; C:\WINDOWS\system32\DRIVERS\sermouse.sys [2001-08-18 18176]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WINIO;WINIO; \??\C:\Programme\HiFi Akademie\dspModul\winio.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 {1E8183A0-AD58-443E-9E68AFC050BD2775};{1E8183A0-AD58-443E-9E68AFC050BD2775}; \??\C:\WINDOWS\TEMP\3.tmp []
S4 {26D3AAC3-8C2B-4207-B121BAB5A93998F9};{26D3AAC3-8C2B-4207-B121BAB5A93998F9}; \??\C:\WINDOWS\TEMP\4.tmp []
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2008-04-14 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 O2Flash;O2Micro Flash Memory; C:\WINDOWS\system32\o2flash.exe [2005-09-13 57344]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe []
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-25 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Media Center 14 Service;Media Center 14 Service; C:\Programme\J.River Mediaplayer\JRService.exe [2009-11-10 373760]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
Ist der PC nun CLEAN? Oder was sollte ich noch machen?

Danke und Gruss,
Winfried

StLB 14.03.2010 19:57
Ich werde den RSIT-Log mal analysieren.
Bitte währendessen GMER durchlaufen lassen.

wgh52 14.03.2010 21:00
OK,

Was mich stutzig macht ist, dass die Einträge in C:\Windows\temp trotz erfolgreicher Avenger Löschung doch (teilweise) nach fertigem boot wieder da sind! Und zwar mit boot-time-stamp!

Beim Laufenlassen von GMER gab's gerade nach ca. 3 Minuten Scanzeit ein blue-screen, mit Aufforderung zu Checkdisk... Was jetzt?

Ich habe GMER nach reboot einfach nochmal gestartet. Mal sehen...

Gruss,
Winfried

StLB 14.03.2010 21:09
Zitat:
Was mich stutzig macht ist, dass die Einträge in C:\Windows\temp trotz erfolgreicher Avenger Löschung doch (teilweise) nach fertigem bwieder da sind! Und zwar mit boot-time-stamp!
Das war fast zu erwarten...
Wäre auch zu schön gewesen.

Zitat:
Beim Laufenlassen von GMER gab's gerade nach ca. 3 Minuten Scanzeit ein blue-screen, mit Aufforderung zu Checkdisk... Was jetzt?
Im RSIT habe ich was gefunden, was vmtl. der Ursprung des ganzen ist.


Dateiauswertung bei Virustotal.com
* Stelle sicher, dass Dir alle Dateien angezeigt werden
* Lade folgende Datei bei Virustotal hoch:
Code:
c:\windows\system32\drivers\svchost.exe
* Sollte die Datei bereits ausgewertet sein, bitte trotzdem auswerten lassen.
* Den Ergebnislink dann bitte hier posten.

wgh52 14.03.2010 21:27
Hier ist das GMER Scan Ergebnis. Allerdings glaube ich, dass ich bei diesem AVGuard nicht abgeschaltet hatte, jetzt spinnt irgendwas und ich kann die gewünschte Datei nicht finden, weil der Windows Explorer spinnt und der Taskmanager ist irgendwie blockiert....

Ich boote nochmal und sehe dann ob ich die Datei hochladen kann...

Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-14 21:13:54
Windows 5.1.2600 Service Pack 3
Running: htuqx7mx.exe; Driver: C:\DOKUME~1\Winfried\LOKALE~1\Temp\kwrdqaow.sys


---- System - GMER 1.0.15 ----

SSDT            A1E4751E                                                                              ZwCreateKey
SSDT            A1E47514                                                                              ZwCreateThread
SSDT            A1E47523                                                                              ZwDeleteKey
SSDT            A1E4752D                                                                              ZwDeleteValueKey
SSDT            A1E47532                                                                              ZwLoadKey
SSDT            A1E47500                                                                              ZwOpenProcess
SSDT            A1E47505                                                                              ZwOpenThread
SSDT            A1E4753C                                                                              ZwReplaceKey
SSDT            A1E47537                                                                              ZwRestoreKey
SSDT            A1E47528                                                                              ZwSetValueKey
SSDT            A1E4750F                                                                              ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[528] WS2_32.dll!closesocket                  71A13E2B 5 Bytes  JMP 014C28B1
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[528] WS2_32.dll!send                        71A14C27 5 Bytes  JMP 014C273D
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[528] WS2_32.dll!WSARecv                      71A14CB5 5 Bytes  JMP 014C282F
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[528] WS2_32.dll!recv                        71A1676F 5 Bytes  JMP 014C2775
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[528] WS2_32.dll!WSASend                      71A168FA 5 Bytes  JMP 014C27AD
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1636] WS2_32.dll!closesocket              71A13E2B 5 Bytes  JMP 019C28B1
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1636] WS2_32.dll!send                    71A14C27 5 Bytes  JMP 019C273D
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1636] WS2_32.dll!WSARecv                  71A14CB5 5 Bytes  JMP 019C282F
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1636] WS2_32.dll!recv                    71A1676F 5 Bytes  JMP 019C2775
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1636] WS2_32.dll!WSASend                  71A168FA 5 Bytes  JMP 019C27AD
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1648] WS2_32.dll!closesocket            71A13E2B 5 Bytes  JMP 01ED28B1
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1648] WS2_32.dll!send                  71A14C27 5 Bytes  JMP 01ED273D
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1648] WS2_32.dll!WSARecv                71A14CB5 5 Bytes  JMP 01ED282F
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1648] WS2_32.dll!recv                  71A1676F 5 Bytes  JMP 01ED2775
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1648] WS2_32.dll!WSASend                71A168FA 5 Bytes  JMP 01ED27AD
.text          C:\WINDOWS\Explorer.EXE[2008] WS2_32.dll!closesocket                                  71A13E2B 5 Bytes  JMP 01A728B1
.text          C:\WINDOWS\Explorer.EXE[2008] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 01A7273D
.text          C:\WINDOWS\Explorer.EXE[2008] WS2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 01A7282F
.text          C:\WINDOWS\Explorer.EXE[2008] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 01A72775
.text          C:\WINDOWS\Explorer.EXE[2008] WS2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 01A727AD
.text          C:\WINDOWS\system32\wuauclt.exe[2508] WS2_32.dll!closesocket                          71A13E2B 5 Bytes  JMP 029D28B1
.text          C:\WINDOWS\system32\wuauclt.exe[2508] WS2_32.dll!send                                  71A14C27 5 Bytes  JMP 029D273D
.text          C:\WINDOWS\system32\wuauclt.exe[2508] WS2_32.dll!WSARecv                              71A14CB5 5 Bytes  JMP 029D282F
.text          C:\WINDOWS\system32\wuauclt.exe[2508] WS2_32.dll!recv                                  71A1676F 5 Bytes  JMP 029D2775
.text          C:\WINDOWS\system32\wuauclt.exe[2508] WS2_32.dll!WSASend                              71A168FA 5 Bytes  JMP 029D27AD
.text          C:\WINDOWS\System32\alg.exe[2892] WS2_32.dll!closesocket                              71A13E2B 5 Bytes  JMP 00CC28B1
.text          C:\WINDOWS\System32\alg.exe[2892] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 00CC273D
.text          C:\WINDOWS\System32\alg.exe[2892] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 00CC282F
.text          C:\WINDOWS\System32\alg.exe[2892] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 00CC2775
.text          C:\WINDOWS\System32\alg.exe[2892] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 00CC27AD

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI \Device\0000009c                                                          85D221F0

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\ACPI \Device\0000009f                                                          85D221F0
Device          \Driver\ACPI \Device\00000050                                                          85D221F0
Device          \Driver\ACPI \Device\00000051                                                          85D221F0
Device          \Driver\ACPI \Device\00000052                                                          85D221F0
Device          \Driver\ACPI \Device\00000053                                                          85D221F0
Device          \Driver\ACPI \Device\00000060                                                          85D221F0
Device          \Driver\ACPI \Device\00000062                                                          85D221F0
Device          \Driver\ACPI \Device\00000057                                                          85D221F0
Device          \Driver\ACPI \Device\00000072                                                          85D221F0
Device          \Driver\ACPI \Device\00000059                                                          85D221F0
Device          \Driver\ACPI \Device\00000073                                                          85D221F0
Device          \Driver\ACPI \Device\00000066                                                          85D221F0
Device          \Driver\ACPI \Device\00000075                                                          85D221F0
Device          \Driver\ACPI \Device\00000069                                                          85D221F0
Device          \Driver\ACPI \Device\00000076                                                          85D221F0
Device          \Driver\ACPI \Device\0000004a                                                          85D221F0
Device          \Driver\ACPI \Device\00000077                                                          85D221F0
Device          \Driver\ACPI \Device\00000078                                                          85D221F0
Device          \Driver\ACPI \Device\0000004b                                                          85D221F0
Device          \Driver\ACPI \Device\0000004c                                                          85D221F0
Device          \Driver\ACPI \Device\0000004d                                                          85D221F0
Device          \Driver\ACPI \Device\00000094                                                          85D221F0
Device          \Driver\ACPI \Device\0000004e                                                          85D221F0
Device          \Driver\ACPI \Device\0000005b                                                          85D221F0
Device          \Driver\ACPI \Device\0000004f                                                          85D221F0
Device          \Driver\ACPI \Device\0000005c                                                          85D221F0
Device          \Driver\ACPI \Device\00000096                                                          85D221F0
Device          \Driver\ACPI \Device\0000005d                                                          85D221F0
Device          \Driver\ACPI \Device\0000006a                                                          85D221F0
Device          \Driver\ACPI \Device\0000005e                                                          85D221F0
Device          \Driver\ACPI \Device\00000098                                                          85D221F0
Device          \Driver\ACPI \Device\0000006b                                                          85D221F0
Device          \Driver\ACPI \Device\0000005f                                                          85D221F0
Device          \Driver\ACPI \Device\0000006f                                                          85D221F0
Device          \Driver\ACPI \Device\0000008a                                                          85D221F0
Device          \Driver\ACPI \Device\0000008b                                                          85D221F0
Device          \Driver\ACPI \Device\0000009a                                                          85D221F0

AttachedDevice  \FileSystem\Fastfat \Fat                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                 
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION 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
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG12.00.00.01PROFESSIONAL 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

---- EOF - GMER 1.0.15 ----
Gruss,
Winfried

StLB 14.03.2010 21:55
Zum Taskmanager:

Editor öffnen, folgenden Text reinkopieren:

Code:
reg ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
als "test.bat" auf dem Desktop abspeichern (Dateityp: "Alle Dateien" auswählen). Dann mit Doppelklick ausführen - TM sollte wieder funktionieren.

