Your computer is infected! (helft mir die Spyware beseitigen)

schrauber · 31.03.2009

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_mwb
malwarebytes nach anleitung laufen lassen, log in code tags posten, poste auch ein frisches RSIT-logfile.

FabeMan · 31.03.2009

Hi Schrauber

Code:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 2

31.03.2009 22:39:44
mbam-log-2009-03-31 (22-39-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 339326
Laufzeit: 1 hour(s), 58 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 2
Infizierte Dateien: 39

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\gitadumi.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\jayoriji.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zbcfhh.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e603edf6-167d-4e83-ad5f-6d09f774a332} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e603edf6-167d-4e83-ad5f-6d09f774a332} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3128d715-dc13-47d3-9fe3-36d5fa82d37e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3128d715-dc13-47d3-9fe3-36d5fa82d37e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e603edf6-167d-4e83-ad5f-6d09f774a332} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkreader.acroiebho (Spyware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkreader.acroiebho.1 (Spyware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{0ef464bb-a75c-4075-b7a6-6d48d05e7644} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{524b9634-8729-48a5-b451-e5bb7154f6e3} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{91f524ea-cd52-4437-a9e4-6a3552dc44d3} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d527bcfe-9d2e-45e4-b32f-1658feb581bf} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b782ede4-ccb3-4e3e-981f-96c68116f38c} (Spyware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\c4518015 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\toseginelo (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmc762b389 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus Agent Pro (Rogue.AntiVirusAgentPro) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\jayoriji.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\jayoriji.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Spyware.StolenData) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\zbcfhh.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\gitadumi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\imudatig.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hevolofo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ofoloveh.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\musesiwo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\owisesum.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nilujete.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etejulin.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wivagoge.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\egogaviw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\jayoriji.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\xxx\Desktop\avenger.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9C09E0E8-08B4-4C87-B52E-2D8383573C01}\RP252\A0161997.exe (Adware.Cinmus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lilofati.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\20A.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\24A.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\276.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\3.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\4.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\5.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\6.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\7.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\8.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\9.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\A.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\C.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\D.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\E.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Spyware.StolenData) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Spyware.StolenData) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Spyware.StolenData) -> Delete on reboot.
C:\WINDOWS\system32\fijiveni.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ripojopo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

[br][br]Erstellt am: 31.03.09 um 22:54:22

[br]Und...
Teil 1

Code:

Logfile of random's system information tool 1.05 (written by random/random)
Run by xxx at 2009-03-31 22:52:00
Microsoft Windows XP Professional Service Pack 2
System drive C: has 19 GB (50%) free of 38 GB
Total RAM: 1023 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:01, on 31.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\google\update\googleupdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\windows\ehome\ehtray.exe
c:\windows\soundman.exe
c:\windows\cthelper.exe
c:\programme\adobe\reader 8.0\reader\reader_sl.exe
c:\programme\winamp\winampa.exe
c:\programme\java\jre1.6.0_04\bin\jusched.exe
c:\windows\system32\rundll32.exe
c:\windows\guard.exe
c:\windows\system32\ctfmon.exe
c:\programme\messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
c:\dokumente und einstellungen\xxx\desktop\rsit.exe
c:\programme\trend micro\hijackthis\xxx.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = [url]http://www.crawler.com/search/ie.aspx?tb_id=66028[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = [url]http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O1 - Hosts: 82.98.235.133 browser-security.microsoft.com
O1 - Hosts: 82.98.235.133 url.adtrgt.com
O1 - Hosts: 82.98.235.133 best-click-scanner.info
O1 - Hosts: 82.98.235.133 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.235.133 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.235.133 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.235.133 onlinenotifyq.net
O1 - Hosts: 82.98.235.133 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.235.133 microsoft.browser-security-center.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NBKeyScan] C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] c:\programme\quicktime\qttask.exe -atboottime
O4 - HKLM\..\Run: [guard] C:\WINDOWS\guard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe clear
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [toseginelo] Rundll32.exe C:\WINDOWS\system32\wejureke.dll,s (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')

FabeMan · 31.03.2009

Teil 2

Code:

