Rootkit, on Board ?

  • #21
Wie meinst du das ?

Ist ist ein Orginal, Windows XP home, wahrscheinlich eine OEM version. War bei einem MBO Rechner dabei.

Habe auch eine slipstreamt (heißt das so ?) mit SP3.

snowbird

[br][br]Erstellt am: 20.09.09 um 19:42:17
[br]Also muß ich mir doch was eingefangen haben, oder ?

snowbird
 
  • #22
ich brauch eine cd die ne wiederherstellungskonsole bietet. ob du dir was eingefangen hast kann ich so noch nicht sagen, deine bisher geposteten logfiles sind sauber.

bieten deine cd`s die option wiederherstellungskonsole?
 
  • #23
Kann blos das hier anbieten, das ist die mit sleapstreamt mit SP3.

 
  • #25
Nur das Combofix Tool laufen lassen, oder alles was dort steht ?

snowbird
 
  • #26
combofix nach anleitung laufen lassen.
 
  • #27
Meine Güte, das ist ein seltsahmes Tool.

Nach Anleitung, angewand, hoffe ich doch.

Aber, Av Programme, ausgeschaltet, alle, scan gemacht, dan hat das Programm einen Neustart verlangt, durchgeführt, und davor einige Datein gelöscht ca.7. Aber nach einem Neustart, warten warten, der Boot Bildschirm war da, und die vier blauen Qaudrate rauschen durch, 15 Minuten, nein 20 Minuten lang nichts pasiert. Ich Holger mach einen Harten Reset, das gleiche wieder. Nun ich gehe in den Abgesicherten Modus, und nun mach Combofix seine Arbeit fertig, und erstellt hoffentlich das richtig Log, im Abgesicherten Modus, wollte schon einen älteren Systemwiederherstellungspunkt ansteuern....Hätte mir wahrscheinlich auch nicht geholfen...

Also das Log wurde im abgesicherten Modus erstellt, bzw. fertiggestellet.

Ach JA Kaspersky wird nich mer geladen beim booten, ist wahrscheinlich abgeschaltet worden sauerei !!

Was ist los mit meiner Kiste ?

Log:

Tut mir leid ich finde sie im momment nicht, wen sie doch erstellt worden ist.

Ich reiche Sie nach, wen vorhanden.

snowbird
 
  • #28
schau mal unter c:\combofix.txt
 
  • #29
Ja ich habe das Log nun gefunden.

Kaspersky wurde auch wieder ernuet, nach einem Neustrat geladen, ob er wirklich eine WÄCHTER FUNKTION hat wage ich zu bezweifeln, aber nun gut, werde heute Nacht noch meine diversen Programme über mein System schicken.

Nun das Log:

Code: 
ComboFix 09-09-18.02 - Holger 20.09.2009 20:37:00.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.762 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Holger\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Installer\1b5fc7.msi
C:\WINDOWS\Installer\1b5fc8.msp
C:\WINDOWS\Installer\1b5fc9.msp
C:\WINDOWS\Installer\1b5fca.msp
C:\WINDOWS\Installer\1b5fcb.msp
C:\WINDOWS\Installer\1b5fcc.msp
C:\WINDOWS\Installer\1b5fcd.msp
C:\WINDOWS\Installer\1b5fce.msp
C:\WINDOWS\Installer\1b5fcf.msp
C:\WINDOWS\Installer\1b5fd0.msp
C:\WINDOWS\system32\sstray.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2009-08-20 bis 2009-09-20 ))))))))))))))))))))))))))))))
.

2009-09-20 13:33:09 . 2009-08-13 09:14:17	472064	----a-w-	C:\RootRepeal.exe
2009-09-09 17:30:34 . 2009-06-21 21:45:16	153088	-c----w-	C:\WINDOWS\system32\dllcache\triedit.dll
2009-08-29 08:56:05 . 2009-08-29 08:56:05	0	d-----w-	C:\Programme\VS Revo Group
2009-08-28 18:43:37 . 2009-08-28 18:43:37	0	d-sh--w-	C:\Dokumente und Einstellungen\Administrator\PrivacIE
2009-08-23 08:26:40 . 2009-08-23 08:26:40	0	d-sh--w-	C:\Dokumente und Einstellungen\Administrator\IETldCache
2009-08-22 19:00:15 . 2009-08-22 19:00:15	27656	----a-w-	C:\WINDOWS\system32\drivers\pxsec.sys
2009-08-22 19:00:15 . 2009-08-22 19:00:15	22024	----a-w-	C:\WINDOWS\system32\drivers\pxscan.sys
2009-08-22 18:59:55 . 2009-08-22 19:02:44	0	d-----w-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-20 18:41:38 . 2009-04-07 17:32:19	6296	--sha-w-	C:\WINDOWS\system32\drivers\fidbox2.idx
2009-09-20 18:41:38 . 2009-04-07 17:32:19	606240	--sha-w-	C:\WINDOWS\system32\drivers\fidbox2.dat
2009-09-20 18:41:38 . 2009-04-07 17:32:19	2609184	--sha-w-	C:\WINDOWS\system32\drivers\fidbox.dat
2009-09-20 18:41:38 . 2009-04-07 17:32:19	24636	--sha-w-	C:\WINDOWS\system32\drivers\fidbox.idx
2009-09-20 18:32:17 . 2009-08-15 09:45:02	0	d-----w-	C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Orbit
2009-09-20 17:22:19 . 2009-04-07 17:32:18	0	d-----w-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-11 08:58:35 . 2009-04-07 17:33:04	95259	----a-w-	C:\WINDOWS\system32\drivers\klick.dat
2009-09-11 08:58:35 . 2009-04-07 17:33:04	107547	----a-w-	C:\WINDOWS\system32\drivers\klin.dat
2009-09-10 12:54:06 . 2009-03-21 15:36:14	38224	----a-w-	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53:50 . 2009-03-21 15:36:16	19160	----a-w-	C:\WINDOWS\system32\drivers\mbam.sys
2009-08-15 09:45:05 . 2009-08-15 09:45:05	0	d-----w-	C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\GrabPro
2009-08-15 09:19:08 . 2009-08-15 09:18:57	0	d-----w-	C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-08-13 17:16:55 . 2009-08-13 17:16:54	77921	----a-w-	C:\WINDOWS\system32\v3w32se2.dll
2009-08-13 17:13:35 . 2009-08-13 17:13:35	0	d-----w-	C:\Programme\AhnLab
2009-08-09 08:40:13 . 2009-03-15 16:25:34	17280	----a-w-	C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-09 08:25:34 . 2002-08-29 12:00:00	79910	----a-w-	C:\WINDOWS\system32\perfc007.dat
2009-08-09 08:25:34 . 2002-08-29 12:00:00	448470	----a-w-	C:\WINDOWS\system32\perfh007.dat
2009-08-08 21:14:57 . 2009-08-08 21:14:57	0	d-----w-	C:\Programme\MSBuild
2009-08-08 21:14:48 . 2009-08-08 21:14:48	0	d-----w-	C:\Programme\Reference Assemblies
2009-08-08 20:07:55 . 2009-08-08 20:05:12	0	d-----w-	C:\Programme\Fiddler2
2009-08-06 18:04:44 . 2009-04-20 09:27:17	411368	----a-w-	C:\WINDOWS\system32\deploytk.dll
2009-08-06 18:04:38 . 2009-03-25 17:08:21	0	d-----w-	C:\Programme\Java
2009-08-05 08:59:36 . 2002-08-29 12:00:00	206336	------w-	C:\WINDOWS\system32\mswebdvd.dll
2009-07-17 19:01:06 . 2002-08-29 12:00:00	58880	----a-w-	C:\WINDOWS\system32\atl.dll
2009-07-13 21:43:24 . 2009-03-15 16:20:15	286208	------w-	C:\WINDOWS\system32\wmpdxm.dll
2009-07-03 16:55:22 . 2002-08-29 12:00:00	915456	----a-w-	C:\WINDOWS\system32\wininet.dll
2009-06-25 08:25:23 . 2002-08-29 12:00:00	737792	------w-	C:\WINDOWS\system32\lsasrv.dll
2009-06-25 08:25:23 . 2002-08-29 12:00:00	56832	----a-w-	C:\WINDOWS\system32\secur32.dll
2009-06-25 08:25:23 . 2002-08-29 12:00:00	54272	----a-w-	C:\WINDOWS\system32\wdigest.dll
2009-06-25 08:25:23 . 2002-08-29 12:00:00	301568	----a-w-	C:\WINDOWS\system32\kerberos.dll
2009-06-25 08:25:23 . 2002-08-29 12:00:00	147456	----a-w-	C:\WINDOWS\system32\schannel.dll
2009-06-25 08:25:23 . 2002-08-29 12:00:00	136192	----a-w-	C:\WINDOWS\system32\msv1_0.dll
2009-06-24 11:18:41 . 2002-08-29 12:00:00	92928	------w-	C:\WINDOWS\system32\drivers\ksecdd.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon=C:\WINDOWS\System32\NvCpl.dll [2003-10-06 14:16:00 5058560]
QuickTime Task=D:\Quicktime\qttask.exe [2009-01-05 14:18:48 413696]
SunJavaUpdateSched=C:\Programme\Java\jre6\bin\jusched.exe [2009-08-06 18:04:44 149280]
nwiz=nwiz.exe - C:\WINDOWS\system32\nwiz.exe [2003-10-06 14:16:00 741376]
Dit=Dit.exe - C:\WINDOWS\Dit.exe [2002-05-20 17:47:24 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE [2008-04-14 06:52:42 15360]