Konntest du die svchost.exe schon hochladen?

wgh52 14.03.2010 22:02
An der angegebenen Stelle gab es keine svchost.exe, aber an 4 anderen Stellen:

1. Windows/system32/dllcache:
http://www.virustotal.com/de/analisi...ef0-1268599462
In dem Ergebnis sah ich was von esafe win32.TrojanHorse

2. Windows/system32:
http://www.virustotal.com/de/analisi...ef0-1268599641
In dem Ergebnis sah ich was von esafe win32.TrojanHorse

3. Windows ... servicpackfiles:
http://www.virustotal.com/de/analisi...ef0-1268599977
In dem Ergebnis sah ich was von esafe win32.TrojanHorse

4. Windows ... NTservicepack
http://www.virustotal.com/de/analisi...bf5-1268600137

Ein neues Ergebnis von GMER (ohne AV guard und Absturz) habe ich eigentlich auch, aber es lässt sich zwar in den Editor pasten, die Datei aber nicht speichern: Bei Wahl von Speichern unter kommt nur das Uhrglas dann ist der Editor blockiert. :crazy:

Jetzt hat's doch noch gaaaaanzzzz langsaaaam geklappt:

Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-14 21:47:32
Windows 5.1.2600 Service Pack 3
Running: htuqx7mx.exe; Driver: C:\DOKUME~1\Winfried\LOKALE~1\Temp\kwrdqaow.sys


---- System - GMER 1.0.15 ----

SSDT            A1B20356                                                                              ZwCreateKey
SSDT            A1B2034C                                                                              ZwCreateThread
SSDT            A1B2035B                                                                              ZwDeleteKey
SSDT            A1B20365                                                                              ZwDeleteValueKey
SSDT            A1B2036A                                                                              ZwLoadKey
SSDT            A1B20338                                                                              ZwOpenProcess
SSDT            A1B2033D                                                                              ZwOpenThread
SSDT            A1B20374                                                                              ZwReplaceKey
SSDT            A1B2036F                                                                              ZwRestoreKey
SSDT            A1B20360                                                                              ZwSetValueKey
SSDT            A1B20347                                                                              ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!closesocket                              71A13E2B 5 Bytes  JMP 00DB28B1
.text          C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!send                                    71A14C27 5 Bytes  JMP 00DB273D
.text          C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 00DB282F
.text          C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!recv                                    71A1676F 5 Bytes  JMP 00DB2775
.text          C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 00DB27AD
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!closesocket                  71A13E2B 5 Bytes  JMP 013128B1
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!send                        71A14C27 5 Bytes  JMP 0131273D
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!WSARecv                      71A14CB5 5 Bytes  JMP 0131282F
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!recv                        71A1676F 5 Bytes  JMP 01312775
.text          C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!WSASend                      71A168FA 5 Bytes  JMP 013127AD
.text          C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!closesocket          71A13E2B 5 Bytes  JMP 011828B1
.text          C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!send                71A14C27 5 Bytes  JMP 0118273D
.text          C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!WSARecv              71A14CB5 5 Bytes  JMP 0118282F
.text          C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!recv                71A1676F 5 Bytes  JMP 01182775
.text          C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!WSASend              71A168FA 5 Bytes  JMP 011827AD
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!closesocket              71A13E2B 5 Bytes  JMP 019C28B1
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!send                    71A14C27 5 Bytes  JMP 019C273D
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!WSARecv                  71A14CB5 5 Bytes  JMP 019C282F
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!recv                    71A1676F 5 Bytes  JMP 019C2775
.text          C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!WSASend                  71A168FA 5 Bytes  JMP 019C27AD
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!closesocket            71A13E2B 5 Bytes  JMP 01E528B1
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!send                  71A14C27 5 Bytes  JMP 01E5273D
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!WSARecv                71A14CB5 5 Bytes  JMP 01E5282F
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!recv                  71A1676F 5 Bytes  JMP 01E52775
.text          C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!WSASend                71A168FA 5 Bytes  JMP 01E527AD
.text          C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!closesocket                                  71A13E2B 5 Bytes  JMP 01A928B1
.text          C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 01A9273D
.text          C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 01A9282F
.text          C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 01A92775
.text          C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 01A927AD
.text          C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!closesocket                              71A13E2B 5 Bytes  JMP 00CC28B1
.text          C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 00CC273D
.text          C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 00CC282F
.text          C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 00CC2775
.text          C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 00CC27AD
.text          C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!closesocket                          71A13E2B 5 Bytes  JMP 00FC28B1
.text          C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!send                                  71A14C27 5 Bytes  JMP 00FC273D
.text          C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!WSARecv                              71A14CB5 5 Bytes  JMP 00FC282F
.text          C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!recv                                  71A1676F 5 Bytes  JMP 00FC2775
.text          C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!WSASend                              71A168FA 5 Bytes  JMP 00FC27AD

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI \Device\0000009c                                                          86437850

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\ACPI \Device\0000009f                                                          86437850
Device          \Driver\ACPI \Device\00000050                                                          86437850
Device          \Driver\ACPI \Device\00000051                                                          86437850
Device          \Driver\ACPI \Device\00000052                                                          86437850
Device          \Driver\ACPI \Device\00000053                                                          86437850
Device          \Driver\ACPI \Device\00000060                                                          86437850
Device          \Driver\ACPI \Device\00000062                                                          86437850
Device          \Driver\ACPI \Device\00000057                                                          86437850
Device          \Driver\ACPI \Device\00000072                                                          86437850
Device          \Driver\ACPI \Device\00000059                                                          86437850
Device          \Driver\ACPI \Device\00000073                                                          86437850
Device          \Driver\ACPI \Device\00000066                                                          86437850
Device          \Driver\ACPI \Device\00000075                                                          86437850
Device          \Driver\ACPI \Device\00000069                                                          86437850
Device          \Driver\ACPI \Device\00000076                                                          86437850
Device          \Driver\ACPI \Device\0000004a                                                          86437850
Device          \Driver\ACPI \Device\00000077                                                          86437850
Device          \Driver\ACPI \Device\00000078                                                          86437850
Device          \Driver\ACPI \Device\0000004b                                                          86437850
Device          \Driver\ACPI \Device\0000004c                                                          86437850
Device          \Driver\ACPI \Device\0000004d                                                          86437850
Device          \Driver\ACPI \Device\00000094                                                          86437850
Device          \Driver\ACPI \Device\0000004e                                                          86437850
Device          \Driver\ACPI \Device\0000005b                                                          86437850
Device          \Driver\ACPI \Device\0000004f                                                          86437850
Device          \Driver\ACPI \Device\0000005c                                                          86437850
Device          \Driver\ACPI \Device\00000096                                                          86437850
Device          \Driver\ACPI \Device\0000005d                                                          86437850
Device          \Driver\ACPI \Device\0000006a                                                          86437850
Device          \Driver\ACPI \Device\0000005e                                                          86437850
Device          \Driver\ACPI \Device\00000098                                                          86437850
Device          \Driver\ACPI \Device\0000006b                                                          86437850
Device          \Driver\ACPI \Device\0000005f                                                          86437850
Device          \Driver\ACPI \Device\0000006f                                                          86437850
Device          \Driver\ACPI \Device\0000008a                                                          86437850
Device          \Driver\ACPI \Device\0000008b                                                          86437850
Device          \Driver\ACPI \Device\0000009a                                                          86437850

AttachedDevice  \FileSystem\Fastfat \Fat                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                 
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION  D8310B8536EA469A98DAA7FE1FE48AAEC288727D524B429CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933BA7FD869164D6794C038D530D6EB3452A9C6AECB7A5D14076574E66DCBF9687C0B87BFCFED01B20AF5F883B0665FFBDCD497B5B63927A39326D04D36A650AC66700FA17BE378F60D075E62D1EFF7FE7860F6266B6EC9315D807AFD0C143CC809699B280DAAF4498C2605C2AB1CCAFCB3DD179EAD926504CD7EF310CAA2B17CC7F0E0E2F490A9B3125E684E639A66E65A086101F4D60416952E35BEE025D9E9D6067F86B7A9FA9FF5C0794FB15F0C128C9FB353D0B1E7C73A9FA7E752B19419BF2A126A6DCC06DFE75F1DB9E32136B8BC6A60BFE35B85DA92692B8F37A1F076E165230A439498A66BD2AD9F5CDE0FF7B4B02E1364D105F44E26145B3814B5D0EDC03307F860B30F55B6F6BC8F56F5D00E3E56C11BD4C1226BF1269717E9DCD9E8CCB62361548F93D2AB3AEA878D7F293AE4865E68E94ECE3F6F9F3127CA92ABAE1B154766551694E0D2AD2EDFCAF14A7BF7E1A53D5B6FCDF3442FBD4D9FB8406B42AA8084916657D2D5F729CA9A4A626B51FD7320359BD506197572861766F6215CC7FB4B76D104CF60B8258FCE3601744DE3CA2CC88082C49B8BAA62246293268AAF105F36DF27D2A0FE1083F89A1DD
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION 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
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG12.00.00.01PROFESSIONAL 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

---- EOF - GMER 1.0.15 ----
Gruss,
Winfried

StLB 14.03.2010 22:20
Kannst du cmd öffnen? (Start->Ausführen->"cmd")
bitte nacheinander eingeben, mit Enter zwischen jeder Zeile:
Code:
cd \
cd WINDOWS
cd system32
cd drivers
dir
Es erscheint eine längere Liste, bitte dort schauen, ob eine svchost.exe auftaucht.