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - [url]http://www.creative.com/su/ocx/15031/CTSUEng.cab[/url]
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - [url]http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab[/url]
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - [url]http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab[/url]
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - [url]http://www.creative.com/su/ocx/15034/CTPID.cab[/url]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\ripojopo.dll c:\windows\system32\fijiveni.dll zbcfhh.dll 
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c998e7ee8daa7e) (gupdate1c998e7ee8daa7e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

--
End of file - 7705 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-04-06 370296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll [2007-12-14 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-31 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar - C:\PROGRA~1\ICQTOO~1\toolbaru.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ehTray=C:\WINDOWS\ehome\ehtray.exe [2004-08-10 59392]
SoundMan=C:\WINDOWS\SOUNDMAN.EXE [2006-08-03 577536]
avgnt=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
CTHelper=C:\WINDOWS\CTHELPER.EXE [2006-08-11 17920]
CTxfiHlp=C:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944]
Adobe Reader Speed Launcher=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
WinampAgent=C:\Programme\Winamp\winampa.exe [2008-01-16 37376]
NBKeyScan=C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe []
SunJavaUpdateSched=C:\Programme\Java\jre1.6.0_04\bin\jusched.exe [2007-12-14 144784]
BluetoothAuthenticationAgent=C:\WINDOWS\system32\bthprops.cpl [2004-08-10 110592]
QuickTime Task=c:\programme\quicktime\qttask.exe [2008-09-06 413696]
guard=C:\WINDOWS\guard.exe [2009-03-06 15360]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2004-08-10 15360]
NVIDIA nTune=C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe clear []
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}=C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020 []
MSMSGS=C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS=C:\WINDOWS\system32\ripojopo.dll c:\windows\system32\fijiveni.dll zbcfhh.dll 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-04-10 236928]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
notification packages=scecli
C:\WINDOWS\system32\ripojopo.dll

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername=0
legalnoticecaption=
legalnoticetext=
shutdownwithoutlogon=1
undockwithoutlogon=1
InstallVisualStyle=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
InstallTheme=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Programme\FlashFXP\FlashFXP.exe=C:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3
C:\Programme\ICQ6\ICQ.exe=C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Programme\Shareaza\Shareaza.exe=C:\Programme\Shareaza\Shareaza.exe:*:Enabled:Shareaza Ultimate File Sharing
C:\Programme\Mozilla Firefox\firefox.exe=C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox
E:\Programme\NES\NESTCL95.EXE=E:\Programme\NES\NESTCL95.EXE:*:Enabled:NESTCL95
C:\Programme\Steam\steamapps\common\trackmania nations forever\TmForever.exe=C:\Programme\Steam\steamapps\common\trackmania nations forever\TmForever.exe:*:Enabled:TmForever
C:\Programme\Messenger\msmsgs.exe=C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger
C:\Programme\Steam\Steam.exe=C:\Programme\Steam\Steam.exe:*:Enabled:Steam
C:\Programme\Bonjour\mDNSResponder.exe=C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour
C:\Programme\Steam\steamapps\[email protected]\garrysmod\hl2.exe=C:\Programme\Steam\steamapps\[email protected]\garrysmod\hl2.exe:*:Enabled:hl2
C:\Programme\eMule\emule.exe=C:\Programme\eMule\emule.exe:*:Enabled:eMule
C:\Programme\ESTsoft\ALFTP\ALFTP.exe=C:\Programme\ESTsoft\ALFTP\ALFTP.exe:*:Enabled:ALFTP
C:\Programme\Skype\Phone\Skype.exe=C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype
C:\Programme\Free FTP Client 3.2.0\Free FTP Client.EXE=C:\Programme\Free FTP Client 3.2.0\Free FTP Client.EXE:*:Enabled:Free FTP Client
C:\WINDOWS\explorer.exe=C:\WINDOWS\explorer.exe:*:Enabled:explorer
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\nSvcAppFlt.exe=c:\dokumente und einstellungen\xxx\anwendungsdaten\nsvcappflt.exe:*:Enabled:Win32load
C:\Programme\Google\Update\GoogleUpdate.exe=C:\Programme\Google\Update\GoogleUpdate.exe:*:Enabled:googleupdate
C:\WINDOWS\system32\dllhost.exe=C:\WINDOWS\system32\dllhost.exe:*:Enabled:dllhost
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe=C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe:*:Enabled:aawtray
C:\WINDOWS\system32\winlogon.exe=C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon
C:\WINDOWS\system32\services.exe=C:\WINDOWS\system32\services.exe:*:Enabled:services