C:\Dokumente und Einstellungen\Holger\Startmen\Programme\Autostart\
Printkey.lnk - D:\Printkey\Printkey.exe [2009-4-29 589824]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Orbit.lnk - D:\Programme\Orbitdownloader\orbitdm.exe [2009-8-15 1719568]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}= D:\SASSEH.DLL [2008-05-13 08:13:36 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-05 08:29:53	548352	----a-w-	D:\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
DisableMonitoring=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
EnableFirewall= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\Network Diagnostic\\xpnetdiag.exe=
%windir%\\system32\\sessmgr.exe=
D:\\Programme\\Orbitdownloader\\orbitdm.exe=
D:\\Programme\\Orbitdownloader\\orbitnet.exe=

R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys [16.04.2009 20:18:41 38448]
R0 pxscan;pxscan;C:\WINDOWS\system32\drivers\pxscan.sys [22.08.2009 21:00:15 22024]
R0 pxsec;pxsec;C:\WINDOWS\system32\drivers\pxsec.sys [22.08.2009 21:00:15 27656]
S0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [29.01.2008 17:29:38 33808]
S1 SASDIFSV;SASDIFSV;D:\sasdifsv.sys [26.05.2009 10:05:54 9968]
S1 SASKUTIL;SASKUTIL;D:\SASKUTIL.SYS [26.05.2009 10:05:52 74480]
S2 CSIScanner;CSIScanner;C:\Programme\Prevx\prevx.exe /service --> C:\Programme\Prevx\prevx.exe [?]
S3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\drivers\klfltdev.sys [13.03.2008 18:02:46 26640]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\drivers\klim5.sys [30.04.2008 17:06:48 24592]
S3 SASENUM;SASENUM;D:\SASENUM.SYS [26.05.2009 10:05:56 7408]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\iedkcs32.dll,BrandIEActiveSetup SIGNUP
.
Inhalt des geplante Tasks Ordners

2009-09-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34:12 . 2008-07-30 10:34:12]
.
.
------- Zusätzlicher Suchlauf -------
.
DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://edownload.grisoft.cz/ewidoOnlineScan.cab
FF - ProfilePath - 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nForce Tray Options - sstray.exe
AddRemove-HijackThis - C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe


PS: Das wurde im Abgesicherten Modus erstelll, bzw. zu Ende gebracht.

snowbird

*Log in Code-Tag eingefügt*
 
  • #30
sieht gut aus, was machen deine probleme?
 
  • #31
In moment habe ich ich keine, probleme, oder sollte ich ein neues HichackTihis Log posten ?

snowbird
 
  • #32
poste ein frisches rsit-logfile.
 
  • #33
Code: 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Holger at 2009-09-21 11:30:26
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 11 GB (56%) free of 20 GB
Total RAM: 1023 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:58, on 21.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Printkey\Printkey.exe
D:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Holger\Desktop\RSIT(3).exe
C:\Programme\trend micro\Holger.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] D:\Quicktime\qttask.exe -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [AVP] D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O4 - Startup: Printkey.lnk = D:\Printkey\Printkey.exe
O4 - Global Startup: Orbit.lnk = D:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
O9 - Extra->Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [url]http://edownload.grisoft.cz/ewidoOnlineScan.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237134427578[/url]
O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - [url]http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab[/url]
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - [url]http://ax.emsisoft.com/asquared.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O20 - Winlogon Notify: !SASWinLogon - D:\SASWINLO.DLL
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programme\Prevx\prevx.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5949 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - D:\Programme\Orbitdownloader\orbitcth.dll [2009-08-04 179472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}]
MSN Toolbar Helper - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll [2008-10-15 83800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-06 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-06 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - MSN Toolbar - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll [2008-10-15 83800]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - D:\Programme\Orbitdownloader\GrabPro.dll [2009-08-04 662720]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
nForce Tray Options=sstray.exe /r []
NvCplDaemon=C:\WINDOWS\System32\NvCpl.dll [2003-10-06 5058560]
nwiz=nwiz.exe /install []
QuickTime Task=D:\Quicktime\qttask.exe [2009-01-05 413696]
Dit=C:\WINDOWS\Dit.exe [2002-05-20 65536]
SunJavaUpdateSched=C:\Programme\Java\jre6\bin\jusched.exe [2009-08-06 149280]
AVP=D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
SUPERAntiSpyware=D:\SUPERAntiSpyware.exe [2009-09-18 1998576]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\WINDOWS\System32\NVMCTRAY.DLL [2003-10-06 49152]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Orbit.lnk - D:\Programme\Orbitdownloader\orbitdm.exe

C:\Dokumente und Einstellungen\Holger\Startmenü\Programme\Autostart
Printkey.lnk - D:\Printkey\Printkey.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
D:\SASWINLO.DLL [2009-09-05 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-11-11 218376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}=D:\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername=0
legalnoticecaption=
legalnoticetext=
shutdownwithoutlogon=1
undockwithoutlogon=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun=323
NoDriveAutoRun=67108863
NoDrives=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
HonorAutoRunSetting=
NoDriveAutoRun=
NoDriveTypeAutoRun=
NoDrives=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
D:\Programme\Orbitdownloader\orbitdm.exe=D:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit
D:\Programme\Orbitdownloader\orbitnet.exe=D:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

======List of files/folders created in the last 1 months======

2009-09-20 21:50:53 ----SHD---- C:\RECYCLER
2009-09-20 20:39:45 ----D---- C:\WINDOWS\temp
2009-09-20 20:35:58 ----A---- C:\Boot.bak
2009-09-20 20:35:53 ----RASHD---- C:\cmdcons
2009-09-20 20:34:12 ----A---- C:\WINDOWS\zip.exe
2009-09-20 20:34:12 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-09-20 20:34:12 ----A---- C:\WINDOWS\SWSC.exe
2009-09-20 20:34:12 ----A---- C:\WINDOWS\SWREG.exe
2009-09-20 20:34:12 ----A---- C:\WINDOWS\sed.exe
2009-09-20 20:34:12 ----A---- C:\WINDOWS\PEV.exe
2009-09-20 20:34:12 ----A---- C:\WINDOWS\NIRCMD.exe
2009-09-20 20:34:12 ----A---- C:\WINDOWS\grep.exe
2009-09-20 20:33:51 ----D---- C:\WINDOWS\ERDNT
2009-09-20 20:33:51 ----D---- C:\ComboFix
2009-09-20 20:33:50 ----A---- C:\WINDOWS\system32\CF5785.exe
2009-09-20 20:33:15 ----D---- C:\Qoobox
2009-09-20 15:39:25 ----A---- C:\RootRepeal_crash_092009.153925.txt
2009-09-20 15:33:39 ----A---- C:\RootRepeal_crash_092009.153339.txt
2009-09-20 15:33:09 ----A---- C:\RootRepeal.exe
2009-09-09 19:35:25 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-09 19:34:07 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-08-29 10:56:05 ----D---- C:\Programme\VS Revo Group
2009-08-25 19:34:02 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-08-22 20:59:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-08-22 20:59:55 ----A---- C:\WINDOWS\wininit.ini