ComboFix anwenden:

* combofix.exe herunterladen und auf dem Desktop speichern (als cofi.exe) - Noch nicht ausführen!
* Mit CrapCleaner alle temporären Dateien löschen
* Antivirenprogramme deaktivieren, Firewall deaktivieren.
* Während ComboFix scannt, bitte nicht die Maus bewegen oder die Tastatur benutzen. Dies könnte CF zum Absturz bringen.
* Der Rechner muss ans Internet angeschlossen sein, damit CF eine Wiederherstellungskonsole herunterladen kann!
* Doppelklick auf cofi.exe
* Alle Dialoge mit "Yes" bzw. "Ja" beantworten.
* In dem blauen Fenster dann "1" eingeben und auf Enter.
* Nun scannt CF, startet neu und erstellt ein Logfile.
* Den Inhalt des Logfiles dann hier posten.

wgh52 14.03.2010 22:30
CMD gemacht: kein svchost.exe

jetzt kommt Cofi: Nach "Ja" Antwort kam das blaue Fenster mit ein paar Hinweisen, aber der Scan startete automatisch, ohne mir die chance für eine Eingabe zu geben. Also die Stufen liefen durch. Jetzt laufen massenweise Dateinamen mit ihren Ordnern durch den blauen Bildschirm. Weiss nicht was das jetzt ist.... Logfile sehe ich (noch) nicht.

Gruss,
Winfried

wgh52 14.03.2010 23:44
Nun, zu guter Letzt kam doch ein CoFi Logfile (mit 373 k leider zu lang...):

Ich habe Dir einen Rapidshare Link per PN gesandt.

Vielen Dank für die Hilfe! Ich wäre sonst verloren mit diesem Mist!

Gruss,
Winfried

StLB 15.03.2010 13:30
Hallo,

Logfile ist angekommen.
Ergebnis: Rootkit im MasterBootRecord!
ComboFix scheint das Problem gelöst zu haben, dennoch:

mbr.exe - Wiederherstellung des ursprünglichen MasterBootRecord
* mbr.exe herunterladen und unter C:\ speichern
* cmd starten (Start -> Ausführen -> "cmd"), eingeben: (zwischen jeder Zeile "Enter" drücken)
Code:
cd c:\
mbr.exe -f
* In C:\ wird nun ein Logfile erstellt (c:\mbr.log). Den Inhalt des Logs bitte hier posten.

wgh52 15.03.2010 15:02
Danke für die Arbeit!

Momentan funktioniert der PC teilweise, ich habe nach einigen Minuten bis ca. 1 Stunde system hangs mit eingefrorenem Bildschirm, wohl je nachdem was/wieviel ich mache, muss dann abschalten und neu booten. Manchmal manchmal wird die Firewall deaktiviert. Malwarebytes und Avira haben keine Infektion gefunden.

MBR.exe war erfolgreich:

Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85c7e5a0
NDIS: Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x85999330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.original MBR restored successfully !
Ich habe MBR.exe -f (ohne reboot) nochmals laufen lassen. Ergebnis:

Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85c7e5a0
NDIS: Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x85999330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
Use "Recovery Console" command "fixmbr" to clear infection !
Ist das so on Ordnung? Mir kommt's komisch vor, weil ich die Recovery console benutzen soll, obwohl vorher alles OK schien...

Soll ich beim boot die Recovery Console wie o.a. benutzen oder was rätst Du?

Gruss,
Winfried

StLB 15.03.2010 15:22
Rechner booten, Recovery Console starten.
Dann wie im Log angegeben fixmbr eingeben, *Enter*.
Wenn der Rechner wieder oben ist, nochmal "MBR.exe -f" laufen lassen und Ergebnis posten.


Dann bitte noch folgende Datei bei Virustotal auswerten lassen:
c:\windows\system32\dllcache\moviemk.exe
Link posten.


Rootkitscan mit Blacklight
* fsbl.exe auf dem Desktop speichern
* mit CrapCleaner Temporäre Dateien löschen
* Alle anderen Programme schließen, fsbl.exe ausführen
* Nacheinander "I accept", "Next" und "Scan" anklicken
* Nach Ende des Scans beenden ("Close") und das Log fsbl-(Datum).txt posten (befindet sich auf dem Desktop)

wgh52 15.03.2010 16:16
Zitat:
Zitat von StLB (Beitrag 509105)
Rechner booten, Recovery Console starten...
Es erfolgt ein Bluescreen ohne dass ich etwas einzugeben aufgefordert werde.
Soll ich chkdsk im CMD Window laufen lassen? Das wird auf dem blue-screen geraten.

Gruss,
Winfried

StLB 15.03.2010 19:06
Hast du eine Windows-CD?
Boote mal von CD (im BIOS von HardDisk auf CD umstellen), und starte nach Laden der Daten mit "R" die Recovery-Konsole.
Laufwerk C: auswählen (meistens mit "1") und Kennwort eingeben.
Dann hast du sowas ähnliches wie ein CMD-Fenster.
Dort dann versuchen mbrfix zu starten.

wgh52 15.03.2010 21:22
Zitat:
Zitat von StLB (Beitrag 509145)
Hast du eine Windows-CD?
Boote mal von CD (im BIOS von HardDisk auf CD umstellen), und starte nach Laden der Daten mit "R" die Recovery-Konsole.
Laufwerk C: auswählen (meistens mit "1") und Kennwort eingeben.
Dann hast du sowas ähnliches wie ein CMD-Fenster.
Dort dann versuchen mbrfix zu starten.
Alles gemacht.

C:}mbrfix mochte er nicht - unbekannter Befehl

C:\}MBR.exe -f mochte er nicht - unbekannter Befehl

C:\}c: mbr.exe -f meckerte er nicht an, quittierte mit C:}_

Scheint also funktioniert zu haben oder?

WindowsXP hat normal von HD gebootet und dann habe ich im CMD Window mbr.exe -f gestartet.

Ergebnis: Findet immernoch malicious code...

Also nochmal von CD gebootet und help gelesen. Befehl heisst "FIXMBR" nicht mbrfix !!! ;)

Neuer MBR geschrieben - Schwitz - WinXP bootet, Willkommen, Desktop ist da, Avira startet...

Jetzt nochmal mbr.exe -f gestartet.
Ergebnis: Findet immernoch malicious code...

Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
Virustotal Ergebnis für Moviemk.exe:
http://www.virustotal.com/de/analisi...4e5-1268683934

FSBL hat nichts gefunden.

Kommen wir eigentlich weiter? Ich bin etwas am verzweifeln... Aber so bleiben kann's ja auch nicht und das System neu aufsetzen wäre wegen Software und Daten der Wahnsinn! Bitte hilf weiter! Danke!

Gruss,
Winfried

StLB 15.03.2010 22:57
Zitat:
Also nochmal von CD gebootet und help gelesen. Befehl heisst "FIXMBR" nicht mbrfix !!! ;)
Peinlich, peinlich :o

Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
Es wird aber zumindest kein "MBR rootkit code detected !" mehr angezeigt, das lässt schon mal hoffen.

Bitte nochmal ein HijackThis Log posten.
Ich habe da einige Koreanische Website gesehen, die wir fixen sollten. (Dazu später)

Wie verhält sich der Rechner derzeit?

wgh52 16.03.2010 00:01
OK, wenn Du Hoffnung schöpfst, dann ich erst recht!

Hijack This Log (.exe gestartet von Memorystick):

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:50:38, on 15.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Malwarebekämpfung\9 Hijack This\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [FjWirSel] C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.aekyung.kr
O15 - Trusted Zone: http://www.myfidelio.net
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - http://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {61E56682-2F9A-400C-A724-BC1E9D962225} (EGateRegiChecker Control) - http://gw.aekyung.kr/comn/library.nsf/ByDesignName/eGateRegiChecker.cab/$FILE/eGateRegiChecker.cab
O16 - DPF: {9040F8BC-1F13-4D8D-8F62-1140D49F12F4} (eGateFileManagerV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateFileManager.cab/$FILE/eGateFileManagerV2.cab
O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - https://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DBEC973D-63E4-4063-A3B8-675D497AD7E4} (EGatePrint Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGatePrint.cab/$FILE/eGatePrint.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://microsinc.webex.com/client/T23L/support/ieatgpc.cab
O16 - DPF: {F1233514-92E1-4E50-811F-B0F552D041CA} (eGateDocV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateODSV2.files/$FILE/eGateODSV2.CAB
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Media Center 14 Service - J. River, Inc. - C:\Programme\J.River Mediaplayer\JRService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7836 bytes
Ansonsten verhält sich der Rechner scheinbar recht stabil, bisher kein "hang" mehr, Firewall bleibt aktiv, Avira meckert nicht,...

Das mit den koreanischen Websites hört sich intererssant an, auf einige haben wir geschäftlich zugegriffen.

Gruss,
Winfried

StLB 16.03.2010 14:07
Code:
O15 - Trusted Zone: http://*.aekyung.kr
O15 - Trusted Zone: http://www.myfidelio.net
Hast du diese zwei Seiten selbst zu den "Vertrauenswürdigen Sites" hinzugefügt?
Normalerweise sind Adressen mit ausländischen Kürzeln verdächtig (z.B. .ru, .pl, ...), aber wenn du sagst, ihr habt wissentlich auf die Websites zugegriffen und Dateien heruntergeladen, dann dürfte das kein Problem darstellen.

Funktioniert auch der Taskmanager wieder?

Larusso 16.03.2010 15:10
Bezüglich Combofix, dieses Tool ist für DICH tabu ohne eine Freigabe von einem KTler. Geht auch dem Helferteam nicht anders.

Die Batch wird die svchost auch nicht finden da die sicher +h ist bzw wird diese sich schützen.
Gmer ist sauber also ist nur noch der Eintrag in der Registry vorhanden. Den sollte man vl auch löschen :p

Eine Systemdatei.exe im drivers Ordner braucht man nicht wirklich online scannen ;)

Und nun viel Spass an Board, bei Fragen gerne Via PN :)

wgh52 16.03.2010 17:55
Hallo Daniel,

danke für Deine Antwort, allerdings ist diese für mich als Nicht-Guru teilweise ziemlich verwirrend!


Zitat:
Zitat von Larusso (Beitrag 509284)
Bezüglich Combofix, dieses Tool ist für DICH tabu ohne eine Freigabe von einem KTler. Geht auch dem Helferteam nicht anders.
Combofix setze ich nicht nach gut dünken ein, sonder nach Anweisung durch Helfer! Was habe ich falsch gemacht?

Zitat:
Zitat von Larusso (Beitrag 509284)
Die Batch wird die svchost auch nicht finden da die sicher +h ist bzw wird diese sich schützen.
Gmer ist sauber also ist nur noch der Eintrag in der Registry vorhanden. Den sollte man vl auch löschen :p.
Welcher Registry Eintrag ist gemeint? Wie soll ich's machen?

Zitat:
Zitat von Larusso (Beitrag 509284)
Eine Systemdatei.exe im drivers Ordner braucht man nicht wirklich online scannen ;)
Ich verstehe auch diese Äusserung nicht...

Oder war ich mit der Antwort nicht gemeint? Bitte um etwas Aufklärung.

Danke,
Winfried

wgh52 16.03.2010 17:59
Zitat:
Zitat von StLB (Beitrag 509268)
Code:
O15 - Trusted Zone: http://*.aekyung.kr
O15 - Trusted Zone: http://www.myfidelio.net
Hast du diese zwei Seiten selbst zu den "Vertrauenswürdigen Sites" hinzugefügt?
Normalerweise sind Adressen mit ausländischen Kürzeln verdächtig (z.B. .ru, .pl, ...), aber wenn du sagst, ihr habt wissentlich auf die Websites zugegriffen und Dateien heruntergeladen, dann dürfte das kein Problem darstellen.

Funktioniert auch der Taskmanager wieder?
Zumindest die myfidelio.net habe ich selbst eingetragen, brauchte ich geschäftlich, aber jetzt nicht mehr. Die aekyung.kr ... weiss nicht mehr wozu die noch gut wäre, kann auch weg. Ich mache das selbst.

Was müssen wir sonst noch tun? Siehe auch Einwände von Daniel...

Der Taskmanager scheint wieder einwandfrei zu gehen... Aber manchmal kommen mir Programmstartzeiten halt noch etwas lang vor. So richtig wohl fühle ich mich noch nicht.

Gruss,
Winfried

StLB 16.03.2010 18:10
Hallo,

der Post vom Daniel war an mich gerichtet - also davon nicht irritieren lassen ;)

Bitte noch mal einen Durchlauf mit SuperAntiSpyware machen, dann haben wir mehr Gewissheit, dass dein System wieder sauber ist.

wgh52 16.03.2010 20:05
OK, Superantispyware ist durchgelaufen und Wir sind wohl noch nicht fertig, aber vielleicht "Herr der Lage"...

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/16/2010 at 07:51 PM

Application Version : 4.34.1000

Core Rules Database Version : 4683
Trace Rules Database Version: 2495

Scan type      : Complete Scan
Total Scan Time : 01:10:14

Memory items scanned      : 458
Memory threats detected  : 0
Registry items scanned    : 5209
Registry threats detected : 0
File items scanned        : 78152
File threats detected    : 2

Trojan.Agent/Gen-FakeAlert[Local]
        C:\PROGRAMME\DISKDATA 3.1.1\DISKDATA\UNWISE.EXE

Trojan.Agent/Gen
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1101\A0094999.EXE
Irgendwie hat das Programm aber anders weitergeführt als in der Anleitung... und die Malwareträchtigen Dateien entfernt! Ich hoffe das ist kein Problem... Jedenfalls hat Windows normal gebootet, dann hat sich SASW nochmal kurz gemeldet und ist in der Taskleiste aktiv.
Soll ich das ändern?

Auch die früheren Funde von MBR.exe machen mir noch Sorge:

Zitat:
...
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
Was ist das?

Gruss,
Winfried

StLB 16.03.2010 21:09
Macht nichts, dass SAS die Funde entfernt hat.
Wegen dem Fund von SuperAntiSpyware bitte nochmal ein frisches RSIT -Log posten.

Mach mal bitte noch ein Log mit mbr.exe (Start -> Ausführen -> "cmd", "C:\mbr.exe -f" eingeben)

Larusso 16.03.2010 21:34
Zitat:
Was müssen wir sonst noch tun? Siehe auch Einwände von Daniel...
Keine Einwände, nur etwas was man als neuer Helfer nicht wissen kann :)


Zitat:
Zumindest die myfidelio.net habe ich selbst eingetragen, brauchte ich geschäftlich,
Wird dieser PC gewerblich genutzt ?

wgh52 16.03.2010 21:50
OK, hier die Ergebnisse:

RSIT:
Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Winfried at 2010-03-16 21:42:42
Microsoft Windows XP Professional Service Pack 3
System drive C: has 11 GB (14%) free of 76 GB
Total RAM: 1014 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:47, on 16.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Winfried\Desktop\RSIT.exe
C:\Programme\trend micro\Winfried.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [FjWirSel] C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - http://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {61E56682-2F9A-400C-A724-BC1E9D962225} (EGateRegiChecker Control) - http://gw.aekyung.kr/comn/library.nsf/ByDesignName/eGateRegiChecker.cab/$FILE/eGateRegiChecker.cab
O16 - DPF: {9040F8BC-1F13-4D8D-8F62-1140D49F12F4} (eGateFileManagerV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateFileManager.cab/$FILE/eGateFileManagerV2.cab
O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - https://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DBEC973D-63E4-4063-A3B8-675D497AD7E4} (EGatePrint Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGatePrint.cab/$FILE/eGatePrint.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://microsinc.webex.com/client/T23L/support/ieatgpc.cab
O16 - DPF: {F1233514-92E1-4E50-811F-B0F552D041CA} (eGateDocV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateODSV2.files/$FILE/eGateODSV2.CAB
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SuperAntispyware\SASWINLO.dll
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Media Center 14 Service - J. River, Inc. - C:\Programme\J.River Mediaplayer\JRService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7962 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19C8E43B-07B3-49CB-BFFC-6777B593E6F8}]
Download Manager Browser Helper Object - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL [2007-05-21 525792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F364306-AA45-47B5-9F9D-39A8B94E7EF1}]
FG2CatchUrl - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll [2008-08-19 104016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-07 279664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-02-10 812528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3}
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-07 279664]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-03-07 16010240]
"igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-11-03 77824]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-01-05 761946]
"SSUtility"=C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe [2006-07-22 233472]
"PSUtility"=C:\AddOn\Fujitsu\PSUtility\TrayManager.exe [2006-07-05 118784]
"LoadFUJ02E3"=C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe [2006-04-20 73728]
"IndicatorUtility"=C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe [2005-08-09 81920]
"LoadFujitsuQuickTouch"=C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe [2005-07-21 353792]
"LoadBtnHnd"=C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe [2005-07-21 61440]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2006-06-29 89541]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"M-Audio Taskbar Icon"=C:\WINDOWS\system32\M-AudioTaskBarIcon.exe [2009-09-02 643592]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-10-10 39792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FjWirSel"=C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe [2006-06-29 102400]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-23 68856]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SuperAntispyware\SASWINLO.dll [2009-09-03 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\FJWSEL]
C:\WINDOWS\system32\FJWSWNP.dll [2006-06-29 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-11-03 135168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PSUTY]
C:\WINDOWS\system32\PSUWNP.dll [2006-06-02 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SuperAntispyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"
"C:\Programme\FlashGet\FlashGet.exe"="C:\Programme\FlashGet\FlashGet.exe:*:Enabled:Flashget2"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0af4e040-6aef-11dd-ae83-0017423033a4}]
shell\AutoRun\command - E:\HPW.bat


======List of files/folders created in the last 3 months======

2010-03-16 18:34:06 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2010-03-15 14:49:35 ----A---- C:\mbr.exe
2010-03-15 14:40:49 ----N---- C:\WINDOWS\system32\browserchoice.exe
2010-03-14 23:58:53 ----SHD---- C:\RECYCLER
2010-03-14 22:54:31 ----A---- C:\ComboFix.txt
2010-03-14 22:35:25 ----A---- C:\WINDOWS\MBR.exe
2010-03-14 20:38:23 ----A---- C:\avenger.txt
2010-03-14 01:28:05 ----D---- C:\Avenger
2010-03-14 01:19:13 ----A---- C:\lopR.txt
2010-03-14 01:18:43 ----D---- C:\Lop SD
2010-03-11 07:16:42 ----HDC---- C:\WINDOWS\$NtUninstallKB975561$
2010-02-25 07:27:06 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$
2010-02-21 18:15:46 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Malwarebytes
2010-02-21 18:15:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-21 15:17:23 ----D---- C:\Programme\Malwarebekämpfung
2010-02-11 00:17:37 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-11 00:17:33 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-11 00:15:06 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-11 00:14:59 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-11 00:14:54 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-11 00:14:48 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-11 00:14:38 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-11 00:14:29 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-02-11 00:14:12 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$
2010-02-10 17:33:56 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\vlc
2010-01-23 08:39:05 ----D---- C:\ODS
2010-01-17 13:59:35 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\TolvanData
2010-01-17 13:58:45 ----D---- C:\Programme\EDGE
2010-01-14 10:38:54 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-14 10:38:43 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\MC14.exe
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\BBInstaller.exe
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\AudDevicePlugin.dll
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\AReadyLB.dll
2009-12-25 17:29:14 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-12-25 17:29:13 ----D---- C:\WINDOWS\Logs
2009-12-25 17:27:58 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\J River
2009-12-25 16:14:40 ----RD---- C:\Programme\J.River Mediaplayer

======List of files/folders modified in the last 3 months======

2010-03-16 21:42:43 ----D---- C:\Programme\trend micro
2010-03-16 21:41:01 ----D---- C:\WINDOWS\Prefetch
2010-03-16 20:05:41 ----D---- C:\WINDOWS\temp
2010-03-16 20:05:40 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-16 20:05:33 ----D---- C:\WINDOWS\system32\Lang
2010-03-16 20:05:17 ----D---- C:\WINDOWS
2010-03-16 20:04:28 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-16 18:35:12 ----SHD---- C:\WINDOWS\Installer
2010-03-16 18:35:12 ----D---- C:\Config.Msi
2010-03-16 18:35:10 ----D---- C:\Programme\SuperAntispyware
2010-03-16 18:35:06 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\SUPERAntiSpyware.com
2010-03-16 18:34:06 ----D---- C:\Programme\Gemeinsame Dateien
2010-03-15 21:58:22 ----D---- C:\WINDOWS\system32
2010-03-15 16:04:19 ----HD---- C:\WINDOWS\inf
2010-03-14 22:54:33 ----D---- C:\Qoobox
2010-03-14 22:53:14 ----RSHD---- C:\WINDOWS\system32\dllcache
2010-03-14 22:53:14 ----D---- C:\WINDOWS\ERDNT
2010-03-14 22:52:58 ----A---- C:\WINDOWS\system.ini
2010-03-14 22:52:28 ----D---- C:\Programme
2010-03-14 22:39:33 ----D---- C:\WINDOWS\system32\drivers
2010-03-14 22:39:33 ----D---- C:\WINDOWS\AppPatch
2010-03-14 22:26:01 ----D---- C:\WINDOWS\Minidump
2010-03-13 16:21:54 ----D---- C:\Dokumente und Einstellungen
2010-03-11 20:37:52 ----D---- C:\WINDOWS\Debug
2010-03-11 07:16:44 ----D---- C:\Programme\Movie Maker
2010-03-11 07:16:22 ----HD---- C:\WINDOWS\$hf_mig$
2010-03-10 15:47:39 ----D---- C:\Programme\Brother
2010-03-02 20:18:20 ----D---- C:\Programme\O&O Defrag
2010-03-02 06:30:12 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-25 17:28:17 ----D---- C:\TEMP
2010-02-21 20:01:57 ----D---- C:\Programme\Java
2010-02-10 17:32:56 ----D---- C:\Programme\VLC Player
2010-02-10 01:07:43 ----SD---- C:\WINDOWS\Tasks
2010-02-10 01:07:41 ----D---- C:\Programme\Google
2010-02-03 19:41:59 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2010-01-31 16:43:22 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Media Player Classic
2010-01-31 16:39:21 ----D---- C:\Programme\Media Player Classic
2010-01-23 09:11:44 ----N---- C:\WINDOWS\system32\tzchange.exe
2010-01-23 08:39:16 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-01-23 00:48:09 ----D---- C:\WINDOWS\system32\de-de
2010-01-23 00:48:09 ----D---- C:\Programme\Internet Explorer
2010-01-23 00:48:01 ----D---- C:\WINDOWS\ie7updates
2010-01-15 14:01:59 ----A---- C:\WINDOWS\win.ini
2010-01-05 10:52:17 ----N---- C:\WINDOWS\system32\wininet.dll
2010-01-05 10:52:17 ----A---- C:\WINDOWS\system32\webcheck.dll
2010-01-05 10:52:17 ----A---- C:\WINDOWS\system32\urlmon.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\url.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\pngfilt.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\occache.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\mstime.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\msrating.dll
2010-01-05 10:52:15 ----N---- C:\WINDOWS\system32\mshtml.dll
2010-01-05 10:52:15 ----A---- C:\WINDOWS\system32\mshtmled.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\msfeedsbs.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\msfeeds.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\jsproxy.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iertutil.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iernonce.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iepeers.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\ieframe.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieencode.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\iedkcs32.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieapfltr.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieaksie.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieakeng.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\icardie.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\extmgr.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\dxtrans.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\dxtmsft.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\corpol.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\advpack.dll
2010-01-04 23:51:08 ----A---- C:\WINDOWS\F300V1.50.INI
2010-01-02 23:27:35 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-12-31 16:32:47 ----A---- C:\WINDOWS\system32\ieudinit.exe
2009-12-31 16:32:47 ----A---- C:\WINDOWS\system32\ie4uinit.exe
2009-12-29 10:12:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-12-28 13:34:40 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-12-28 13:33:33 ----D---- C:\Programme\PCPitstop Optimize
2009-12-25 21:18:42 ----HD---- C:\Programme\InstallShield Installation Information
2009-12-25 21:06:41 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-12-25 21:06:31 ----D---- C:\Programme\M-Audio
2009-12-25 17:29:16 ----D---- C:\WINDOWS\system32\DirectX
2009-12-25 16:49:22 ----D---- C:\Programme\ASIO4 All
2009-12-18 14:04:09 ----A---- C:\WINDOWS\system32\ieakui.dll
2009-12-17 08:40:01 ----A---- C:\WINDOWS\system32\mspaint.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-25 96104]
R1 crlscsi;crlscsi; C:\WINDOWS\system32\drivers\crlscsi.sys [1995-11-07 6144]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS []
R2 ATNT40K;ActiveTouch NT Appsharing Driver; C:\WINDOWS\SYSTEM32\DRIVERS\ATNT40K.SYS [2007-04-26 51304]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R2 BtnHnd;BtnHnd; \??\C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-06-29 1160320]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 FUJ02B1;Fujitsu FUJ02B1 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02B1.sys [2001-08-01 5248]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%; C:\WINDOWS\System32\Drivers\FUJ02E1.sys [2004-10-18 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 4864]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-03-08 4246016]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 O2SCBUS;O2Micro SmartCardBus Reader; C:\WINDOWS\system32\DRIVERS\ozscr.sys [2004-10-25 92561]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-01-05 191936]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-07-06 248832]
S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer; C:\WINDOWS\system32\DRIVERS\ADM8511.SYS [2001-08-17 20160]
S3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-09-14 468768]
S3 catchme;catchme; \??\C:\DOKUME~1\Winfried\LOKALE~1\Temp\catchme.sys []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-07 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-07 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-07 21744]
S3 MADFUTRANSIT;Service for M-Audio Transit DFU; C:\WINDOWS\system32\DRIVERS\MAudioTransit_DFU.sys [2009-09-02 42248]
S3 MADFUTS;M-Audio Transit DFU Driver; C:\WINDOWS\system32\DRIVERS\MADFUTS.sys []
S3 MAUSBTRANSIT;Service for M-Audio Transit; C:\WINDOWS\system32\DRIVERS\MAudioTransit.sys [2009-09-02 158344]
S3 MAUSBTZ;Service for M-Audio Transit (WDM); C:\WINDOWS\system32\DRIVERS\mausbts.sys []
S3 NRKCTL32;NRKCTL32; \??\E:\Programme\WCPUID\NRKCTL32.SYS []
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\NSNDIS5.SYS []
S3 pdcv2;pdcv2; C:\WINDOWS\system32\DRIVERS\pdcv2.sys [2003-12-09 16128]
S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
S3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
S3 sermouse;Serieller Maustreiber; C:\WINDOWS\system32\DRIVERS\sermouse.sys [2001-08-18 18176]
S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WINIO;WINIO; \??\C:\Programme\HiFi Akademie\dspModul\winio.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 {1E8183A0-AD58-443E-9E68AFC050BD2775};{1E8183A0-AD58-443E-9E68AFC050BD2775}; \??\C:\WINDOWS\TEMP\3.tmp []
S4 {26D3AAC3-8C2B-4207-B121BAB5A93998F9};{26D3AAC3-8C2B-4207-B121BAB5A93998F9}; \??\C:\WINDOWS\TEMP\4.tmp []
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2008-04-14 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 O2Flash;O2Micro Flash Memory; C:\WINDOWS\system32\o2flash.exe [2005-09-13 57344]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe []
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-25 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Media Center 14 Service;Media Center 14 Service; C:\Programme\J.River Mediaplayer\JRService.exe [2009-11-10 373760]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
MBR.exe -f:
Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
Was meinst Du?

Gruss,
Winfried

wgh52 16.03.2010 21:57
Zitat:
Zitat von Larusso (Beitrag 509365)
Wird dieser PC gewerblich genutzt ?
Eigentlich nicht, ich hatte es mir nur eingerichtet mit dem Notebook PC eine Website bedienen zu können. War Historie, die Site habe ich aus den trusted Zones gelöscht, das war nur damals vergessen worden.

Gruss,
Winfried

wgh52 18.03.2010 22:56
Leider habe ich auf meine Log Posts von vorgestern keine Antwort, aber es sieht aus, als wäre noch nicht alles ganz OK mit dem Masterbootrecord...

Wie geht's weiter?

Gruss,
Winfried

StLB 19.03.2010 12:00
Sorry für die späte Antwort!
Ein paar Dinge aus dem RSIT-Log sind auffällig. Daher bitte folgende Punkte abarbeiten:


schritt 1
Registry mit ERUNT sichern

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


schritt 2

Falls noch nicht vorhanden, lade Dir OTM von OldTimer herunter.
  • Speichere das Programm auf Deinem Desktop.
  • Sollte Dein Anti-Virus-Programm "Alarm" schlagen, bitte ignorieren und/oder OTM auf die Liste der Ausnahmen setzen.
  • Doppelklick auf die OTM.exe, um das Programm auszuführen.
  • Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Einen Haken setzen bei "Unregister Dll's and Ocx's"
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTM-Box mit dem gelben Titel
    (Paste Instructions for Items to be Moved)
    Code:
    :processes
    explorer.exe
    :services
    {1E8183A0-AD58-443E-9E68AFC050BD2775}
    {26D3AAC3-8C2B-4207-B121BAB5A93998F9}
    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{E0E899AB-F487-11D5-8D29-0050BA6940E3}"=-
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
    "%windir%\system32\drivers\svchost.exe"=-
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
    "%windir%\system32\drivers\svchost.exe"=-
    :files
    C:\WINDOWS\TEMP\4.tmp
    C:\WINDOWS\TEMP\3.tmp
    :commands
    [purity]
    [resethosts]
    [emptytemp]
    [start explorer]
    [Reboot]
  • Den roten Moveit! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
  • den Inhalt der Datei C:\_OTM\MovedFiles\<datum_nr.>.log kopieren
    und das Ergebnis in Deine nächste Antwort posten.
  • Die Dateien und/oder Ordner werden nach C:\_OTM\MovedFiles\ verschoben.
  • Schließe OTM
Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.


schritt 3

RSIT erneut das System scannen lassen
  • Schließe alle Fenster und Programme inkl. Browser.
  • Lösche C:\rsit\info.txt manuell.
  • Start => ausführen (bei Vista: im Feld "Suche starten")
  • "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
    damit die alten Logdateien von RSIT überschrieben werden.
  • Bitte poste den Inhalt folgender Logs hier in den Thread:
    C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

myrtille 19.03.2010 13:47
Hi,

du hast dir die neueste Variante von Mebroot/Sinowal eingefangen. Als erstes möchte ich daher sagen, dass es sich dabei um einen Backdoor trojaner handelt, sprich andere konnten auf deinen Rechner zugreifen, deine Passwörter auslesen und Einstellungen verändern.

Das sicherste ist in solchen Fällen immer zu neuaufzusetzen, wir können dir aber helfen die Überreste des Befalls zu entfernen, wenn du nicht neuaufsetzen willst.

Wenn du bereinigen möchtest, dann lade dir bitte folgendes Programm runter und führe es aus: profiles.exe
Es erstellt eine Textdatei, bitte kopiere den Inhalt in deine nächste Antwort.

Bitte führe auch folgendes aus:
Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
net user >log.txt
net user helpassistant >>log.txt
log.txt
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat, poste mir den Inhalt des Textdokuments.

Es sollte sich eine Textdatei öffnen, bitte kopiere auch den Inhalt dieser Datei in deine nächste Antwort.

MfG myrti

wgh52 19.03.2010 14:09
Hallo Myrti und Julian,

soll ich jetzt beide Prozeduren hintereinander durchführen oder nur die von Myrti?? :dummguck:

Übrigens benutze ich keinerlei automatisierten Zugangsdaten, gebe immer von Hand ein, falls das was hilft...?

Danke und Gruss,
Winfried

myrtille 19.03.2010 16:13
Hi,

hatte nicht gesehen, dass noch andere Anleitungen ausstanden. Arbeite bitte beide Beiträge ab, die Reihenfolge dürfte egal sein.

lg myrtille

wgh52 19.03.2010 18:01
Myrti,

hier sind die Logs für Dich:

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    DefaultUserProfile  REG_SZ  Default User
    AllUsersProfile  REG_SZ  All Users

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-18
    ProfileImagePath  REG_EXPAND_SZ  %systemroot%\system32\config\systemprofile

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19
    ProfileImagePath  REG_EXPAND_SZ  %SystemDrive%\Dokumente und Einstellungen\LocalService

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-20
    ProfileImagePath  REG_EXPAND_SZ  %SystemDrive%\Dokumente und Einstellungen\NetworkService

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1478199833-3311342813-976847616-1005
    ProfileImagePath  REG_EXPAND_SZ  %SystemDrive%\Dokumente und Einstellungen\Winfried

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1478199833-3311342813-976847616-1006
    ProfileImagePath  REG_EXPAND_SZ  %SystemDrive%\Dokumente und Einstellungen\HelpAssistant

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1478199833-3311342813-976847616-500
    ProfileImagePath  REG_EXPAND_SZ  %SystemDrive%\Dokumente und Einstellungen\Administrator

    SystemRoot  REG_SZ  C:\WINDOWS
Code:
Benutzerkonten fr \\NOTEBOOKC2D

-------------------------------------------------------------------------------
Administrator            ASPNET                  Gast                   
HelpAssistant            Hilfeassistent          SUPPORT_388945a0       
Winfried               
Der Befehl wurde erfolgreich ausgefhrt.

Benutzername                        HelpAssistant
Vollst„ndiger Name                  HelpAssistant
Beschreibung                       
Benutzerbeschreibung               
L„ndereinstellung                  000 (Standardsystemvorgabe)
Konto aktiv                        Ja
Konto abgelaufen                    Nie

Letztes Setzen des Kennworts        3/15/2010 10:00 AM
Kennwort l„uft ab                  Nie
Kennwort „nderbar                  3/15/2010 10:00 AM
Kennwort erforderlich              Ja
Benutzer kann Kennwort „ndern      Ja

Erlaubte Arbeitsstationen          Alle
Anmeldeskript                     
Benutzerprofil                     
Basisverzeichnis                   
Letzte Anmeldung                    3/15/2010 10:00 AM

Erlaubte Anmeldezeiten              Alle

Lokale Gruppenmitgliedschaften      *Administratoren     
Globale Gruppenmitgliedschaften    *Kein               
Der Befehl wurde erfolgreich ausgefhrt.
Gruss,
Winfried

wgh52 19.03.2010 18:30
So, jetzt zu Julians Anweisung:

ERUNT lief OK

OTM lief etwas anders als beschrieben und bootete selbstanändig den PC, nach Neustart wurde das Log angezeigt:
Code:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Service {1E8183A0-AD58-443E-9E68AFC050BD2775} stopped successfully!
Service {1E8183A0-AD58-443E-9E68AFC050BD2775} deleted successfully!
Service {26D3AAC3-8C2B-4207-B121BAB5A93998F9} stopped successfully!
Service {26D3AAC3-8C2B-4207-B121BAB5A93998F9} deleted successfully!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{E0E899AB-F487-11D5-8D29-0050BA6940E3} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0E899AB-F487-11D5-8D29-0050BA6940E3}\ not found.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list not found.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list not found.
========== FILES ==========
File/Folder C:\WINDOWS\TEMP\4.tmp not found.
File/Folder C:\WINDOWS\TEMP\3.tmp not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: HelpAssistant
->Temp folder emptied: 70669 bytes
->Temporary Internet Files folder emptied: 86519 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 6310 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 53315 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Winfried
->Temp folder emptied: 3709113 bytes
->Temporary Internet Files folder emptied: 228961806 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1534718 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 22973 bytes
%systemroot%\System32 .tmp files removed: 3077636 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 804920 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 227,00 mb
 
 
OTM by OldTimer - Version 3.1.10.1 log created on 03192010_181623

Files moved on Reboot...

Registry entries deleted on Reboot...
Zu guter Letzt RSIT Log:
Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Winfried at 2010-03-19 18:22:33
Microsoft Windows XP Professional Service Pack 3
System drive C: has 10 GB (14%) free of 76 GB
Total RAM: 1014 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:44, on 19.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Winfried\Desktop\RSIT.exe
C:\Programme\trend micro\Winfried.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O1 - Hosts: ÿþ127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [FjWirSel] C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - http://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {61E56682-2F9A-400C-A724-BC1E9D962225} (EGateRegiChecker Control) - http://gw.aekyung.kr/comn/library.nsf/ByDesignName/eGateRegiChecker.cab/$FILE/eGateRegiChecker.cab
O16 - DPF: {9040F8BC-1F13-4D8D-8F62-1140D49F12F4} (eGateFileManagerV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateFileManager.cab/$FILE/eGateFileManagerV2.cab
O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - https://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DBEC973D-63E4-4063-A3B8-675D497AD7E4} (EGatePrint Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGatePrint.cab/$FILE/eGatePrint.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://microsinc.webex.com/client/T23L/support/ieatgpc.cab
O16 - DPF: {F1233514-92E1-4E50-811F-B0F552D041CA} (eGateDocV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateODSV2.files/$FILE/eGateODSV2.CAB
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SuperAntispyware\SASWINLO.dll
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Media Center 14 Service - J. River, Inc. - C:\Programme\J.River Mediaplayer\JRService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7946 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19C8E43B-07B3-49CB-BFFC-6777B593E6F8}]
Download Manager Browser Helper Object - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL [2007-05-21 525792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F364306-AA45-47B5-9F9D-39A8B94E7EF1}]
FG2CatchUrl - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll [2008-08-19 104016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-07 279664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-02-10 812528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-02-07 279664]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-03-07 16010240]
"igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-11-03 77824]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-01-05 761946]
"SSUtility"=C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe [2006-07-22 233472]
"PSUtility"=C:\AddOn\Fujitsu\PSUtility\TrayManager.exe [2006-07-05 118784]
"LoadFUJ02E3"=C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe [2006-04-20 73728]
"IndicatorUtility"=C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe [2005-08-09 81920]
"LoadFujitsuQuickTouch"=C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe [2005-07-21 353792]
"LoadBtnHnd"=C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe [2005-07-21 61440]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2006-06-29 89541]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"M-Audio Taskbar Icon"=C:\WINDOWS\system32\M-AudioTaskBarIcon.exe [2009-09-02 643592]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-10-10 39792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FjWirSel"=C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe [2006-06-29 102400]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-23 68856]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SuperAntispyware\SASWINLO.dll [2009-09-03 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\FJWSEL]
C:\WINDOWS\system32\FJWSWNP.dll [2006-06-29 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-11-03 135168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PSUTY]
C:\WINDOWS\system32\PSUWNP.dll [2006-06-02 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SuperAntispyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"
"C:\Programme\FlashGet\FlashGet.exe"="C:\Programme\FlashGet\FlashGet.exe:*:Enabled:Flashget2"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0af4e040-6aef-11dd-ae83-0017423033a4}]
shell\AutoRun\command - E:\HPW.bat


======List of files/folders created in the last 3 months======

2010-03-19 18:16:23 ----D---- C:\_OTM
2010-03-16 18:34:06 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2010-03-15 14:49:35 ----A---- C:\mbr.exe
2010-03-15 14:40:49 ----N---- C:\WINDOWS\system32\browserchoice.exe
2010-03-14 23:58:53 ----SHD---- C:\RECYCLER
2010-03-14 22:54:31 ----A---- C:\ComboFix.txt
2010-03-14 22:35:25 ----A---- C:\WINDOWS\MBR.exe
2010-03-14 20:38:23 ----A---- C:\avenger.txt
2010-03-14 01:28:05 ----D---- C:\Avenger
2010-03-14 01:19:13 ----A---- C:\lopR.txt
2010-03-14 01:18:43 ----D---- C:\Lop SD
2010-03-11 07:16:42 ----HDC---- C:\WINDOWS\$NtUninstallKB975561$
2010-02-25 07:27:06 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$
2010-02-21 18:15:46 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Malwarebytes
2010-02-21 18:15:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-21 15:17:23 ----D---- C:\Programme\Malwarebekämpfung
2010-02-11 00:17:37 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-11 00:17:33 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-11 00:15:06 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-11 00:14:59 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-11 00:14:54 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-11 00:14:48 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-11 00:14:38 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-11 00:14:29 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-02-11 00:14:12 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$
2010-02-10 17:33:56 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\vlc
2010-01-23 08:39:05 ----D---- C:\ODS
2010-01-17 13:59:35 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\TolvanData
2010-01-17 13:58:45 ----D---- C:\Programme\EDGE
2010-01-14 10:38:54 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-14 10:38:43 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\MC14.exe
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\BBInstaller.exe
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\AudDevicePlugin.dll
2009-12-25 17:29:16 ----N---- C:\WINDOWS\system32\AReadyLB.dll
2009-12-25 17:29:14 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-12-25 17:29:13 ----D---- C:\WINDOWS\Logs
2009-12-25 17:27:58 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\J River
2009-12-25 16:14:40 ----RD---- C:\Programme\J.River Mediaplayer

======List of files/folders modified in the last 3 months======

2010-03-19 18:22:34 ----D---- C:\Programme\trend micro
2010-03-19 18:22:33 ----D---- C:\rsit
2010-03-19 18:22:17 ----D---- C:\WINDOWS\Prefetch
2010-03-19 18:19:05 ----D---- C:\WINDOWS\temp
2010-03-19 18:18:39 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-19 18:18:36 ----D---- C:\WINDOWS\system32\Lang
2010-03-19 18:17:27 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-19 18:17:02 ----D---- C:\WINDOWS\system32
2010-03-19 18:17:02 ----D---- C:\WINDOWS
2010-03-19 18:13:30 ----D---- C:\WINDOWS\ERDNT
2010-03-19 16:51:41 ----HD---- C:\WINDOWS\inf
2010-03-18 12:17:45 ----SHD---- C:\WINDOWS\Installer
2010-03-16 18:35:12 ----D---- C:\Config.Msi
2010-03-16 18:35:10 ----D---- C:\Programme\SuperAntispyware
2010-03-16 18:35:06 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\SUPERAntiSpyware.com
2010-03-16 18:34:06 ----D---- C:\Programme\Gemeinsame Dateien
2010-03-14 22:54:33 ----D---- C:\Qoobox
2010-03-14 22:53:14 ----RSHD---- C:\WINDOWS\system32\dllcache
2010-03-14 22:52:58 ----A---- C:\WINDOWS\system.ini
2010-03-14 22:52:28 ----D---- C:\Programme
2010-03-14 22:39:33 ----D---- C:\WINDOWS\system32\drivers
2010-03-14 22:39:33 ----D---- C:\WINDOWS\AppPatch
2010-03-14 22:26:01 ----D---- C:\WINDOWS\Minidump
2010-03-13 16:21:54 ----D---- C:\Dokumente und Einstellungen
2010-03-11 20:37:52 ----D---- C:\WINDOWS\Debug
2010-03-11 07:16:44 ----D---- C:\Programme\Movie Maker
2010-03-11 07:16:22 ----HD---- C:\WINDOWS\$hf_mig$
2010-03-10 15:47:39 ----D---- C:\Programme\Brother
2010-03-02 20:18:20 ----D---- C:\Programme\O&O Defrag
2010-03-02 06:30:12 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-25 17:28:17 ----D---- C:\TEMP
2010-02-21 20:01:57 ----D---- C:\Programme\Java
2010-02-10 17:32:56 ----D---- C:\Programme\VLC Player
2010-02-10 01:07:43 ----SD---- C:\WINDOWS\Tasks
2010-02-10 01:07:41 ----D---- C:\Programme\Google
2010-01-31 16:43:22 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Media Player Classic
2010-01-31 16:39:21 ----D---- C:\Programme\Media Player Classic
2010-01-23 09:11:44 ----N---- C:\WINDOWS\system32\tzchange.exe
2010-01-23 08:39:16 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-01-23 00:48:09 ----D---- C:\WINDOWS\system32\de-de
2010-01-23 00:48:09 ----D---- C:\Programme\Internet Explorer
2010-01-23 00:48:01 ----D---- C:\WINDOWS\ie7updates
2010-01-15 14:01:59 ----A---- C:\WINDOWS\win.ini
2010-01-05 10:52:17 ----N---- C:\WINDOWS\system32\wininet.dll
2010-01-05 10:52:17 ----A---- C:\WINDOWS\system32\webcheck.dll
2010-01-05 10:52:17 ----A---- C:\WINDOWS\system32\urlmon.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\url.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\pngfilt.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\occache.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\mstime.dll
2010-01-05 10:52:16 ----A---- C:\WINDOWS\system32\msrating.dll
2010-01-05 10:52:15 ----N---- C:\WINDOWS\system32\mshtml.dll
2010-01-05 10:52:15 ----A---- C:\WINDOWS\system32\mshtmled.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\msfeedsbs.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\msfeeds.dll
2010-01-05 10:52:14 ----A---- C:\WINDOWS\system32\jsproxy.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iertutil.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iernonce.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\iepeers.dll
2010-01-05 10:52:13 ----A---- C:\WINDOWS\system32\ieframe.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieencode.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\iedkcs32.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieapfltr.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieaksie.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\ieakeng.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\icardie.dll
2010-01-05 10:52:11 ----A---- C:\WINDOWS\system32\extmgr.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\dxtrans.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\dxtmsft.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\corpol.dll
2010-01-05 10:52:10 ----A---- C:\WINDOWS\system32\advpack.dll
2010-01-04 23:51:08 ----A---- C:\WINDOWS\F300V1.50.INI
2010-01-02 23:27:35 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-12-31 16:32:47 ----A---- C:\WINDOWS\system32\ieudinit.exe
2009-12-31 16:32:47 ----A---- C:\WINDOWS\system32\ie4uinit.exe
2009-12-29 10:12:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-12-28 13:34:40 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-12-28 13:33:33 ----D---- C:\Programme\PCPitstop Optimize
2009-12-25 21:18:42 ----HD---- C:\Programme\InstallShield Installation Information
2009-12-25 21:06:41 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-12-25 21:06:31 ----D---- C:\Programme\M-Audio
2009-12-25 17:29:16 ----D---- C:\WINDOWS\system32\DirectX
2009-12-25 16:49:22 ----D---- C:\Programme\ASIO4 All

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-25 96104]
R1 crlscsi;crlscsi; C:\WINDOWS\system32\drivers\crlscsi.sys [1995-11-07 6144]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS []
R2 ATNT40K;ActiveTouch NT Appsharing Driver; C:\WINDOWS\SYSTEM32\DRIVERS\ATNT40K.SYS [2007-04-26 51304]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R2 BtnHnd;BtnHnd; \??\C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-06-29 1160320]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 FUJ02B1;Fujitsu FUJ02B1 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02B1.sys [2001-08-01 5248]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%; C:\WINDOWS\System32\Drivers\FUJ02E1.sys [2004-10-18 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 4864]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-03-08 4246016]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 O2SCBUS;O2Micro SmartCardBus Reader; C:\WINDOWS\system32\DRIVERS\ozscr.sys [2004-10-25 92561]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-01-05 191936]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-07-06 248832]
S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer; C:\WINDOWS\system32\DRIVERS\ADM8511.SYS [2001-08-17 20160]
S3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-09-14 468768]
S3 catchme;catchme; \??\C:\DOKUME~1\Winfried\LOKALE~1\Temp\catchme.sys []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-07 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-07 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-07 21744]
S3 MADFUTRANSIT;Service for M-Audio Transit DFU; C:\WINDOWS\system32\DRIVERS\MAudioTransit_DFU.sys [2009-09-02 42248]
S3 MADFUTS;M-Audio Transit DFU Driver; C:\WINDOWS\system32\DRIVERS\MADFUTS.sys []
S3 MAUSBTRANSIT;Service for M-Audio Transit; C:\WINDOWS\system32\DRIVERS\MAudioTransit.sys [2009-09-02 158344]
S3 MAUSBTZ;Service for M-Audio Transit (WDM); C:\WINDOWS\system32\DRIVERS\mausbts.sys []
S3 NRKCTL32;NRKCTL32; \??\E:\Programme\WCPUID\NRKCTL32.SYS []
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\NSNDIS5.SYS []
S3 pdcv2;pdcv2; C:\WINDOWS\system32\DRIVERS\pdcv2.sys [2003-12-09 16128]
S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
S3 sermouse;Serieller Maustreiber; C:\WINDOWS\system32\DRIVERS\sermouse.sys [2001-08-18 18176]
S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WINIO;WINIO; \??\C:\Programme\HiFi Akademie\dspModul\winio.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2008-04-14 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 O2Flash;O2Micro Flash Memory; C:\WINDOWS\system32\o2flash.exe [2005-09-13 57344]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe []
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-25 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Media Center 14 Service;Media Center 14 Service; C:\Programme\J.River Mediaplayer\JRService.exe [2009-11-10 373760]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
So, ich bitte um Analyse unf hoffe, wir sind bald am Ziel, damit auch andere an die Reihe kommen... :daumenhoc

Danke und Gruss,
Winfried

myrtille 19.03.2010 19:08
Hi,

ja, sieht gut aus.

Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr /v Start /t REG_DWORD /d 0x0 /f
net stop RDSessMgr
net user HelpAssistant /delete >nul 2>&1
net localgroup Administratoren HelpAssistant /delete >nul 2>&1
attrib -s -h -r C:\docume~\HelpAssistant\* /s /d
del /s/q C:\docume~\HelpAssistant\*.*
rmdir /s/q C:\docume~\HelpAssistant
C:\mbr -f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1478199833-3311342813-976847616-1006" /f
reg add HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d ^%systemroot^%\System32\termsrv.dll /f
exit
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Führe die Datei per Doppelklick aus.

MfG Kathrin

wgh52 19.03.2010 19:38
OK Kathrin,

ist gemacht. Und jetzt? Alles klar?

Gruss,
Winfried

myrtille 19.03.2010 19:52
Hi,

wir sind fast durch. Wie verhält sich das System denn jetzt?

Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
net user > log.txt
reg query HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll >>log.txt
reg delete "HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "%windir%\system32\drivers\svchost.exe" /f
reg delete "HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list" /v "%windir%\system32\drivers\svchost.exe" /f
log.txt
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat, poste mir den Inhalt des Textdokuments.

Mache bitte auch noch nen scan mit Eset:
  • ESET Online Scanner
    • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
    • Button "ESET Online Scanner" drücken.
    • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
    • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
    • Den Haken bei "Remove found threads" nicht setzen und bei "Scan archives" setzen.
    • Start drücken.
    • Der Scan beginnt automatisch.
    • Finish drücken.
    • Browser schließen.
    • Explorer öffnen.
    • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
    • Logfile hier posten.
    • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
    • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

MfG Myrtille

wgh52 21.03.2010 21:28
Hallo!

Sorry, war sehr beschäftigt, darum erst jetzt das Log:

Code:
Benutzerkonten fr \\NOTEBOOKC2D

-------------------------------------------------------------------------------
Administrator            ASPNET                  Gast                   
Hilfeassistent          SUPPORT_388945a0        Winfried               
Der Befehl wurde erfolgreich ausgefhrt.


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters
    ServiceDll        REG_EXPAND_SZ        \System32\termsrv.dll
ESET kommt gleich.

Gruss,
Winfried

wgh52 22.03.2010 00:01
So, also ESET hat seine Arbeit jetzt beendet und "no threats found" angezeigt. Hier der Log:

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16981 (vista_gdr.091215-2244)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=5d585ca00442934eb0dec660b775335e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-03-21 10:50:10
# local_time=2010-03-21 11:50:10 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 187778 187778 0 0
# compatibility_mode=1797 16775125 100 100 51427 68698993 31209 0
# compatibility_mode=8192 67108863 100 0 3743 3743 0 0
# scanned=77925
# found=0
# cleaned=0
# scan_time=8277
Heisst das nun: "alles wieder klar"?

Und noch eine letzte Frage: Ich habe ja noch einen weiteren Rechner an meinem LAN. Wie stelle ich fest, dass dieser nicht auch diese Probleme hat? Reicht Malwarebytes oder soll ich da auch mal ESET drüberlaufen lassen? Bitte um Rat!

Vielen Dank für die extensive Hilfe und beharrliche Problembearbeitung!

Beste Grüsse,
Winfried

myrtille 22.03.2010 00:07
Hi,

ja das sieht nach klar schiff aus! :) Freut mich, dass der PC wieder läuft.

Lass neben Malwarebytes auf dem anderen Rechner auch noch folgende Batch laufen und ich kann dir dann sagen ob diese auch von dem MBR Rootkit befallen sind:
Code:
@echo off
net user > log.txt
reg query HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll >>log.txt
log.txt
Poste das erstellte Log hier in den Thread.

Ein zusätzlicher Scan mit Eset ist in der Regel nicht zwingend notwendig, kann aber auch nicht schaden. ;)

lg myrtille

wgh52 23.03.2010 13:31
Hier der Log meines zweiten PCs, der am Netzwerk dranhängt. Mir kommt es sauber vor.

Code:
Benutzerkonten fr \\NOTEBOOKP4P

-------------------------------------------------------------------------------
Administrator            Gast                    Hilfeassistent         
SUPPORT_388945a0        SUPPORT_3f151ab9        Winfried               
Der Befehl wurde erfolgreich ausgefhrt.


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters
    ServiceDll        REG_EXPAND_SZ        %SystemRoot%\System32\termsrv.dll
Malwarebytes muss ich noch laufen lassen.

Gruss,
Winfried

myrtille 23.03.2010 21:28
Hi,

das sieht gut aus. :)

MfG myrtille

wgh52 24.03.2010 10:24
So, das wäre dann also geschafft!

Ich bedanke mich bei allen Helfern, die mich durch diesen "Dschungel" geleitet und letztendlich das Problem beseitigt haben! SUPER gemacht

:Boogie: :huepp:

Winfried
PS: Das Thema kann als "erledigt" markiert werden.

myrtille 24.03.2010 13:42
Hi,

du kannst die programme die wir benutzt haben, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach entfernen.

lg myrtille

wgh52 24.03.2010 15:34
Zitat:
Zitat von myrtille (Beitrag 510825)
Hi,

du kannst die programme die wir benutzt haben, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach entfernen.

lg myrtille
Sorry, in Deinem Satz fehlt irgendwie das entscheidende Wort... :dummguck:
Gruss,
Winfried

myrtille 24.03.2010 20:22
Hi,

das kann eigentlich gar nicht sein. :balla: Ich vergesse nie was.:blabla:

Zitat:
du kannst die programme die wir benutzt haben entfernen, indem du OTC.exe herunterlädst und ausführst. Alle verbleibenden Batches kannst du dann auch einfach von hand entfernen.
lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55