[br][br]Erstellt am: 31.03.09 um 22:57:23

[br]Teil 3

Code:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Programme\FlashFXP\FlashFXP.exe=C:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000

======List of files/folders created in the last 1 months======

2009-03-31 20:38:19 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-03-31 20:37:14 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-03-31 20:37:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-31 19:57:36 ----D---- C:\32788R22FWJFW
2009-03-12 10:17:30 ----ASH---- C:\WINDOWS\system32\rpjogq.dll
2009-03-10 13:10:18 ----A---- C:\Bug.txt
2009-03-10 13:10:15 ----A---- C:\WINDOWS\system32\cmd.execf
2009-03-10 13:10:05 ----D---- C:\WINDOWS\system32\32788R22FWJFW
2009-03-10 10:01:43 ----A---- C:\WINDOWS\system32\fkyeey.dll.vir
2009-03-10 10:01:40 ----SH---- C:\WINDOWS\system32\owimunos.ini
2009-03-09 13:19:03 ----A---- C:\WINDOWS\NIRCMD.exe
2009-03-09 13:17:37 ----D---- C:\WINDOWS\ERDNT
2009-03-09 13:17:25 ----D---- C:\Qoobox
2009-03-09 13:09:52 ----A---- C:\WINDOWS\system32\srvblck2.tmp
2009-03-09 12:59:23 ----A---- C:\WINDOWS\system32\tmp.txt
2009-03-09 12:59:07 ----A---- C:\rapport.txt
2009-03-09 12:57:02 ----D---- C:\WINDOWS\system32\cock
2009-03-09 12:56:27 ----A---- C:\WINDOWS\ntbtlog.txt
2009-03-09 12:46:20 ----A---- C:\WINDOWS\system32\jqyssu.dll.vir
2009-03-07 06:20:59 ----SHD---- C:\Config.Msi
2009-03-06 23:23:56 ----D---- C:\rsit
2009-03-06 23:17:05 ----ASH---- C:\WINDOWS\system32\memxno.dll
2009-03-06 23:17:03 ----ASH---- C:\WINDOWS\system32\imitoheg.ini
2009-03-06 06:27:22 ----D---- C:\Programme\Trend Micro
2009-03-06 04:54:06 ----D---- C:\Programme\Spybot - Search &amp; Destroy
2009-03-06 04:54:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search &amp; Destroy
2009-03-06 02:04:37 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-03-06 02:03:16 ----D---- C:\Programme\Lavasoft
2009-03-06 01:18:21 ----A---- C:\WINDOWS\guard.exe
2009-03-06 01:18:20 ----A---- C:\WINDOWS\system32\srvblck.tmp
2009-03-06 01:17:49 ----D---- C:\WINDOWS\system32\Cks
2009-03-06 01:17:48 ----D---- C:\WINDOWS\system32\Dtw5d
2009-03-06 01:17:47 ----D---- C:\WINDOWS\system32\UAs
2009-03-06 00:50:55 ----A---- C:\WINDOWS\system32\pporlg.ini
2009-03-06 00:50:55 ----A---- C:\WINDOWS\system32\nwpp.ini
2009-03-06 00:50:55 ----A---- C:\WINDOWS\system32\nwklr.ini
2009-03-06 00:50:55 ----A---- C:\WINDOWS\system32\korlg.ini
2009-03-06 00:50:54 ----A---- C:\WINDOWS\system32\worlg.ini
2009-03-06 00:50:54 ----A---- C:\WINDOWS\system32\nwwlnt.ini
2009-03-06 00:50:11 ----A---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\nSvcAppFlt.exe
2009-03-06 00:14:31 ----ASH---- C:\WINDOWS\system32\ctpmgr.dll
2009-03-05 17:19:50 ----D---- C:\Programme\ATP

======List of files/folders modified in the last 1 months======

2009-03-31 22:51:07 ----D---- C:\WINDOWS\Prefetch
2009-03-31 22:50:03 ----D---- C:\WINDOWS\Temp
2009-03-31 22:50:01 ----SD---- C:\WINDOWS\Tasks
2009-03-31 22:49:54 ----D---- C:\WINDOWS\Registration
2009-03-31 22:49:51 ----D---- C:\WINDOWS
2009-03-31 22:49:16 ----D---- C:\WINDOWS\system32
2009-03-31 22:49:15 ----D---- C:\WINDOWS\system32\drivers
2009-03-31 22:47:40 ----A---- C:\WINDOWS\{00000002-00000000-00000007-00001102-00000004-20021102}.BAK
2009-03-31 22:39:42 ----D---- C:\Programme\ICQToolbar
2009-03-31 20:37:14 ----RD---- C:\Programme
2009-03-31 20:06:19 ----D---- C:\Programme\Mozilla Firefox
2009-03-31 19:37:53 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-03-31 15:31:50 ----D---- C:\temp
2009-03-31 14:00:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-03-31 13:08:35 ----D---- C:\WINDOWS\system32\CatRoot2
2009-03-31 13:02:45 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-03-31 12:58:50 ----ASH---- C:\WINDOWS\system32\tovebogi.exe
2009-03-13 09:34:51 ----A---- C:\WINDOWS\system32\wininet.dll
2009-03-13 09:34:51 ----A---- C:\WINDOWS\system32\powrprof.dll
2009-03-13 09:34:51 ----A---- C:\WINDOWS\system32\kernel32.dll
2009-03-13 09:34:12 ----ASH---- C:\WINDOWS\system32\bezayedo.dll
2009-03-12 10:17:30 ----ASH---- C:\WINDOWS\system32\buyoyena.dll
2009-03-12 10:17:29 ----ASH---- C:\WINDOWS\system32\yifiroso.dll
2009-03-10 17:27:00 ----A---- C:\WINDOWS\system32\windmlp.ini
2009-03-10 17:27:00 ----A---- C:\WINDOWS\system32\kerdnp.ini
2009-03-10 17:25:49 ----A---- C:\WINDOWS\system32\ppdnp.ini
2009-03-10 15:13:46 ----A---- C:\WINDOWS\win.ini
2009-03-10 15:13:46 ----A---- C:\WINDOWS\system.ini
2009-03-10 10:01:42 ----ASH---- C:\WINDOWS\system32\vimuvayo.dll
2009-03-09 12:46:19 ----ASH---- C:\WINDOWS\system32\sanidayi.dll
2009-03-09 12:46:19 ----ASH---- C:\WINDOWS\system32\husugudi.dll
2009-03-07 06:21:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-07 06:20:58 ----SHD---- C:\WINDOWS\Installer
2009-03-07 05:01:01 ----D---- C:\Program Files
2009-03-07 04:53:45 ----HDC---- C:\WINDOWS\$NtUninstallKB931784$
2009-03-07 04:53:45 ----HDC---- C:\WINDOWS\$NtUninstallKB925398_WMP64$
2009-03-07 04:53:45 ----HDC---- C:\WINDOWS\$NtUninstallKB911562$
2009-03-07 04:53:45 ----D---- C:\WINDOWS\java
2009-03-07 04:53:45 ----D---- C:\Programme\NetMeeting
2009-03-07 04:53:45 ----D---- C:\Programme\Mozilla Thunderbird
2009-03-07 04:53:45 ----D---- C:\Programme\Avira
2009-03-07 04:53:45 ----D---- C:\Programme\Apple Software Update
2009-03-07 02:05:02 ----D---- C:\Programme\Winamp
2009-03-07 01:24:26 ----D---- C:\WINDOWS\Minidump
2009-03-06 23:57:47 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2
2009-03-06 23:17:04 ----ASH---- C:\WINDOWS\system32\yofolufe.dll
2009-03-06 07:16:35 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\eMule
2009-03-06 05:31:08 ----HDC---- C:\WINDOWS\$NtUninstallKB890046$
2009-03-06 05:31:08 ----D---- C:\WINDOWS\ie7updates
2009-03-06 05:31:08 ----D---- C:\Programme\Free FTP Client 3.2.0
2009-03-06 05:31:08 ----D---- C:\Programme\ESTsoft
2009-03-06 05:31:08 ----D---- C:\Programme\BrainWave Generator
2009-03-06 02:04:51 ----HD---- C:\WINDOWS\inf
2009-03-06 02:03:06 ----D---- C:\WINDOWS\WinSxS
2009-03-06 01:24:52 ----D---- C:\WINDOWS\system32\Restore
2009-03-06 00:14:30 ----ASH---- C:\WINDOWS\system32\reboyuti.dll
2009-03-06 00:14:29 ----ASH---- C:\WINDOWS\system32\gayudida.dll
2009-03-02 04:59:39 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe

[br][br]Erstellt am: 31.03.09 um 22:58:16

[br]Teil 4

Code:

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Asapi;Asapi; C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-11-15 75072]
R1 hwinterface;hwinterface; C:\WINDOWS\System32\Drivers\hwinterface.sys [2009-02-10 2996]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-10 14848]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-18 21248]
R1 watcher;watcher; \??\C:\WINDOWS\system32\drivers\watcher.sys []
R2 ACEDRV05;ACEDRV05; \??\C:\WINDOWS\system32\drivers\ACEDRV05.sys []
R2 ACEDRV06;ACEDRV06; \??\C:\WINDOWS\system32\drivers\ACEDRV06.sys []
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2006-08-18 4017536]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-10 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2004-08-04 701952]
R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2006-08-11 502272]
R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2006-08-11 499584]
R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2006-08-11 7168]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2006-08-11 143872]
R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2006-08-11 78336]
R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2006-08-11 766976]
R3 hap16v2k;Creative P16V HAL Driver; C:\WINDOWS\system32\drivers\hap16v2k.sys [2006-08-11 154112]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-08-10 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-10 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-10 61824]
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2006-08-11 116224]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-10 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-10 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-10 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-10 17024]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-11-22 250496]
S3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2004-08-03 17024]
S3 BTHMODEM;Serieller Kommunikationstreiber für Bluetooth; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2004-08-03 38016]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2004-08-03 100992]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2004-08-04 275200]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-03 18944]
S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704]
S3 hap17v2k;Creative P17V HAL Driver; C:\WINDOWS\system32\drivers\hap17v2k.sys [2006-08-11 180224]
S3 HidBth;Microsoft Bluetooth-HID-Miniport; C:\WINDOWS\system32\DRIVERS\hidbth.sys [2004-08-04 25856]
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2004-08-03 59648]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2004-08-10 14336]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2005-09-30 96341]
R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2004-08-10 194560]
R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2004-08-10 102912]
S2 gupdate1c998e7ee8daa7e;Google Update Service (gupdate1c998e7ee8daa7e); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-27 133104]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-31 183280]
S3 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-05-20 654848]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2004-08-10 14336]
S3 PACSPTISVR;PACSPTISVR; C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe [2004-05-27 53337]
S3 SPTISRV;Sony SPTI Service; C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe [2004-05-27 69718]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-10 38912]

-----------------EOF-----------------

schrauber · 31.03.2009

rechner neu starten und wieder mit mbam scannen, log posten.

du hast nen bösen backdoor-befall, wenn du onlinebanking oder dergleichen machst wäre formatieren sicherer.

Trispac · 01.04.2009

Ich gebe schrauber Recht. Formatieren und Neuinstallation sind hier die einzige Option. Mal abgesehen davon, dass ich das aus Sicherheitsgründen generell vorziehe, ist es mir unverständlich, wie man so lange an einem verseuchten Rechner herumbasteln kann. Eine Neuinstallation wäre längst erledigt und Du hättest Ruhe.

FabeMan · 01.04.2009

Da es im Moment schwieriger wäre, den Rechner nach einem Formatieren wieder auf den jetzigen Stand zu bringen, habe ich bisher versucht es so zu lösen.