======List of files/folders modified in the last 1 months======

2009-09-21 11:30:57 ----D---- C:\Programme\trend micro
2009-09-21 11:30:31 ----D---- C:\WINDOWS\Prefetch
2009-09-21 11:29:40 ----D---- C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Orbit
2009-09-21 10:57:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-20 23:54:28 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-20 21:23:06 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-20 21:21:43 ----D---- C:\WINDOWS
2009-09-20 21:21:42 ----A---- C:\WINDOWS\system.ini
2009-09-20 21:21:39 ----A---- C:\WINDOWS\ntbtlog.txt
2009-09-20 21:20:40 ----D---- C:\WINDOWS\system32\drivers
2009-09-20 20:41:07 ----D---- C:\WINDOWS\system32\config
2009-09-20 20:39:35 ----SHD---- C:\WINDOWS\Installer
2009-09-20 20:39:35 ----D---- C:\WINDOWS\system32
2009-09-20 20:38:49 ----D---- C:\WINDOWS\AppPatch
2009-09-20 20:38:43 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-20 20:35:58 ----RASH---- C:\boot.ini
2009-09-20 15:40:25 ----HD---- C:\WINDOWS\inf
2009-09-15 21:14:20 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-09 19:35:22 ----A---- C:\WINDOWS\imsins.BAK
2009-09-09 19:34:06 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-29 10:56:05 ----RD---- C:\Programme
2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 BANTExt;Belarc SMBios Access; C:\WINDOWS\System32\Drivers\BANTExt.sys [2008-02-27 3840]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-04-07 226832]
R1 SASDIFSV;SASDIFSV; \??\D:\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\D:\SASKUTIL.sys []
R1 Uim_IM;UIM Drive Backup Image Plugin; C:\WINDOWS\System32\Drivers\Uim_IM.sys [2007-05-02 131456]
R1 UimBus;Universal Image Mounter Controller; C:\WINDOWS\system32\DRIVERS\UimBus.sys [2007-05-02 32352]
R2 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
R2 BrPar;BrPar; C:\WINDOWS\System32\drivers\BrPar.sys [2000-07-24 19537]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-10-06 1550043]
R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2002-10-25 12928]
R3 NVENET;NVIDIA nForce MCP Networking Adapter Driver; C:\WINDOWS\System32\DRIVERS\NVENET.sys [2002-09-23 80896]
R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2002-10-25 236672]
R3 SASENUM;SASENUM; \??\D:\SASENUM.SYS []
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 catchme;catchme; \??\C:\DOKUME~1\Holger\LOKALE~1\Temp\catchme.sys []
S3 mbr;mbr; \??\C:\DOKUME~1\Holger\LOKALE~1\Temp\mbr.sys []
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-08-06 153376]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2003-10-06 81920]
S2 AVP;Kaspersky Internet Security; D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]
S2 CSIScanner;CSIScanner; C:\Programme\Prevx\prevx.exe /service []
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

snowbird

Wie führe ich einen Code-Tag im Forum ein?:
 
  • #34
Code: 
info.txt logfile of random's system information tool 1.05 2009-03-21 16:59:00

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->D:\7-Zip\Uninstall.exe
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Belarc Advisor 7.2-->C:\PROGRA~1\Belarc\Advisor\Uninstall.exe C:\PROGRA~1\Belarc\Advisor\INSTALL.LOG
HijackThis 2.0.2-->C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe
Hotfix für Windows Media Player 11 (KB939683)-->C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe
Hotfix für Windows XP (KB952287)-->C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe
Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Malwarebytes' Anti-Malware-->D:\Malwarebytes' Anti-Malware\unins000.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe
Microsoft Internationalized Domain Names Mitigation APIs-->C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe
Microsoft National Language Support Downlevel APIs-->C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe
Microsoft User-Mode Driver Framework Feature Pack 1.0-->C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe
Mozilla Firefox (3.0.7)-->D:\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.9)-->D:\Mozilla Thunderbird\uninstall\helper.exe
NVIDIA Display Driver-->C:\WINDOWS\System32\nvudisp.exe Uninstall C:\WINDOWS\System32\nvdisp.nvu,NVIDIA Display Driver
NVIDIA nForce Treiber für Windows 2000/XP-->rundll32.exe C:\WINDOWS\System32\NVINSTNT.DLL,NvUninstallCrush
NVIDIA nForce Utilities-->C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection Remove_SSUtilsNT 132 C:\WINDOWS\INF\nvautlml.inf
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe
Sicherheitsupdate für Windows Media Player (KB952069)-->C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464-v2)-->C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB941569)-->C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB946648)-->C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB950760)-->C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB950762)-->C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB950974)-->C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951066)-->C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951376-v2)-->C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951698)-->C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB951748)-->C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB952954)-->C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB954459)-->C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB954600)-->C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB955069)-->C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956802)-->C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956803)-->C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB956841)-->C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB957097)-->C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB958644)-->C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB958687)-->C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB958690)-->C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB960225)-->C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe
Sicherheitsupdate für Windows XP (KB960715)-->C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe
TeamViewer 4-->C:\Programme\TeamViewer\Version4\uninstall.exe
Update für Windows XP (KB898461)-->C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe
Update für Windows XP (KB951978)-->C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe
Update für Windows XP (KB955839)-->C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe
Update für Windows XP (KB967715)-->C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe
Wichtiges Update für Windows Media Player 11 (KB959772)-->C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe
Windows Internet Explorer 7-->C:\WINDOWS\ie7\spuninst\spuninst.exe
Windows Media Format 11 runtime-->C:\Programme\Windows Media Player\wmsetsdk.exe /UninstallAll
Windows Media Format 11 runtime-->C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe
Windows Media Player 11-->C:\Programme\Windows Media Player\Setup_wm.exe /Uninstall
Windows Media Player 11-->C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe
Windows XP Service Pack 3-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
xp-AntiSpy 3.96-8-->D:\xp-AntiSpy\Uninstall.exe

======Security center information======

AV: Kaspersky Security Suite CBE
FW: Kaspersky Security Suite CBE (disabled)

System event log

Computer Name: YOUR-AM0PIVAIB0
Event Code: 3260
Message: Dieser Computer wurde erfolgreich workgroup hinzugefügt: WORKGROUP.

Record Number: 5
Source Name: Workstation
Time Written: 20090315164516.000000+060
Event Type: Informationen
User: 

Computer Name: YOUR-AM0PIVAIB0
Event Code: 6011
Message: Der NetBIOS-Name und DNS-Hostname dieses Computers wurden von MACHINENAME in YOUR-AM0PIVAIB0 geändert.

Record Number: 4
Source Name: EventLog
Time Written: 20090315164510.000000+060
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 3
Source Name: EventLog
Time Written: 20090315164304.000000+060
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 2
Source Name: EventLog
Time Written: 20090315164304.000000+060
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 1
Source Name: Serial
Time Written: 20090315164327.000000+060
Event Type: Informationen
User: 

Application event log

Computer Name: YOUR-AM0PIVAIB0
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst ContentIndex (ContentIndex) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090315164601.000000+060
Event Type: Informationen
User: 

Computer Name: YOUR-AM0PIVAIB0
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090315164600.000000+060
Event Type: Informationen
User: 

Computer Name: YOUR-AM0PIVAIB0
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090315164515.000000+060
Event Type: Informationen
User: 

Computer Name: YOUR-AM0PIVAIB0
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090315164511.000000+060
Event Type: Informationen
User: 

Computer Name: YOUR-AM0PIVAIB0
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090315164511.000000+060
Event Type: Informationen
User: 

======Environment variables======

ComSpec=%SystemRoot%\system32\cmd.exe
Path=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
windir=%SystemRoot%
OS=Windows_NT
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_LEVEL=6
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_REVISION=0801
NUMBER_OF_PROCESSORS=1
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP=%SystemRoot%\TEMP
TMP=%SystemRoot%\TEMP
FP_NO_HOST_CHECK=NO

-----------------EOF-----------------


Sind das die Log´s die du brauchst ?

snowbird

Wie führe ich einen Code-Tag im Forum ein?:
 
  • #35
looks good.

mach noch nen eset onlinescan, zur kontrolle. aber ich denke wir sind durch. poste das log vom onlinescan, danach räumen wir auf.
 
  • #36
Ob diese scan wirklich aussagekräftig ist ?



snowbird
 
  • #37
ich kann nix erkennen auf dem bild, poste das logfile.
 
  • #38
Hallo, du mußt doch das Bild erkennen können, das kann ich doch auch.

Alos mal schriftlich nach ca, 3 Minuten, und 57 Sekunden hatte er nichts gefunden.

snowbird
 
  • #39
scan mit dem ie gemacht?
 
  • #40
Ja.

snowbird
 
Thema:

Rootkit, on Board ?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben