Befall mit Win32.Renos

  • #1
M

magic_pit

Aktives Mitglied
Themenersteller
Dabei seit
13.12.2001
Beiträge
42
Reaktionspunkte
0
Hallo zusammen,

jetzt hat es mich auch einmal erwischt :tickedoff:

Nach dem Entzippen einer Datei eines Bekannten (der kann noch was von mir hören...) kam vom meinem McAfee-Programm der Hinweis dass er einen Trojaner gefunden hätte und diesen gleich entfernt hat. Welcher dieser war konnte ich nicht genau lesen da das Fenster zu schnell wieder zupoppte.
Habe mir nur gedacht, gut dass sich das Programm mal bewähren durfte.
Tja, falsch gedacht.
Mit dem Beenden der Meldung öffnete sich mein IE und besuchte selbständig eine Ü-18-Seite. Habe gleich alles geschlossen aber schon Desktopsymbole über diese Seiten auf meinem Desktop entdeckt.

Beim surfen danach (via FF sowie über IE) bekam ich auf einmal beim Googeln immer Werbungsanzeigen an erster Ergebnisstelle. Nach 1-oder 2maligen Weiterklicken wurde ich auf eine Werbeseite umgeleitet (oben war keine Internetadresse zu sehen, stand nur leerer Tab) wo ich auf Schädlingsbefall hingewiesen wurde und ich solle doch Produkt A oder B erwerben.
Blöderweise konnte ich danach mich auch nicht mehr in meinen normalen Ordnerstrukturen bewegen, nach 2 oder 3 Klicks kam wieder eine Werbung über ein befallenes System. Also auch außerhalb der WEb-Welt.

Habe meine Kiste mal rebootet in der Hoffnung das wäre danach wieder ok. War es natürlich nicht, gibt ja keine Geister....
Dazu kommt auf einmal noch beim Hochfahren des PCs der Hinweis, dass sich irgend ein COM Surrogate mit dem Netz verbinden will.
Der Pfad weist auf C\Windows\System32\dllhost.exe.
Keine Ahnung was das ist, jedenfalls machte es keinen Unterschied ob ich den Zugriff erlaubte oder nicht.

Habe daraufhin McAfee meine komplette Kiste scannen lassen, mit keinem Erfolg.
Dann habe ich Spybot Search & Destroy mal bemüht und siehe da, der fand einige Einträge. Habe daraufhin alles gelöscht und PC rebootet.
Dann wieder Spybot laufen lassen, verflixt, ein Eintrag bleibt und bleibt stehen, nämlich MalwareC: Win32.Renos.

Lt. Beschreibung macht der folgendes:
Renos drops a library and runs radomly. It connects to the internet and shows advertising from rogue security sites. Variants are known to download and install further malware.

Ok, liest sich so als ob er die Ursache wäre. Wobei ich mir hunderprozent sicher bin dass McAfee einen anderen Malware-Namen kurz aufgeblendet hatte, nicht mal annähernd dieser Name.
Dummerweise habe ich Spybot schon einige Wochen nicht mehr laufen lassen so dass ich nicht 100% davon ausgehen kann das ist wirklich der Übeltäter.

Gut, nachdem ich also den Dreckskerl nicht über Spybot loswurde (habe es 3x probiert) habe ich zusätzlich noch mit CCleaner alle Fehler weggehauen, mehrmals gescannt bis wirklich alles auf fehlerfrei stand. Auch alle Caches, Verläufe etc leeren lassen, also das volle Programm.
Der Sauhund ist immer noch da.

In meiner letzten Verzweiflung habe ich jetzt einen älteren Systemwiederherstellungspunkt benutzt.
Das hatte jetzt zur Folge dass sich das COM-Surrogate nicht mehr verbinden will und im IE die Werbung verschwunden ist, die Malware Win32.Renos ist aber immer noch über Spybot zu finden.

Diese verweist übrigens auf eine dat-Datei, nämlich C\Windows\ios.dat
Ich vermute also den Befall dieser Datei.
Keine Ahnung wozu diese da ist, ich scheue jetzt allerdings davor zurück diese einfach zu löschen da das Erstellungsdatum doch schon älteren Ursprunges ist (einige Jahre), also wohl nicht von der Malware angelegt wurde.