Ich mache auch kein Online-Banking. Das ist mir so oder so zu unsicher.

Aber vielleicht werde ich doch formatieren müssen.
Will schrauber auch nicht ewig damit aufhalten. Er hat ja schon genug versucht zu helfen.

Es scheint sich ja nicht wirklich beheben zu lassen.

schrauber · 01.04.2009

wenn du keine onlinegeschäfte machst können wir gerne weiter machen

du hälst mich nicht auf, ich bereinige jeden tag dutzende rechner an 5 verschiedenen foren, da is der eine aktive thread hier im board eine erholung

FabeMan · 09.04.2009

Na denn bin ich beruhigt. mml
Hier das logfile...

Code:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 2

09.04.2009 07:19:06
mbam-log-2009-04-09 (07-19-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 338885
Laufzeit: 1 hour(s), 18 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nüscht gefunden.
Grützi

schrauber · 09.04.2009

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_kas

mach mal den kaspersky onlinescan und poste das logfile.

FabeMan · 22.04.2009

So, jetzt konnte ich mich mal wieder ransetzen.

Aber Kaspersky will nicht so wie ich will. Ich komme nicht mal über die Datenschutzerklärung hinaus... ???

schrauber · 22.04.2009

benutz den internet explorer zum scannen.

FabeMan · 13.06.2009

Hi

Konnte jetzt länger nix machen hier. Habe alle Scans versucht, hat nix gebracht. Was ich allerdings herausgefunden habe, ist, dass die Anwendung guard.exe verantwortlich zu sein scheint. Ich habe das Ding im Taskmanager beendet und das Popup-Fenster rechts unten (aus meinem ersten Beitrag) war verschwunden!!

Wie kann kann ich guard.exe am besten entfernen? Einfach löschen?
Ist das nicht eine Komponente von AVG Anti Spyware? Mich wundert nämlich, dass guard.exe an dem Tag auf meinem Rechner auftauchte, als die Probleme begannen. Das Teil ist in C:\WINDOWS.

Beste Grüße und danke!!!

PCDpan_fee · 16.06.2009

FabeMan schrieb:
Was ich allerdings herausgefunden habe, ist, dass die Anwendung guard.exe verantwortlich zu sein scheint.
...
Wie kann kann ich guard.exe am besten entfernen? Einfach löschen?
Ist das nicht eine Komponente von AVG Anti Spyware?

ich glaub schon, dass die guard.exe zu AVG Anti Spyware gehört.
Deinstalliere sauber das Programm über Systemsteuerung/Software.

FabeMan schrieb:
Das Teil ist in C:\WINDOWS.

Sie sollte eigentlich im Ordner »C:\Programme\Grisoft\AVG Anti-Spyware« liegen.
Was sagen denn die Eigenschaften der guard.exe im Ordner C:\Windows?
Evtl. erhälst du da mehr Infos über die guard.exe.

Gib hier mal guard.exe in der Suchleiste ein: http://www.wintotal.de/Spyware/

pan_fee

FabeMan · 17.06.2009

PCDpan_fee schrieb:
FabeMan schrieb:

Was ich allerdings herausgefunden habe, ist, dass die Anwendung guard.exe verantwortlich zu sein scheint.
...
Wie kann kann ich guard.exe am besten entfernen? Einfach löschen?
Ist das nicht eine Komponente von AVG Anti Spyware?

Zum Vergrößern anklicken....

ich glaub schon, dass die guard.exe zu AVG Anti Spyware gehört.
Deinstalliere sauber das Programm über Systemsteuerung/Software.

Hab mal geguckt und gesehen, was mir meinen Verdacht bestätigte. Ich hab das Programm nicht mal. War mir erst nicht sicher, aber nun weiß ich ja, dass es schon mal keine Komponente davon sein kann... *lach und rot werdend umguck*

PCDpan_fee schrieb:
FabeMan schrieb:

Das Teil ist in C:\WINDOWS.

Zum Vergrößern anklicken....

Sie sollte eigentlich im Ordner »C:\Programme\Grisoft\AVG Anti-Spyware« liegen.
Was sagen denn die Eigenschaften der guard.exe im Ordner C:\Windows?
Evtl. erhälst du da mehr Infos über die guard.exe.

Gib hier mal guard.exe in der Suchleiste ein: http://www.wintotal.de/Spyware/

pan_fee

Habs bei der Suche nicht gefunden.

Die Eigenschaften deuten auch auf nichts weiteres hin, als dass das Teil guard.exe heißt und eine Anwendung ist.
Ich denke, dass dieses Ding für den Ärger verantwortlich ist.

kann ich es einfach so löschen und dann ist das alles okay?
Beste Grüße

PCDpan_fee · 17.06.2009

FabeMan schrieb:
Habs bei der Suche nicht gefunden.

kann nicht sein ... :?
HIER ... guard.exe in der Suchleiste eingeben und Suchen anklicken.

Die Eigenschaften deuten auch auf nichts weiteres hin, als dass das Teil guard.exe heißt und eine Anwendung ist.

rein gar nichts? ???
Schau im Taskmanager, ob die EXE-Datei aufgeführt ist. Wenn ja, Task beenden.
Schau auch im Autostart nach (Start/Ausführen/msconfig/Systemstart) und deaktiviere sie, falls sie aufgeführt ist. Merke dir aber Hersteller, Befehl und Ort und berichte hier.

Dann die guard.exe erst mal umbenennen in guard.exe.old

O1 - Hosts: 82.98.235.133 browser-security.microsoft.com
O1 - Hosts: 82.98.235.133 url.adtrgt.com
O1 - Hosts: 82.98.235.133 best-click-scanner.info
O1 - Hosts: 82.98.235.133 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.235.133 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.235.133 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.235.133 onlinenotifyq.net
O1 - Hosts: 82.98.235.133 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.235.133 microsoft.browser-security-center.com

Schau deine HOSTS Datei mal an.
http://www.wintotal.de/Tipps/?id=646
oder mit Microsoft Fix It deine HOSTS-Datei wieder herstellen lassen:
http://support.microsoft.com/kb/972034/de

O4 - HKUS\S-1-5-19\..\Run: [toseginelo] Rundll32.exe C:\WINDOWS\system32\wejureke.dll,s (User->LOKALER DIENST')

ist auch nicht vertrauenerweckend ???

pan_fee

FabeMan · 17.06.2009

PCDpan_fee schrieb:
FabeMan schrieb:

Habs bei der Suche nicht gefunden.

Zum Vergrößern anklicken....

kann nicht sein ... :?
HIER ... guard.exe in der Suchleiste eingeben und Suchen anklicken.

Jetzt hab ich was gefunden...

Name: guard.exe (avgas.exe, _avgas.exe)
Kategorie: Programme
Beschreibung: (C:\Programme\ewido Anti-Spyware, C:\Programme\Grisoft\AVG Anti-Spyware) AVG Anti-Spyware von Ewido , Info

Name: guard.exe (My_server.exe)
Kategorie: Schädlinge
Beschreibung: (C:\Windows\(WINNT)\system32) Backdoor.Bot, SDBOT Wurm, Backdoor.Shark, Backdoor.Trojan [Windows Update]

Name: guard.exe
Kategorie: Programme
Beschreibung: (C:\Windows; C:\WINNT) Phoenix_Technologies Core Managed Environment (cME) Integration und Certification, [ISDN Guard.lnk] , Info

PCDpan_fee schrieb:
Die Eigenschaften deuten auch auf nichts weiteres hin, als dass das Teil guard.exe heißt und eine Anwendung ist.

Zum Vergrößern anklicken....

rein gar nichts? ???
Schau im Taskmanager, ob die EXE-Datei aufgeführt ist. Wenn ja, Task beenden.
Schau auch im Autostart nach (Start/Ausführen/msconfig/Systemstart) und deaktiviere sie, falls sie aufgeführt ist. Merke dir aber Hersteller, Befehl und Ort und berichte hier.

Dann die guard.exe erst mal umbenennen in guard.exe.old

pan_fee

Im Taskmanager ist sie. Hab sie auch schon jedesmal abgeschaltet, da dadurch dieses popup rechts unten verschwunden ist.
Allerdings ist sie mit jedem Starten des Firefox Browsers wieder aktiv geworden. Daraufhin werde ich auch jedesmal auf eine Startseite gelockt, die mich ebenfalls zum Anklicken bewegen will und muss dann guard.exe erneut im Taskmanager abschalten. Diese Startseite hat in der Taskleiste zu stehen file:///C:/WINDOWS/security.html. Wenn man das Ding löscht, wurde es bisher immer wieder neu erstellt.

Im Systemstart steht...
guard.exe (hab ich deaktiviert) | C:\WINDOWS\guard.exe | HKLM\SOFTWARE\Windows\CurrentVersion\Run

Habe die Datei erstmal umbenannt und beobachte die Sache.

PCDpan_fee schrieb:
Schau deine HOSTS Datei mal an.
http://www.wintotal.de/Tipps/?id=646
oder mit Microsoft Fix It deine HOSTS-Datei wieder herstellen lassen:
http://support.microsoft.com/kb/972034/de

O4 - HKUS\S-1-5-19\..\Run: [toseginelo] Rundll32.exe C:\WINDOWS\system32\wejureke.dll,s (User->LOKALER DIENST')

Zum Vergrößern anklicken....

ist auch nicht vertrauenerweckend ???

pan_fee

Ja mach ich mal.
Diese wejureke.dll ist nicht mehr da. Wird das immer wieder umgeschrieben?

FabeMan · 17.06.2009

???

Jetzt bin ich am Laptop.
Am PC konnte ich gerade nach den Änderungen keinen Browser mehr öffnen. ...\firefox.exe konnte nicht gefunden werden. IE geht auch nicht auf...

EDIT: Es lag am Umbenennen der guard.exe in guard.exe.old
Ich habs zum testen mal rückgängig gemacht. Browser gehen wieder, aber trotz deaktivierter guard.exe in der Systemsteuerung, passiert wieder dasselbe. Wieder diese Startseite und erneutes Deaktivieren im Taskmanager notwendig.

schrauber · 17.06.2009

PCDpan_fee schrieb:
O1 - Hosts: 82.98.235.133 browser-security.microsoft.com
O1 - Hosts: 82.98.235.133 url.adtrgt.com
O1 - Hosts: 82.98.235.133 best-click-scanner.info
O1 - Hosts: 82.98.235.133 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.235.133 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.235.133 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.235.133 onlinenotifyq.net
O1 - Hosts: 82.98.235.133 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.235.133 microsoft.browser-security-center.com

Zum Vergrößern anklicken....

Schau deine HOSTS Datei mal an.
http://www.wintotal.de/Tipps/?id=646
oder mit Microsoft Fix It deine HOSTS-Datei wieder herstellen lassen:
http://support.microsoft.com/kb/972034/de

O4 - HKUS\S-1-5-19\..\Run: [toseginelo] Rundll32.exe C:\WINDOWS\system32\wejureke.dll,s (User->LOKALER DIENST')

Zum Vergrößern anklicken....

ist auch nicht vertrauenerweckend ???

pan_fee

woher habt ihr die einträge, ich seh gar kein frisches logfile? ???

FabeMan · 05.07.2009

Also mittlerweile hat selbst mein AntiVir die Datei guard.exe (im WINDOWS Ordner) als trojanisches Pferd namens TR/Dldr.Renos.2 identifiziert.

Sobald ich die Datei aber in Quarantäne setze, kann ich keinen WebBrowser mehr öffnen. :-\ Selt...sam..............

schrauber · 06.07.2009

hast du eigentlich mal formatiert? wäre mal ne sinnvolle aktion.....

Your computer is infected! (helft mir die Spyware beseitigen)

schrauber

FabeMan

FabeMan

schrauber

Trispac

FabeMan

schrauber

FabeMan

schrauber

FabeMan

schrauber

FabeMan

PCDpan_fee

FabeMan

PCDpan_fee

FabeMan

FabeMan

schrauber

FabeMan

schrauber

Your computer is infected! (helft mir die Spyware beseitigen)

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums