Sygate meint: Application Hijacking

Dot com · 13. September 2010

Hallo Leute, hab grad mein Pc angeschmissen und dann kamen gleich übermäßig viele Anfragen von Sygate, dass verschiedene Autostartprogramme ( msn, wuala usw. ) über nein remote Port irgendwas machen wollen. Zum Teil sollten die Programme Adresse wie rad.msn.com aufrufen oder solche wie adsfac.eu.

Nachdem ich dann nach eigenem ermessen den Vertrauensvollen Programmen gestattet habe und den suspekten Sachen die Verbindung geblockt hatte, kamen von Sygate ca. 15 Warnung von wegen: Application Hijacking has been detectet.

Die Logs sagen immer:

Im Autostart hab ich nix verdächtiges gefunden und mitm Process Explorer hab ich erstma wmiprvse.exe gekillt, startet sich aber neu, also hab ich den Prozess suspendet.

N Screen von den Logs hab ich auch gemacht.

Irgendwie ist mir trotzdem nicht ganz wohl bei der Sache, Hijackthis Logs hab ich aber noch keine gemacht.

Vlt. könnt ihr mir ja helfen.

Anzeige

Kirill · 14. September 2010

AW: Sygate meint: Application Hijacking

Hallo Dot com,
seit wann hast du die Sygate installiert bzw. war die Sygate vor "MSN" und "Wuala" bereits drauf?

Hier wäre es mal interessant zu wissen, auf welche Applikation er versucht zuzugreifen?

Grüße
Kirill

eBBeL · 14. September 2010

AW: Sygate meint: Application Hijacking

wmiprvse.exe kannst du laufen lassen. Den brauch Windows nämlich Windows Management Instrumentation.

Eigentlich sieht der Log nicht sehr verdächtig aus. Deutet vieles auf MSN und microsoft hin.
Bis auf die 188.40.10.198 (Germany, Berlin) sind die IPs alles MS geschichten so wie ich
das sehe. Was nicht unnormal ist.

schalte mal alle automatisch startenden sachen, die nicht überlebenswichtig für dein System sind, aus. Dann starte die Kiste neu und schau dir den Log nochmal an.

Alex² · 14. September 2010

AW: Sygate meint: Application Hijacking

Sieht nicht unbedingt sauber aus. Der Host "adsfac.eu" scheint mir in jedem Fall suspekt. Ist auch bei Google oft im Zusammenhang mit Malware o.ä. zu finden.

Am besten wäre es, wenn du hier mal einen Highjackthis Log postest.
( Hinweis für das HiJackThis & Trojaner Forum - RR:Board)

@eBBeL
Nur weil "wmiprvse.exe" als Dateiname angegeben ist, heißt es noch lange nicht, dass die Datei nicht auf irgendeine Art und Weise missbraucht oder manipuliert wurde. Auch solltest du die Hosts gründlicher prüfen, bevor du die Sache als "unbedenklich" einstufst.

Naja, mehr sehen wir nach dem Log.

Dot com · 14. September 2010

AW: Sygate meint: Application Hijacking

Jo ersma thx for help, den Adsfac hab ich auch geblockt, weil wegen komisch und so.

Jetzt, einen Tag danach is nixmehr passiert, der HJ Log ist wie folgt( von eben gerade erst):

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:51, on 14.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
L:\Sygate\smc.exe
L:\Avast 5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\Explorer.EXE
L:\Java Sun\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
L:\NetLimiter 2 Monitor\nlsvc.exe
L:\Counterspy\SBAMSvc.exe
C:\WINDOWS\ehome\ehtray.exe
L:\Sound Blaster\Console Launcher\CTAPR2.exe
L:\Sound Blaster\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
L:\itunes\iTunesHelper.exe
L:\AVAST5~1\avastUI.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\HTC\HTC Sync 3.0\htcUPCTLoader.exe
C:\WINDOWS\system32\ctfmon.exe
L:\PeerGuardian2\pg2.exe
L:\NetLimiter 2 Monitor\NLClient.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
L:\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
L:\Copy Handler\ch.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
L:\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\System32\TUProgSt.exe
L:\Tor\Vidalia\vidalia.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Dokumente und Einstellungen\Dot com\Anwendungsdaten\Wuala\Roaming\Wuala.exe
L:\Tor\Polipo\polipo.exe
L:\Counterspy\SBAMTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
L:\Truecrypt\TrueCrypt.exe
C:\Mozilla Firefox\plugin-container.exe
L:\PidginPortable\PidginPortable.exe
L:\PidginPortable\App\Pidgin\pidgin-portable.exe
L:\mIRC\mirc.exe
L:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - L:\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - L:\Java Sun\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - L:\Java Sun\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Programme\HypreCam Toolbar\tbcore3.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: HypreCam Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Programme\HypreCam Toolbar\tbcore3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTAPR2] "L:\Sound Blaster\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "L:\Sound Blaster\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "L:\itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SBAMTray] L:\Counterspy\SBAMTray.exe
O4 - HKLM\..\Run: [avast5] L:\AVAST5~1\avastUI.exe /nogui
O4 - HKLM\..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [SmcService] L:\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [HTC Sync Loader] "C:\Programme\HTC\HTC Sync 3.0\htcUPCTLoader.exe" -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] L:\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Copy Handler] L:\Copy Handler\ch.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "L:\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Vidalia] "L:\Tor\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\Dot com\Anwendungsdaten\Wuala\Roaming\Wuala.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://L:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://L:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://L:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Dot com\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Dot com\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://L:\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQv6.5\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\ICQv6.5\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1259093566568
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E794504-D3B6-4615-A674-6E92CD3C3C09}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - L:\Avast 5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - L:\Avast 5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - L:\Avast 5\AvastSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - L:\Java Sun\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - L:\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - L:\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: CounterSpy Antispyware (SBAMSvc) - Sunbelt Software - L:\Counterspy\SBAMSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - L:\Sygate\smc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - L:\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 11520 bytes

Edit:

Ja, Msn und Wuala waren vor Sygate schon drauf installiert, davor hatte ich norton 360.

Er versucht nur auf msnmsgr.exe und wuala.exe zuzugreifen.

eBBeL · 15. September 2010

AW: Sygate meint: Application Hijacking

Wer lesen kann usw..
Habe ich gesagt, dass die Datei nicht infiziert sein kann?
Ich habe nur gesagt, dass der Prozess essentiell ist und, das hätte ich
dazu schreiben sollen, nicht angehalten werden kann.

Kirill · 15. September 2010

AW: Sygate meint: Application Hijacking

Ist die Meldung gleich nach der Installation von Sygate gekommen? Oder lief MSN schon mit Sygate ohne Meldung?

Wenn MSN bereits mit Sygate ohne Meldung lief, dann hast du vor der Meldung irgendwas runter geladen, installiert, an den MSN-Messenger Einstellungen was gemacht oder warst du auf einer komischen Webseite?

Dot com · 15. September 2010

AW: Sygate meint: Application Hijacking

Lief alles ohne Zwischenfälle, bis zu dem besagten Booten.

Hab an msn nix verändert, keine scripte, keine Pws, ich glaub ich hab nichma updates für die scripte gemacht.

Nochma die originale Meldung:

Kirill · 15. September 2010

AW: Sygate meint: Application Hijacking

Code:

Was ist WMI, und wozu kann ich es verwenden?

Windows Management Instrumentation (WMI) ist eine grundlegende Windows-Verwaltungstechnologie; mithilfe von WMI können Sie sowohl lokale Computer als auch Remotecomputer verwalten. WMI bietet einen einheitlichen Ansatz für die Ausführung täglicher Verwaltungsaufgaben mit Programmier- oder Skripterstellungssprachen. 

Beispiele:
*Starten eines Prozesses auf einem Remotecomputer
*Planen eines Prozesses, der an bestimmten Tagen zu bestimmten Uhrzeiten ausgeführt werden soll
*Abrufen einer Liste von Anwendungen, die auf einem lokalen Computer oder einem Remotecomputer installiert sind

Quelle

Habe mir mal die ganzen IPs angeschaut und alle sind von Microsoft und WUALA. Die einzige IP, die ich nicht zuordnen konnte ist: 88.198.62.249 was ein UDP-Protokoll irgendwas versendet hat.

Was mich noch beunruhigt ist, dass es auf einmal passiert ist (nah deiner Aussage auf einmal ohne Updates oder Einstellungen).

Beobachte mal die Sygate Log durch einen gewissen Zeitraum hindurch. Dabei die durch wmiprvse.exe verursachten Traffic.

Zusätzlich würde ich noch ein paar Scans machen.

Dazu würde ich dir folgende Programme empfehlen:

Combofix
Avira
F-Secure Blacklight
Avast im pre-boot scan
Spybot destroy

Bei den Anti-Virenscannern (Avira und Avast) einfach mal nacheinander laufen lassen, sprich Avira installieren, scannen und danach deinstallieren. Danach Avast.

Grüße
Kirill

Dot com · 16. September 2010

AW: Sygate meint: Application Hijacking

So, erstma thx, hab nochma nachgedacht und bin zu dem Schluss gekommen, dass es doch Updates gegeben haben könnte.

Allerdings hab ich das nicht bemerkt, könnte dadruch passiert sein:

-Updates installieren und Windows herunterfahren.

Wird einem ja bei ausstehenden Updates angeboten, dann wäre es auch logisch, dass Sygate auf einmal geänderte Programme meldet, direkt nach dem booten.

Kirill · 16. September 2010

AW: Sygate meint: Application Hijacking

Zur Sicherheit würde ich dennoch mal die Scans machen.

Grüße
Kirill

Dot com · 17. September 2010

AW: Sygate meint: Application Hijacking

Hmm, hättest mir aber sagen können, dass Combofix sofort einen forced restart macht =|..

Also:

1. msnmsgr.exe gelöscht, brauch ne neue. Hab gegoogelt, aber nix gefunden.

2. Desktop-Verknüpfungspfeile sind wieder da ...

Das is mir gleichmal so aufgefallen, dann noch, dass ca die Hälfte der Autostart programme nicht gestartet wird z.b Avast, Sygate und kp was noch alles. Mach jetzt erstma n reboot, ob das alles wieder kommt.

Log:

ComboFix 10-09-16.07 - Megamen 13 17.09.2010 17:23:25.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1579 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Megamen 13\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sygate Personal Firewall *enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Megamen 13\Lokale Einstellungen\Anwendungsdaten\cmgwygg.dat
c:\dokumente und einstellungen\Megamen 13\Lokale Einstellungen\Anwendungsdaten\cmgwygg_nav.dat
c:\dokumente und einstellungen\Megamen 13\Lokale Einstellungen\Anwendungsdaten\cmgwygg_navps.dat
c:\programme\HypreCam Toolbar\tbHElper.dll
c:\programme\Messenger\msnmsgr.exe
c:\windows\config.ini
c:\windows\system32\kr_done1
c:\windows\system32\mswaneo-e.dll
L:\install.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-08-17 bis 2010-09-17 ))))))))))))))))))))))))))))))
.

2010-09-15 13:22 . 2010-09-15 13:14 147456 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\_setup.dll
2010-09-15 13:15 . 2008-07-03 16:00 121064 ----a-r- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe
2010-09-14 18:47 . 2010-09-14 18:47 27232 ---ha-w- c:\windows\system32\mlfcache.dat
2010-09-12 17:50 . 2010-09-15 16:21 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\mIRC
2010-09-11 18:16 . 2010-09-11 18:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-09-06 20:30 . 1998-07-13 03:00 21504 ----a-w- c:\windows\system32\TABCTFR.DLL
2010-09-06 20:30 . 1998-07-13 03:00 34304 ----a-w- c:\windows\system32\RCHTXFR.DLL
2010-09-06 20:30 . 2001-03-28 14:38 69632 ----a-w- c:\windows\system32\GkSui18.EXE
2010-09-06 20:30 . 1998-07-13 03:00 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2010-09-06 20:30 . 1998-07-13 03:00 40960 ----a-w- c:\windows\system32\FLXGDFR.DLL
2010-09-06 20:30 . 1998-07-13 03:00 15360 ----a-w- c:\windows\system32\INETFR.DLL
2010-09-06 20:30 . 1998-07-13 03:00 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2010-09-06 20:30 . 1998-07-13 03:00 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL
2010-09-06 14:18 . 2010-09-06 14:18 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Lokale Einstellungen\Anwendungsdaten\Vitalwerks
2010-09-04 15:03 . 2007-11-27 01:24 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2010-09-04 15:00 . 2010-09-04 15:00 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\HTC.388BC06ACDAB6261375BCE37FBA2E023C0D7EE34.1
2010-09-04 15:00 . 2010-09-04 14:41 53632 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Macromedia\Flash Player\http://www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-09-04 14:43 . 2010-09-04 15:05 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\HTC
2010-09-04 14:42 . 2009-06-09 22:49 24576 ----a-w- c:\windows\system32\drivers\ANDROIDUSB.sys
2010-09-04 14:42 . 2009-06-09 12:41 1122664 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
2010-09-04 14:42 . 2010-09-04 14:42 -------- d-----w- c:\programme\Spirent Communications
2010-09-04 14:41 . 2010-09-04 14:43 -------- d-----w- c:\programme\HTC
2010-09-04 14:41 . 2010-09-04 14:41 53632 ----a-w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\http://www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-09-04 14:41 . 2010-09-04 14:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2010-09-03 22:18 . 2010-09-03 22:18 -------- d-----w- c:\programme\MSECache
2010-09-02 15:29 . 2010-09-02 15:29 118784 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala\Program0\swt-gdip-win32-3650.dll
2010-09-01 15:45 . 2010-09-01 15:45 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Toolbar4
2010-09-01 15:45 . 2010-09-17 15:27 -------- d-----w- c:\programme\HypreCam Toolbar
2010-09-01 12:22 . 2010-09-01 12:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-09-01 12:17 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-08-29 19:17 . 2010-08-29 19:18 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\FreeVideoConverter
2010-08-29 19:17 . 2009-06-19 17:51 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2010-08-26 15:16 . 2010-08-26 15:16 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\NVIDIA
2010-08-25 21:22 . 2010-08-25 21:22 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Lokale Einstellungen\Anwendungsdaten\2K Games
2010-08-25 19:38 . 2010-08-25 19:38 -------- d-----w- c:\programme\TeamViewer
2010-08-19 14:52 . 2010-08-19 14:52 385024 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala\Program0\swt-win32-3650.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-17 14:57 . 2010-07-14 10:21 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Tor
2010-09-17 14:56 . 2010-07-14 10:21 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Vidalia
2010-09-17 11:25 . 2010-07-17 14:05 188152 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Mozilla\Firefox\Profiles\h1oqym6j.default\FlashGot.exe
2010-09-15 14:33 . 2010-04-10 20:01 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala
2010-09-15 13:15 . 2010-01-14 21:24 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\InstallShield Installation Information
2010-09-12 00:14 . 2010-04-10 20:01 266616 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala\Roaming\Wuala.exe
2010-09-11 18:19 . 2010-06-28 23:11 15166488 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sunbelt\AntiMalware\Downloads\CSC_EN.4.0.3275.exe
2010-09-11 18:18 . 2008-12-30 12:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-07 15:12 . 2010-07-17 15:19 38848 ----a-w- c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-07-17 15:19 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-09-07 14:53 . 2010-07-17 15:19 340048 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2010-09-07 14:52 . 2010-07-17 15:19 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-07-17 15:19 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-07-17 15:19 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-07-17 15:19 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-07-17 15:19 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-07-17 15:19 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-07-17 15:19 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-09-04 15:04 . 2010-09-04 15:04 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ANDROIDUSB_01007.Wdf
2010-09-04 15:04 . 2010-09-04 15:04 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-09-04 14:41 . 2008-12-20 16:26 -------- d-----w- c:\programme\MSXML 4.0
2010-09-04 12:56 . 2008-12-11 22:06 31888 ----a-w- c:\dokumente und einstellungen\Megamen 13\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-02 21:23 . 2010-04-10 20:01 266616 ------w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala\Roaming\Wuala_old.exe
2010-09-01 18:47 . 2010-08-16 14:14 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-09-01 18:47 . 2008-12-25 17:55 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-29 12:43 . 2008-12-15 13:49 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-26 15:16 . 2010-06-14 13:06 -------- d-----w- c:\programme\NVIDIA Corporation
2010-08-22 21:26 . 2010-07-13 19:03 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Winamp
2010-08-19 14:53 . 2010-04-10 21:01 78336 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala\Program0\WDokan.dll
2010-08-18 15:15 . 2010-08-18 15:15 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\TeamViewer
2010-08-18 12:17 . 2010-08-18 12:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2010-08-17 13:17 . 2006-03-24 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 14:14 . 2010-08-16 14:14 -------- d-----w- c:\programme\DVDVideoSoft
2010-08-11 21:47 . 2006-03-24 12:00 79872 ----a-w- c:\windows\system32\perfc007.dat
2010-08-11 21:47 . 2006-03-24 12:00 448760 ----a-w- c:\windows\system32\perfh007.dat
2010-08-09 19:50 . 2010-07-14 04:37 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Free Download Manager
2010-08-07 11:57 . 2008-12-12 14:24 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-08-07 11:54 . 2010-07-20 18:06 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\FontExplorerX
2010-08-07 11:48 . 2009-08-06 18:04 -------- d-----w- c:\programme\Image-Line
2010-08-06 11:57 . 2010-08-06 11:57 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-08-05 15:46 . 2010-08-05 15:46 348160 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7c3b2ee1-n\msvcr71.dll
2010-08-05 15:46 . 2010-08-05 15:46 61440 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2f1bfc8e-n\decora-sse.dll
2010-08-05 15:46 . 2010-08-05 15:46 503808 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7c3b2ee1-n\msvcp71.dll
2010-08-05 15:46 . 2010-08-05 15:46 499712 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7c3b2ee1-n\jmc.dll
2010-08-05 15:46 . 2010-08-05 15:46 12800 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2f1bfc8e-n\decora-d3d.dll
2010-08-04 14:24 . 2008-12-12 14:27 -------- d-----w- c:\programme\Hewlett-Packard
2010-08-04 14:01 . 2010-08-04 14:01 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Hewlett-Packard
2010-08-04 14:00 . 2010-08-04 13:58 19554 ----a-w- c:\windows\hpoins01.dat
2010-08-04 13:59 . 2010-08-04 13:59 -------- d-----w- c:\programme\Gemeinsame Dateien\Hewlett-Packard
2010-08-01 01:26 . 2010-08-01 01:25 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\avidemux
2010-07-31 18:42 . 2010-07-31 18:41 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Jubler
2010-07-27 12:37 . 2010-05-01 18:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-07-26 09:19 . 2010-07-26 09:19 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Locktime
2010-07-25 15:05 . 2010-07-25 15:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Locktime
2010-07-25 14:08 . 2010-07-18 11:57 -------- d-----w- c:\programme\CheckPoint
2010-07-25 13:20 . 2010-07-18 11:58 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\CheckPoint
2010-07-22 15:48 . 2006-03-24 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-20 18:06 . 2010-07-20 18:06 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\MozillaControl
2010-07-20 09:28 . 2010-07-20 09:28 2 ----a-w- c:\windows\system32\krx240.dat
2010-07-20 09:28 . 2010-07-20 09:28 -------- d-----w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Kristanix Software
2010-07-19 14:46 . 2009-05-03 09:57 2288640 ----a-w- c:\windows\system32\TUKernel.exe
2010-07-18 12:13 . 2008-12-13 13:09 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-07-18 11:58 . 2008-12-29 14:59 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-07-17 15:52 . 2010-07-17 15:52 43520 ----a-w- c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala\Program0\proxy_util_w32.dll
2010-06-30 12:28 . 2006-03-24 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-29 21:28 . 2010-06-29 21:28 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-06-24 12:22 . 2006-03-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-03-24 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-03-24 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-19 20:39 . 2010-06-19 20:39 72504 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2006-05-03 09:06 . 2009-12-30 14:54 163328 --sha-r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-30 14:54 31232 --sha-r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-30 14:54 216064 --sha-r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\snxPluginsShell]
@="{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}"
[HKEY_CLASSES_ROOT\CLSID\{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}]
2010-09-07 15:14 152160 ----a-w- l:\avast 5\snxPlugins.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerGuardian"="l:\peerguardian2\pg2.exe" [2005-09-18 1421824]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]
"Copy Handler"="l:\copy handler\ch.exe" [2010-03-07 489472]
"DAEMON Tools Lite"="l:\daemon tools lite\DTLite.exe" [2010-04-01 357696]
"Vidalia"="l:\tor\Vidalia\vidalia.exe" [2010-05-25 5475403]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-12-29 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"CTAPR2"="l:\sound blaster\Console Launcher\CTAPR2.exe" [2007-01-16 57344]
"VolPanel"="l:\sound blaster\Volume Panel\VolPanlu.exe" [2007-04-17 184320]
"SPIRun"="SPIRun.dll" [2006-11-29 8704]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="l:\itunes\iTunesHelper.exe" [2010-06-15 141624]
"SBAMTray"="l:\counterspy\SBAMTray.exe" [2008-10-28 681256]
"avast5"="l:\avast5~1\avastUI.exe" [2010-09-07 2838912]
"SmcService"="l:\sygate\smc.exe" [2004-10-15 2577632]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"HTC Sync Loader"="c:\programme\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2010-08-18 249856]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Megamen 13\Startmen\Programme\Autostart\
Wuala.lnk - c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Wuala\Roaming\Wuala.exe [2010-4-10 266616]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-9 147456]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2PHazard]
c:\dokume~1\MEGAME~1\LOKALE~1\Temp\Rar$EX48.094\P2PHazard2 [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 15:20 57344 ----a-w- c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50 1144104 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2009-11-16 15:36 172792 ----a-w- l:\icqv6.5\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-06-15 14:33 141624 ----a-w- l:\itunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-04-03 17:23 13670504 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-04-03 17:23 110696 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-11-17 15:08 17676288 ----a-w- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-03-09 09:02 26100520 ----a-r- l:\skype\Phone\Skype.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"RGSC"=l:\rockstar social club\Rockstar Games Social Club\RGSCLauncher.exe /silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="l:\itunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="l:\adope reader\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"l:\\Age of Mythology\\aomx.exe"=
"l:\\ICQv6.5\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"l:\\itunes\\iTunes.exe"=
"l:\\Skype\\Phone\\Skype.exe"=
"l:\\Skype\\Plugin Manager\\skypePM.exe"=
"l:\\Videospin\\Programs\\RM.exe"=
"l:\\Videospin\\Programs\\umi.exe"=
"l:\\Videospin\\Programs\\VideoSpin.exe"=
"c:\\Dokumente und Einstellungen\\Megamen 13\\Anwendungsdaten\\Wuala\\Roaming\\Wuala.exe"=
"l:\\Java Sun\\bin\\javaw.exe"=
"l:\\SFT LOADER 2OO9\\leecher.exe"=
"l:\\Java Sun\\bin\\java.exe"=
"l:\\Flash FXP\\FlashFXP.exe"=
"l:\\SFT-Encrypter\\encrypter.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"l:\\mIRC\\mirc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [17.07.2010 17:19 340048]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [17.07.2010 17:19 165584]
R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [25.03.2010 10:49 82360]
R1 sbaphd;sbaphd;c:\windows\system32\drivers\sbaphd.sys [29.06.2010 11:30 13360]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [17.07.2010 17:19 17744]
R2 PStrip;PSTRIP;c:\windows\system32\drivers\pstrip.sys [15.07.2007 04:37 27992]
R2 SBAMSvc;CounterSpy Antispyware;l:\counterspy\SBAMSvc.exe [28.10.2008 16:28 886056]
R2 sbapifs;sbapifs;c:\windows\system32\drivers\sbapifs.sys [29.06.2010 11:31 69168]
R3 ProtoWall;ProtoWall Network Service;c:\windows\system32\drivers\ProtoWall.sys [28.01.2004 16:35 21376]
R3 t3;SB Xtreme Audio Notebook;c:\windows\system32\drivers\t3.sys [04.01.2009 14:53 735744]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [04.01.2009 14:53 1656960]
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\MEGAME~1\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\MEGAME~1\LOKALE~1\Temp\ALSysIO.sys [?]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [04.09.2010 16:42 24576]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [23.10.2008 04:09 92464]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.12.2008 17:42 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 16:34 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2010-09-17 c:\windows\Tasks\1-Klick-Wartung.job
- l:\tune up\OneClickStarter.exe [2009-07-15 10:07]

2010-09-04 c:\windows\Tasks\FRU Task 2003-04-10 00:56ewlett-Packard2003-04-10 00:56p psc 1200 series272A572217594EBCF1CEE215E352B92AD073FDE4280930473.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 15:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE: Alles mit FDM herunterladen - file://l:\free download manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://l:\free download manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://l:\free download manager\dllink.htm
IE: Free YouTube Download - c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - l:\office~1\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
IE: Videos mit FDM herunterladen - file://l:\free download manager\dlfvideo.htm
TCP: {9E794504-D3B6-4615-A674-6E92CD3C3C09} = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Mozilla\Firefox\Profiles\h1oqym6j.default\
FF - prefs.js: browser.startup.homepage - Google
FF - prefs.js: network.proxy.ftp - 222.246.22.104
FF - prefs.js: network.proxy.ftp_port - 9415
FF - prefs.js: network.proxy.gopher - 222.246.22.104
FF - prefs.js: network.proxy.gopher_port - 9415
FF - prefs.js: network.proxy.http - 222.246.22.104
FF - prefs.js: network.proxy.http_port - 9415
FF - prefs.js: network.proxy.socks - 222.246.22.104
FF - prefs.js: network.proxy.socks_port - 9415
FF - prefs.js: network.proxy.ssl - 222.246.22.104
FF - prefs.js: network.proxy.ssl_port - 9415
FF - prefs.js: network.proxy.type - 0
FF - component: c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Mozilla\Firefox\Profiles\h1oqym6j.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\programme\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll
FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll
FF - component: l:\free download manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Mozilla\Firefox\Profiles\h1oqym6j.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\dokumente und einstellungen\Megamen 13\Anwendungsdaten\Mozilla\Firefox\Profiles\h1oqym6j.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\mozilla firefox\plugins\np-mswmp.dll
FF - plugin: c:\mozilla firefox\plugins\npwachk.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: l:\divx_2\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: l:\itunes\Mozilla Plugins\npitunes.dll
FF - plugin: l:\java sun\bin\new_plugin\npdeployJava1.dll
FF - plugin: l:\java sun\bin\new_plugin\npjp2.dll
FF - plugin: l:\k-lite codec pack\Real\browser\plugins\nppl3260.dll
FF - plugin: l:\k-lite codec pack\Real\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections-per-server - 8
c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Downloadspeed - (no file)
HKLM-Run-Copy Handler - (no file)
HKLM-Run-nwiz - nwiz.exe
HKLM-Run-ISW - c:\programme\CheckPoint\ZAForceField\ForceField.exe
MSConfigStartUp-Acronis Scheduler2 Service - c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
MSConfigStartUp-AcronisTimounterMonitor - c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
MSConfigStartUp-nwiz - nwiz.exe
MSConfigStartUp-TrueImageMonitor - c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
MSConfigStartUp-WinampAgent - l:\winamp\winampa.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-17 17:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SPIRun = Rundll32 SPIRun.dll,RunDLLEntry?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1645522239-606747145-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:a0,85,6c,89,4d,43,f2,9d,2f,aa,21,fd,ce,3d,33,a5,8c,2d,71,2c,f5,1f,01,
72,57,de,97,48,36,da,2f,b1,4d,b8,df,96,09,89,e7,26,87,c7,19,52,25,1a,f3,bd,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-1645522239-606747145-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:86,d2,98,56,f6,ce,7d,6f,67,c7,b1,d0,6c,da,59,a2,72,5e,36,b3,c8,
6b,c1,b4,84,f0,71,16,0f,0e,36,1e,f2,fe,e6,1b,eb,f7,ca,89,80,3c,a2,37,6a,aa,\
"rkeysecu"=hex:ed,f0,81,72,64,30,13,06,04,75,12,de,40,ba,9e,68
.
Zeit der Fertigstellung: 2010-09-17 17:29:54
ComboFix-quarantined-files.txt 2010-09-17 15:29

Vor Suchlauf: 13 Verzeichnis(se), 45.060.595.712 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 45.475.876.864 Bytes frei

- - End Of File - - 0A45E190E1780B9E429E19274399849D

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Edit: So, nachm restart kommt Msn wieder, versteh ich nicht, aber es geht

Mein kleines Pfeilproblem bekomm ich auch so geregelt, also is schonma nix passiert, was ich nich wollte ^^

Edit²: Also, wenn ich eine Datei in einen anderen Ordner ziehe, dann wird in dem Ordner ne Verknüpfung erstellt, vorher wurde aber gleich die ganze Datei verschoben, wie kann ich das einstellen ?

Edit³: Winamp kann nicht mehr über die MediaKeys direkt auf der Tastatur gesteuert werden( Stop, Play usw.), hatte ich vorher i-wie hinbekommen ist jetzt weg. War irgendein Plugin. [ Habs gefunden, geht trotzdem nicht, wie kann ich die ganzen Änderungen rückgängig machen ?]

Kirill · 17. September 2010

AW: Sygate meint: Application Hijacking

Zitat von Dot com: ↑

Hmm, hättest mir aber sagen können, dass Combofix sofort einen forced restart macht =|..

Also:

1. msnmsgr.exe gelöscht, brauch ne neue. Hab gegoogelt, aber nix gefunden.

2. Desktop-Verknüpfungspfeile sind wieder da ...

Das is mir gleichmal so aufgefallen, dann noch, dass ca die Hälfte der Autostart programme nicht gestartet wird z.b Avast, Sygate und kp was noch alles. Mach jetzt erstma n reboot, ob das alles wieder kommt.

Log:

Edit: So, nachm restart kommt Msn wieder, versteh ich nicht, aber es geht

Mein kleines Pfeilproblem bekomm ich auch so geregelt, also is schonma nix passiert, was ich nich wollte ^^

Edit²: Also, wenn ich eine Datei in einen anderen Ordner ziehe, dann wird in dem Ordner ne Verknüpfung erstellt, vorher wurde aber gleich die ganze Datei verschoben, wie kann ich das einstellen ?

Edit³: Winamp kann nicht mehr über die MediaKeys direkt auf der Tastatur gesteuert werden( Stop, Play usw.), hatte ich vorher i-wie hinbekommen ist jetzt weg. War irgendein Plugin. [ Habs gefunden, geht trotzdem nicht, wie kann ich die ganzen Änderungen rückgängig machen ?]

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

In den abgesicherten Modus gehen (beim booten F8 drücken) und danach Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung

Code:

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

Wird aber wohl nicht kappen.

Dot com · 18. September 2010

AW: Sygate meint: Application Hijacking

Naja doch hat geklappt und Pc sagt auch, dass der Pc zu dem Zeitpunkt wiederhergestellt wurde.

Aber in dem Wiederherstellungsprogramm stand, dass einige Ordner umbenannt wurden, um Dateien zu behalten ?(

Außerdem hab ich das Problem mit den Media Tasten weiterhin und das mit Dateien in den Ordner ziehen funnzt auch nicht.

Wie bekomm ich das wieder hin ?

Kirill · 18. September 2010

AW: Sygate meint: Application Hijacking

Also allgemein gesagt, Combofix löscht nicht einfach so wichtige Systemdateien, also warst du doch infiziert.

Wenn die Systemwiederherstellung nicht zu 100% geklappt hat, dann sollte das Wiederherstellen so nicht mehr möglich sein. Entweder man sucht jetzt den Fehler, der das verursacht oder ein neu aufsetzen des Rechners (was ich empfehlen würde, den alles andere wird wohl nicht mehr so 100% möglich sein).

Außerdem wie ich gerade gesehen habe, hast du Acronis drauf, hast du damit keine Backups gemacht?

Dot com · 20. September 2010

AW: Sygate meint: Application Hijacking

Hm, joadann lass ich ersma die Dinge so wie sie sind hab nämlich grad 0 Bock neu aufzusetzen.

Hab mit Acronix mal ganz am Anfang n Backup gemacht, is aber schon > 1 Jahr her ^^

Nützliche Suchen

Sygate meint: Application Hijacking

Videos zum Themenbereich