Ja, jetzt bin ich mit meinem spärlichen Latein am Ende, ich weiß nicht mehr weiter außer Format, aber das wäre mehr als bitter.

Bitte, kann mir jemand weiterhelfen?

Ich hoffe ich habe nicht zu ausführlich geschrieben, wollte aber jede Information gleich weitergeben.

Danke im voraus[br][br]Erstellt am: 05.01.09 um 23:07:43
[br]So, noch ein Nachtrag.
Habe in der Zwischenzeit diese ominöse ios.dat online scannen lassen mit seltsamen Ergebnis, dass nämlich fast niemand was erkannte und wenn ja dann ein ganz anderer Hinweis:
(habe es jetzt nicht besser aufbereiten können, die Fundstellen habe ich unterstrichen zur besseren Lesbarkeit)

Datei ios.dat empfangen 2009.01.05 23:27:36 (CET)
Ergebnis: 4/38 (10.53%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.05 Win32.SuspectCrc!IK
AhnLab-V3 2009.1.5.3 2009.01.05 -
AntiVir 7.9.0.45 2009.01.05 TR/Drop.Agent.adti
Authentium 5.1.0.4 2009.01.05 -
Avast 4.8.1281.0 2009.01.05 -
AVG 8.0.0.199 2009.01.05 -
BitDefender 7.2 2009.01.05 -
CAT-QuickHeal 10.00 2009.01.05 -
ClamAV 0.94.1 2009.01.05 -
Comodo 878 2009.01.05 -
DrWeb 4.44.0.09170 2009.01.05 -
eTrust-Vet 31.6.6289 2009.01.02 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.05 -
F-Secure 8.0.14470.0 2009.01.05 -
Fortinet 3.117.0.0 2009.01.05 -
GData 19 2009.01.05 -
Ikarus T3.1.1.45.0 2009.01.05 Win32.SuspectCrc
K7AntiVirus 7.10.576 2009.01.05 -
Kaspersky 7.0.0.125 2009.01.05 -
McAfee 5486 2009.01.05 -
McAfee+Artemis 5486 2009.01.05 -
Microsoft 1.4205 2009.01.05 -
NOD32 3740 2009.01.05 -
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.05 -
PCTools 4.4.2.0 2009.01.05 -
Prevx1 V2 2009.01.05 -
Rising 21.11.02.00 2009.01.05 -
SecureWeb-Gateway 6.7.6 2009.01.05 Trojan.Drop.Agent.adti
Sophos 4.37.0 2009.01.05 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.05 -
TheHacker 6.3.1.4.205 2009.01.05 -
TrendMicro 8.700.0.10042009.01.05 -
VBA32 3.12.8.10 2009.01.05 -
ViRobot 2009.1.5.1544 2009.01.05 -
VirusBuster 4.5.11.0 2009.01.05 -
 
  • #2
Hi,
Hier im Forum thread vorgehensweise bei Befall lesen, das Tool rsit abarbeiten, beide logs Posten in Code-tags.
 
  • #3
Hallo,

ich bin jetzt fast versucht zu behaupten dass mein Befall durch den alten Wiederherstellungspunkt gelöscht wurde.
Ganz sicher bin ich nicht, deshalb würde ich noch eine Bestätigung meiner Vermutung durch einen Experten hier abwarten bevor ich wieder beruhigt surfen kann.

- Ich meine mich erinnern zu können dass der von McAfee erkannte Teil irgendwas mit .sorb. oder ...orb.. war, aber nicht Renos.
- Nach reboot will COM surrogate sich nicht mehr mit dem Internet verbinden (so wie vor dem Befall)
- die Werbefenster poppen nicht mehr auf

Ich denke dass die übriggebliebene Malware-Warnung von Spybot eine Fehlmeldung ist, weil:
- die bemängelte ios.dat McAfee und die meisten der vom Onlinescan (Auswertung s.o.) benutzten Antivirenprogramme erkannten bei der übriggebliebenen ios.dat keinen Befall. Und wenn doch dann wurden sie unterschiedlich erkannt was mir jetzt kein so großes Vertrauen entgegenbringt
- Ich habe mir AdAware heruntergeladen und einen mehrstündigen Fullscan laufen lassen. Da war jetzt keine Erkennung.
- Habe einen onlinescan des Logfiles über Hijackthis gemacht und da war nichts böses dabei

Ich denke ich bin das Teil los und Spybot macht einen Fehlalarm.
Seid ihr der selben Meinung?

Was dann doch die Frage aufwirft, inwieweit man sich auf Spybot etc verlassen kann. Fährt man besser mit Spybot UND AdAware, d.h. man wird erst aktiv wenn beide die selbe Erkennung haben?

Danke im voraus
 
  • #4
???

Ich hab dir doch angegeben was du machen sollst, du willst Hilfe, warum nimmst du sie dann nicht an? :(
 
  • #5
nehme ich ja an :1, ich dachte aber dass es sich durch meine gerade erwähnten Maßnahmen (deinen Beitrag habe ich erst danach gelesen) eventuell erledigt hätte.

Ich arbeite also das rsit ab, hoffe damit als nicht so bewanderter Anwender damit zurechtzukommen
Ich rühre mich dann wieder
Danke schon mal für die Hilfe
 
  • #6
War gar nicht so schwer m

Ist aber ein gigantisches Log, das bekomme ich gar nicht hier hinein (Meldung: max Länge erreicht)

Brauchst du alles oder kann ich kürzen?

Nachtrag: was meintest du mit Code-Tags ?
 
  • #7
Teile die log.txt in mehrere Teile und poste sie. Info.txt bitte an meine email :).
 
  • #8
Hi Schrauber,

Kann dir die Info.txt leider nicht senden da dein Postfach hier anscheinend voll ist.
Wenn du mir - falls du die Info.txt überhaupt noch brauchst - deine Emailadresse per PN schicken willst könnte ich sie darüber senden
 
  • #9
klick doch mal auf mein profil, da ist meine email für jeden sichtbar ;)

====

von der seite mit den anleitungen, lass bitte mal malwarebytes laufen und poste das log. auf der seite steht auch ganz unten wie man logfiles in code-tags setzt, bitte so machen und alle alten posts von dir so editieren :)
 
  • #10
Nö - mailadresse nicht sichtbar!
Wollte KN senden - geht nicht - ist evtl Dein KN-Postfach voll??????????????????
Oder magst Du mich nicht mehr leiden?
 
  • #11
Danke Athene, ich dachte schon ich sei auch hierfür zu unbeholfen ;D

Bei meinem ganzen Knuddelmuddel ist jetzt die immer als Malware angezeigte ominöse ios.dat endgültig verschwunden. Ich hoffe ich kann jubeln, nicht dass die für was anderes wichtig war....


Also hier mal das Protokoll von Malwarebytes:
Es wurden 4 Einträge gefunden (und zwar NUR von Malwarebytes, sonst nicht von McAfee, nicht von Spybot und nicht von AdAware. Das gibt mir schon zu denken wer jetzt was falsches anzeigt).
Ich habe so weit wie möglich recherchiert und festgestellt, dass die Malware.trace-Teile von Irfanview stammen und ich denke, sie sind schon ok.
Beim ersten Eintrag habe ich nichts gefunden, ich habe es mal in die Quarantäne verschieben lassen. Vielleicht kann sich jemand dazu äußern der das Teil kennt bzw. die Auswertung.

--------------------
Laufzeit: 3 hour(s), 24 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\inte1b.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sf.ico (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\m3.ico (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\s.ico (Malware.Trace) -> Not selected for removal.


---------------------------
Habe noch zur Sicherheit einen Onlinescan über diese inte1b.dll laufen lassen mit folgendem Ergebnis, dass genau 1x Alarm geschlagen wurde. Hätte da jetzt auch mehr erwartet.
Irgendwie ist das Alles nichts Halbes und nichts Ganzes....

Datei: inte1b.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: {BIT9_THREAT}

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
G DATA Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/Adware.IeDefender.NIC application gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden




P.S. das mit den Code-Tags suche ich noch, bin wohl blind....
 
  • #12
@Athene

ich kann dich ganz viel leiden, deshalb ist ja mein postfach voll :-*

habs jetzt geleert :).


@magic_pit:

bitte combofix ausführen (von der seite mit den anleitungen)
 
  • #13
Hallo schrauber,

danke für deine bisherige Hilfe :1

Ich denke aber, der kleine Bastard auf meinem PC ist wirklich weg.
Die Symptome die vor einigen Tagen auftraten sind verschwunden.

Scans über Malwarebytes, Spybot und AdAware sagen jetzt alle: ok
Habe 2 Auswertungen gemacht über Hijack und RSIT und war wohl alles ok.

Sollten wider erwarten doch noch Probleme auftreten würde ich diesen Thread wiedereröffnen.

Habe mir die Sache mit Combofix durchgelesen, würde ein weiters Protokoll zu den bisherigen erstellen und scheint auch nicht ganz ungefährlich zu sein. Diesen Schritt würde ich mir aufheben bei Thread-Wiedereröffnung, also wenn ich doch noch eine Nichtbereinigung feststellen würde.

Pit
 
  • #14
Jetzt habe ich dasselbe Problem: Ich kann keinen Systemorder mehr öffnen, und ( nachdem sich Mc Affee nicht gemuckt hat ) habe Spybot mehrmahls durchlaufen lassen:

Das. Ergebnis Win32.RENOS ( und andere ),
nach mehrmaligem reparieren findet Spybot zwar nix mehr, aber der virus ist immer noch da! ( Und spybot fragt ständig das ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde

( Änderung: Value gelöscht, Eintrag: Spybot deleting (z.B. A2702) - soll ich da->erlauben' oder->verweigern' drücken?? Das geht immer so weiter, und ich will da auch nicx kaputt machen..)

Was kann ich da machen, ich hab' keinerlei Ahnung von diesem Zeug :(
Ich hab mir die bisherigen Antworten ( und auch die ganzen Vorgehensweise bei Befall) durchgelesen, aber das einzige, dass ich noch kapiert hatte war das mit dem Hijackreport, der ist hier:

Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:39, on 12.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\VIRUSfighter\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\DOKUME~1\ALLESM~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\alles meins\Desktop\utorrent.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://de.intl.acer.yahoo.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url]http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com[/url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://de.intl.acer.yahoo.com/[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SysCli.Ctrl - {2D0733B6-0BAC-47C1-909A-D9DB0533FFAF} - C:\WINDOWS\system32\fejokt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [M3000Mnt] Rundll32.exe M3000Rmv.dll ,WinMainRmv /StartStillMnt
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\RunOnce: [SpybotDeletingA6069] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Cheap Pharmacy Online.url
O4 - HKLM\..\RunOnce: [SpybotDeletingC2706] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Cheap Pharmacy Online.url
O4 - HKLM\..\RunOnce: [SpybotDeletingA6540] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Search Online.url
O4 - HKLM\..\RunOnce: [SpybotDeletingC8404] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Search Online.url
O4 - HKLM\..\RunOnce: [SpybotDeletingA3427] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\VIP Casino.url
O4 - HKLM\..\RunOnce: [SpybotDeletingC3787] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\VIP Casino.url
O4 - HKLM\..\RunOnce: [SpybotDeletingA3822] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Pharmacy Online.url
O4 - HKLM\..\RunOnce: [SpybotDeletingC6935] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Pharmacy Online.url
O4 - HKLM\..\RunOnce: [SpybotDeletingA9058] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Search Online.url
O4 - HKLM\..\RunOnce: [SpybotDeletingC720] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Search Online.url
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB2206] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\VIP Casino.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD8297] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\VIP Casino.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB6856] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\SMS TRAP.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD3338] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\SMS TRAP.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB2346] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\SMS TRAP.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD9456] cmd.exe /c del C:\WINDOWS\system32\p.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingD6250] cmd.exe /c del C:\WINDOWS\system32\c.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingB4781] command.com /c del C:\WINDOWS\system32\m.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingD5199] cmd.exe /c del C:\WINDOWS\system32\m.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingD1288] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Cheap Software.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB7630] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\MP3 Download.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD2645] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\MP3 Download.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB2887] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Software.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD4411] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Software.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB3302] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\MP3 Download.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD4394] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\MP3 Download.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB4924] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Cheap Pharmacy Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD3849] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Cheap Pharmacy Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB425] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Search Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD4294] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Search Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB4476] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\VIP Casino.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD7401] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\VIP Casino.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB6604] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Pharmacy Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD6323] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Pharmacy Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB7134] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Search Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD8170] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Search Online.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB2502] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\VIP Casino.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD5120] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\VIP Casino.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB9118] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\SMS TRAP.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD944] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\SMS TRAP.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB9511] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\SMS TRAP.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD8372] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\SMS TRAP.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB1611] command.com /c del C:\WINDOWS\system32\p.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingD7108] cmd.exe /c del C:\WINDOWS\system32\p.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingB9927] command.com /c del C:\WINDOWS\system32\c.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingD5743] cmd.exe /c del C:\WINDOWS\system32\c.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingB5138] command.com /c del C:\WINDOWS\system32\m.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingD2625] cmd.exe /c del C:\WINDOWS\system32\m.ico
O4 - HKCU\..\RunOnce: [SpybotDeletingB3161] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Cheap Software.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD6334] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\Cheap Software.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB124] command.com /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\MP3 Download.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD1614] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Favoriten\MP3 Download.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB8533] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Software.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD3778] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\Cheap Software.url
O4 - HKCU\..\RunOnce: [SpybotDeletingB3185] command.com /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\MP3 Download.url
O4 - HKCU\..\RunOnce: [SpybotDeletingD2343] cmd.exe /c del C:\Dokumente und Einstellungen\alles meins\Startmenü\MP3 Download.url
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download with ImTOO YouTube Video Converter - C:\Programme\ImTOO\YouTube Video Converter\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra->Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c986b5d67d2ca0) (gupdate1c986b5d67d2ca0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe

--
End of file - 17973 bytes
 
  • #15
hi,

deinstalliere bitte spybot, wenn wir fertig sind kanst du es gerne wieder installieren :).

===

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_gm

das tool gmer abarbeiten, log posten

===

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_rs

das tool rsit laufen lassen, beide logs posten. die logs teilen da sie zu lang sind.

===

setze alle logs in code tags, schreibe vor das log [code ]und hinter das log [/code ] ohn das leerzeichen, das sieht dann so aus:

Code: 
test
 
  • #16
Danke für die schnelle Antwort! :)

Erst einmal gmer, rsit dauert noch ein bißchen:

Code: 
GMER 1.0.14.14536 - [url]http://www.gmer.net[/url]
Rootkit scan 2009-02-12 21:24:02
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0xA9FDC9AA]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateKey [0xA9FDCA41]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcess [0xA9FDC958]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcessEx [0xA9FDC96C]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwDeleteKey [0xA9FDCA55]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwDeleteValueKey [0xA9FDCA81]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwEnumerateKey [0xA9FDCAEF]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwEnumerateValueKey [0xA9FDCAD9]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xA9FDC9EA]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwNotifyChangeKey [0xA9FDCB1B]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenKey [0xA9FDCA2D]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenProcess [0xA9FDC930]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenThread [0xA9FDC944]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xA9FDC9BE]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwQueryKey [0xA9FDCB57]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwQueryMultipleValueKey [0xA9FDCAC3]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwQueryValueKey [0xA9FDCAAD]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwRenameKey [0xA9FDCA6B]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwReplaceKey [0xA9FDCB43]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwRestoreKey [0xA9FDCB2F]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetContextThread [0xA9FDC996]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetInformationProcess [0xA9FDC982]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetValueKey [0xA9FDCA97]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwTerminateProcess [0xA9FDCA19]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnloadKey [0xA9FDCB05]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xA9FDCA00]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0xA9FDC9D4]
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenProcess
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenThread
Code      \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtSetInformationProcess

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs                                    mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat                                   mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip                                   Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp                                   Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp                                   Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp                                  Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0                            SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1                            SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.14 ----
 
  • #17
rsit 1, Teil 1:

Code: 
info.txt logfile of random's system information tool 1.05 2009-02-12 21:30:29

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Programme\InstallShield Installation Information\{69333A04-5134-40A5-A055-9166A7AA1EC8}\setup.exe -runfromtemp -l0x0009 -removeonly
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0410-0000-0000000FF1CE} /uninstall {58FC5E37-DD28-4D4A-A549-125744C6763C}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-006E-0407-0000-0000000FF1CE} /uninstall {888B9AC7-8F5C-456B-A27A-157A6C310E52}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-00A1-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
Acer Crystal Eye Webcam 1.0.1.3-->C:\Programme\InstallShield Installation Information\{F7952CA2-A925-4CA1-A934-A46E8EC9CA18}\setup.exe -runfromtemp -l0x0007 -removeonly
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe -l0x9 -removeonly
Activation Assistant for the 2007 Microsoft Office suites-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 7.0-->C:\WINDOWS\ISUNINST.EXE -fC:\Programme\Adobe\Photoshop 7.0\Uninst.isu -cC:\Programme\Adobe\Photoshop 7.0\Uninst.dll
Adobe Reader 8.1.3-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81300000003}
Anki-->C:\Programme\Anki\uninstall.exe
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Atheros for Acer Driver v7.6.0.224_Foxconn Installation Program-->C:\Programme\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\Setup.exe -runfromtemp -l0x0009 -removeonly
AVS Media Player 3.1-->C:\Programme\AVS4YOU\AVSMediaPlayer\unins000.exe
AVS4YOU Software Navigator 1.3-->C:\Programme\AVS4YOU\AVSSoftwareNavigator\unins000.exe
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
Canon ScanGearStarter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{18A5DFF2-8A95-49F3-873F-743CB5549F3D}\Setup.exe -l0x7 anything
CDisplay 1.8-->C:\Programme\CDisplay\unins000.exe
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Egg Timer Plus v2.5-->C:\Programme\EggTimerPlus\unins000.exe
FLV Player 2.0 (build 25)-->C:\Programme\FLV Player\uninst.exe
GIMP 2.6.3-->C:\Programme\GIMP-2.0\setup\unins000.exe
Gitarrero Beginner 1.3 Demo-->C:\Programme\GitarreroDemo\unins000.exe
Google Earth-->MsiExec.exe /X{548EAC70-EE00-11DD-908C-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Updater-->C:\Programme\Google\Google Updater\GoogleUpdater.exe -uninstall
HijackThis 2.0.2-->C:\Programme\Trend Micro\HijackThis\HijackThis.exe /uninstall
Hotfix für Windows XP (KB952287)-->C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe
ImTOO YouTube Video Converter-->C:\Programme\ImTOO\YouTube Video Converter\Uninstall.exe
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
InterVideo WinDVD-->C:\Programme\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe REMOVEALL
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
JMicron JMB38X Flash Media Controller-->C:\Programme\InstallShield Installation Information\{26604C7E-A313-4D12-867F-7C6E7820BE4C}\setup.exe delpkg
Knuckles in China Land-->MsiExec.exe /I{059EAEBE-4BC8-403C-9210-B6C1FCB9FAB9}
Launch Manager-->C:\WINDOWS\UnInst32.exe QtZgAcer.UNI
McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Internationalized Domain Names Mitigation APIs-->C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe
Microsoft National Language Support Downlevel APIs-->C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-Testversion-->C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}
Mnemosyne 1.2-->C:\Programme\Mnemosyne\unins000.exe
MobileMe Control Panel-->MsiExec.exe /I{924EB80F-C2BB-4B9F-8412-88BBA937393F}
Mozilla Firefox (3.0.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NJStar Japanese WP-->C:\Programme\NJStar Japanese WP\uninst.exe
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
PixiePack Codec Pack-->MsiExec.exe /I{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe -l0x7 -removeonly
RecordPad Sound Recorder Uninstall-->C:\Programme\NCH Swift Sound\Recordpad\uninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Media Player (KB952069)-->C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB938464)-->C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB946648)-->C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB950762)-->C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB950974)-->C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951066)-->C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951376-v2)-->C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951698)-->C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951748)-->C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB952954)-->C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB954211)-->C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB954459)-->C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB954600)-->C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB955069)-->C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956390)-->C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956391)-->C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956802)-->C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956803)-->C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956841)-->C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB957095)-->C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB957097)-->C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB958644)-->C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB958687)-->C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB960715)-->C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe
Sun(TM) Download Manager 2.0-->C:\Programme\SDM20\Uninstal.exe
Switch Uninstall-->C:\Programme\NCH Swift Sound\Switch\uninst.exe
Synaptics Pointing Device Driver-->rundll32.exe C:\Programme\Synaptics\SynTP\SynISDLL.dll,standAloneUninstall
Update for Office 2007 (KB946691)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update für Windows XP (KB898461)-->C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe
Update für Windows XP (KB951072-v2)-->C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe
Update für Windows XP (KB951978)-->C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe
Update für Windows XP (KB955839)-->C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe
WavePad Sound Editor-->C:\Programme\NCH Swift Sound\WavePad\uninst.exe
Weight Commander 8.0-->C:\PROGRA~1\WEIGHT~1\Setup.exe /remove
Windows Internet Explorer 7-->C:\WINDOWS\ie7\spuninst\spuninst.exe
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WinZip 12.0-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B7}
WordWeb-->C:\Programme\WordWeb\uninst.exe
Writer's Café 2.19-->C:\Programme\Writer's Cafe 2\unins000.exe
Xvid 1.1.3 final uninstall-->C:\Programme\Xvid\unins000.exe
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\unyt.exe
 
  • #18
log1, teil 2:
Code: 
=====HijackThis Backups=====

O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\bin\ZLH.EXE /LOAD /SPLASH

======Security center information======

AV: McAfee VirusScan
FW: McAfee Personal Firewall

System event log

Computer Name: DICK
Event Code: 4201
Message: Netzwerkadapter \DEVICE\TCPIP_{3DB8F630-C067-4615-B4A1-2EC200C4D73F} wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 6807
Source Name: Tcpip
Time Written: 20090128173022.000000+060
Event Type: Informationen
User: 

Computer Name: DICK
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 6806
Source Name: EventLog
Time Written: 20090128173008.000000+060
Event Type: Informationen
User: 

Computer Name: DICK
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 6805
Source Name: EventLog
Time Written: 20090128173008.000000+060
Event Type: Informationen
User: 

Computer Name: DICK
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 6804
Source Name: EventLog
Time Written: 20090128130007.000000+060
Event Type: Informationen
User: 

Computer Name: DICK
Event Code: 7036
Message: Dienst RAS-Verbindungsverwaltung befindet sich jetzt im Status Ausgeführt.

Record Number: 6803
Source Name: Service Control Manager
Time Written: 20090128104523.000000+060
Event Type: Informationen
User: 

Application event log

Computer Name: DICK
Event Code: 0
Message: 
Record Number: 2057
Source Name: iPod Service
Time Written: 20090113192936.000000+060
Event Type: Informationen
User: 

Computer Name: DICK
Event Code: 5000
Message: McShield-Dienst gestartet.

Modulversion: 5300.2777

DAT-Version: 5438.0000



Anzahl an Signaturen in EXTRA.DAT: None

Namen der Bedrohungen, die EXTRA.DAT entdecken kann: None

Record Number: 2056
Source Name: McLogEvent
Time Written: 20090113192930.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: DICK
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 2055
Source Name: SecurityCenter
Time Written: 20090113192854.000000+060
Event Type: Informationen
User: 

Computer Name: DICK
Event Code: 32068
Message: Die ausgehende Verteilerregel ist nicht gültig, weil kein gültiges Gerät gefunden werden kann. Ausgehende Faxe, die diese Regel verwenden, werden nicht weitergeleitet. Stellen Sie sicher, dass das angezielte Gerät bzw. die angezielten Geräte angeschlossen, korrekt installiert und angeschaltet sind. Stellen Sie außerdem sicher, dass die Gruppe korrekt konfiguriert ist, falls die Weiterleitung an eine Gruppe von Geräten erfolgen soll.
Landes-/Regionskennzahl: *
Ortskennzahl: *

Record Number: 2054
Source Name: Microsoft Fax
Time Written: 20090113192840.000000+060
Event Type: Warnung
User: 

Computer Name: DICK
Event Code: 32026
Message: Fehler beim Initialisieren der zugewiesenen Faxgeräte (virtuell oder TAPI) durch den Faxdienst.
Es können keine Faxe gesendet werden, bis ein Faxgerät installiert ist.

Record Number: 2053
Source Name: Microsoft Fax
Time Written: 20090113192840.000000+060
Event Type: Warnung
User: 

======Environment variables======

ComSpec=%SystemRoot%\system32\cmd.exe
Path=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
windir=%SystemRoot%
FP_NO_HOST_CHECK=NO
OS=Windows_NT
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_LEVEL=6
PROCESSOR_IDENTIFIER=x86 Family 6 Model 28 Stepping 2, GenuineIntel
PROCESSOR_REVISION=1c02
NUMBER_OF_PROCESSORS=2
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP=%SystemRoot%\TEMP
TMP=%SystemRoot%\TEMP
CLASSPATH=.;C:\Programme\QuickTime\QTSystem\QTJava.zip
QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------
 
  • #19
und der zweite log:

Code: 
Logfile of random's system information tool 1.05 (written by random/random)
Run by alles meins at 2009-02-12 21:30:23
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 13 GB (12%) free of 108 GB
Total RAM: 1012 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:26, on 12.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\ALLESM~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\OpenOffice.org 3\program\swriter.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\alles meins\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\alles meins.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://de.intl.acer.yahoo.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url]http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com[/url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://de.intl.acer.yahoo.com/[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SysCli.Ctrl - {2D0733B6-0BAC-47C1-909A-D9DB0533FFAF} - C:\WINDOWS\system32\fejokt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [M3000Mnt] Rundll32.exe M3000Rmv.dll ,WinMainRmv /StartStillMnt
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download with ImTOO YouTube Video Converter - C:\Programme\ImTOO\YouTube Video Converter\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra->Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c986b5d67d2ca0) (gupdate1c986b5d67d2ca0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe

--
End of file - 10715 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job
C:\WINDOWS\tasks\McDefragTask.job
C:\WINDOWS\tasks\McQcTask.job
 
  • #20
und Teil 2:

Code: 
======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
&Yahoo! Toolbar Helper - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2007-09-05 816400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2D0733B6-0BAC-47C1-909A-D9DB0533FFAF}]
SysCli.Ctrl - C:\WINDOWS\system32\fejokt.dll [2009-02-12 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-01-22 370296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{377C180E-6F0E-4D4C-980F-F45BD3D40CF4}]
McAfee Phishing Filter - c:\PROGRA~1\mcafee\msk\mcapbho.dll [2007-11-26 324936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-18 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
scriptproxy - C:\Programme\McAfee\VirusScan\scriptsn.dll [2007-11-09 58688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll [2009-02-04 657904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}]
McAfee SiteAdvisor BHO - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2008-09-30 145424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-18 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-18 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2007-09-05 816400]
{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - McAfee SiteAdvisor Toolbar - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2008-09-30 145424]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
LaunchApp=Alaunch []
IgfxTray=C:\WINDOWS\system32\igfxtray.exe [2008-02-28 141848]
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe [2008-02-28 166424]
Persistence=C:\WINDOWS\system32\igfxpers.exe [2008-02-28 137752]
RTHDCPL=C:\WINDOWS\RTHDCPL.EXE [2008-05-16 16862720]
Alcmtr=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
AzMixerSel=C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe [2006-07-17 53248]
SynTPEnh=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2008-04-25 1044480]
IMJPMIG8.1=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2008-04-14 208952]
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2008-04-14 59392]
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2008-04-14 455168]
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2008-04-14 455168]
mcagent_exe=C:\Programme\McAfee.com\Agent\mcagent.exe [2007-08-03 582992]
M3000Mnt=M3000Rmv.dll []
LManager=C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE [2008-05-14 821768]
eRecoveryService=C:\Acer\Empowering Technology\eRecovery\eRAgent.exe [2008-05-22 425984]
AppleSyncNotifier=C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2008-11-07 111936]
QuickTime Task=C:\Programme\QuickTime\QTTask.exe [2008-11-04 413696]
iTunesHelper=C:\Programme\iTunes\iTunesHelper.exe [2008-11-20 290088]
Adobe Reader Speed Launcher=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
SunJavaUpdateSched=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-18 136600]
TkBellExe=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-01-22 185896]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
MSMSGS=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2008-02-15 208896]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername=0
legalnoticecaption=
legalnoticetext=
shutdownwithoutlogon=1
undockwithoutlogon=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Programme\Microsoft Office\Office12\ONENOTE.EXE=C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote
C:\Programme\Bonjour\mDNSResponder.exe=C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour
C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe=C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent
C:\Programme\iTunes\iTunes.exe=C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes
C:\Programme\uTorrent\uTorrent.exe=C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent
C:\Dokumente und Einstellungen\alles meins\Desktop\Schublade\utorrent.exe=C:\Dokumente und Einstellungen\alles meins\Desktop\Schublade\utorrent.exe:*:Enabled:µTorrent
C:\Dokumente und Einstellungen\alles meins\Desktop\utorrent.exe=C:\Dokumente und Einstellungen\alles meins\Desktop\utorrent.exe:*:Enabled:µTorrent

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
 
Thema:

Befall mit Win32.Renos

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.959
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben