Log in or Sign up

Liebe Forumsgemeinde,

aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
Dies wird in den nächsten Tagen umgesetzt.

Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
Dismiss Notice

wauclt.exe auf vista löschen

Discussion in 'Sicherheit' started by MrIceSurprise, Feb 3, 2009.

Thread Status:: Not open for further replies.

Page 1 of 3

MrIceSurprise Byte

wie viel schon wahrscheinlich wissen wird per msn ein link verschickt, bei dem man einen virus auf seinen rechner bekommt
ich bin mal wieder so doof und hab den angenohmen

nun hab ich mein pc sofort ausgeschaltet, weil msn sich selbststänig gemacht hat und nach neuem start viren scan durchgeführt.

nun is kein virus gefunden, aber mein problem darin liegt, bei jeden start von vista erscheint die meldung "wauclt.exe (im system32) ausführen"? ich drück natürlich auf abbrechen

durch rumgoogeln hab ich herrausgefunden, das dies der virus ist
nun möcht ich diesen löschen und find keine genauere beschreibung für windows vista, nur für xp
und im explorer erscheint diese datei auch nicht zum löschen

kann mir da jemand helfen, sodass die meldung entfernt wird und die datei verschwindet?

UND ich möcht keine formatierung durchführen... das ist meine einzige forderung

vielen dank, wenn sich jemand melden würde

MrIceSurprise, Feb 3, 2009

#1
-humi- Joker

lasse dein system bitte mittels rsit scannen und poste das Log

lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log

-humi-, Feb 3, 2009

#2
MrIceSurprise Byte

also malwarebytes anti-malware läuft die ganze zeit schon, hat aba noch nix gefunden

irgendwie glaub ich auch, das der virus nicht wirklich aktiv ist, sonder einfach nur die datei da ist
sehr komisch irgendwie

MrIceSurprise, Feb 3, 2009

#3
-humi- Joker

isn Wurm

mach mal rsit.. dann sehn ma weiter

-humi-, Feb 3, 2009

#4
MrIceSurprise Byte

soll ich nicht erstmal malwarebytes.... zu ende laufen lassen?

MrIceSurprise, Feb 3, 2009

#5
-humi- Joker

doch.............

-humi-, Feb 3, 2009

#6

MrIceSurprise Byte

wow

also erst hat er ja nix gefunden, aber bei diesem extra scan kamen dann mehr als 60 dateien zum vorschein
alle löschen?

HTML:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1718
Windows 6.0.6001 Service Pack 1

03.02.2009 17:15:50
mbam-log-2009-02-03 (17-15-28).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 208590
Laufzeit: 1 hour(s), 12 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 63

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Default\Application Data\Google\kjzna1562565.exe (Trojan.FakeAlert) -> No action taken.
C:\Users\Default\Application Data\Google\spcffwl.dll (Trojan.FakeAlert) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\Windows\pguard.ini (Rogue.InternetAntivirus) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\Windows\pg32.exe (Rogue.InternetAntivirus) -> No action taken.
C:\Users\Default\Local Settings\Application Data\anesuzenyp.bin (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\igyzih._sy (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\naciveg.reg (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\ubuqicuho.bin (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\zokawi.lib (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\comrepl.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\Internet Explorer\iv.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\Internet Explorer\procgdsj32.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\sessmgr.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\spoolsv.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Cookies\MM2048.DAT (Trojan.Agent) -> No action taken.
C:\Users\Default\Cookies\MM256.DAT (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\TempImages\IIEPRS.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\TempImages\IIEPR.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\alg.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\My Documents\My Secret.fold (Backdoor.Bot) -> No action taken.
C:\Users\Default\My Documents\My Music\New Song.lagu (Backdoor.Bot) -> No action taken.
C:\Users\Default\My Documents\My Music\Video.vidz (Backdoor.Bot) -> No action taken.
C:\Users\Default\My Documents\My Pictures\aweks.pikz (Backdoor.Bot) -> No action taken.
C:\Users\Default\My Documents\My Pictures\seram.pikz (Backdoor.Bot) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\Windows\sav.exe (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Apps\2.0\srw94.exe (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Cookies\bumo.reg (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Cookies\jababug.inf (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\ycuc.lib (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\bokefa.bat (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\sytetuf.sys (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\vege.ban (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\xyzunore.dl (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\zyfotydyjo.exe (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Temporary Internet Files\etokosyb.scr (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\sec3.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\anok.bat (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\ewabutovah.dl (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\fibaw.ban (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\ybikohe.vbs (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Cookies\uwux.exe (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Cookies\jiceji._sy (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Cookies\esycire._dl (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\xacsceib.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\cftmon.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Windowsupdate.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\Local Settings\Application Data\spool.exe (Trojan.Agent) -> No action taken.
C:\Users\Default\My Documents\My Music\My Music.url (Trojan.Zlob) -> No action taken.
C:\Users\Default\My Documents\My Pictures\My Pictures.url (Trojan.Zlob) -> No action taken.
C:\Users\Default\My Documents\My Videos\My Video.url (Trojan.Zlob) -> No action taken.
C:\Users\Default\My Documents\My Documents.url (Trojan.Zlob) -> No action taken.
C:\Users\Default\my documents\work9\bhobj\bhobj.dll (Adware.WebDir) -> No action taken.
C:\Users\Default\Local Settings\Application Data\igutymyko.ban (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Application Data\ymuxag.com (Fake.Dropped.Malware) -> No action taken.
C:\Windows\System32\fsvk.exe.exe (Worm.Zhelatin) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\Windows\services.exe (Trojan.FakeAlert) -> No action taken.
C:\Users\Default\Local Settings\Tempmbroit.exe (Trojan.FakeAlert) -> No action taken.
C:\Users\Default\Cookies\syssp.exe (Fake.Dropped.Malware) -> No action taken.
C:\Users\Default\Local Settings\Temp\_check32.bat (Malware.Trace) -> No action taken.
C:\Users\Default\Application Data\install.exe (Rogue.SpyProtector) -> No action taken.
C:\Users\Default\Application Data\shellex.dll (Rogue.SpyProtector) -> No action taken.
C:\Users\Default\Application Data\srcss.exe (Rogue.SpyProtector) -> No action taken.
C:\Users\Default\Local Settings\Application Data\Microsoft\Windows\procgdwh32.exe (Rogue.InternetAntivirus) -> No action taken.

MrIceSurprise, Feb 3, 2009

#7

deoroller Wandelndes Forum

Alle löschen. Zusätzlich kannst du mal alle Temporären Dateien löschen.
CCleaner (Portable- kein Installer) http://www.wintotal.de/Software/index.php?id=2185
Anleitung:http://virus-protect.org/ccleaner.html
RSIT auf jeden Fall ausführen und die Logdateien im Anhang hoch laden.

deoroller, Feb 3, 2009

#8

MrIceSurprise Byte

und jetzt das rsit
hoffe das is doch richtig so

HTML:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Mr. Ice Surprise at 2009-02-03 17:24:51
Microsoft® Windows Vista Home Premium  Service Pack 1
System drive C: has 105 GB (34%) free of 305 GB
Total RAM: 3326 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:25:18, on 03.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Rockstar Games\Rockstar Games Social Club\1_1_3_0\RGSC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Mr. Ice Surprise\Downloads\RSIT.exe
C:\Program Files\trend micro\Mr. Ice Surprise.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Services Manager] wauclt.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: STI Simulator - Unknown owner - C:\Windows\System32\PAStiSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 7219 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job
C:\Windows\tasks\User_Feed_Synchronization-{32D0FC31-E33B-43A4-B388-9F08EA1A33BF}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2008-12-12 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2008-12-12 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
SweetIM Toolbar Helper - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll [2008-10-08 1172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EEE6C35B-6118-11DC-9C72-001320C79847} - SweetIM Toolbar for Internet Explorer - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll [2008-10-08 1172792]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-05-28 6144000]
"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"NBKeyScan"=C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [2008-06-08 2221352]
"SweetIM"=C:\Program Files\SweetIM\Messenger\SweetIM.exe [2008-11-17 111928]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-11-12 13675040]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-11-12 92704]
"Services Manager"=C:\Windows\system32\wauclt.exe [2009-02-02 925696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe [2008-06-24 1840424]
"Steam"=C:\Program Files\Steam\Steam.exe [2008-10-08 1410296]
"RGSC"=C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe [2008-12-13 306088]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-07-23 135680]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]
"msnmsgr"=~C:\Program Files\Windows Live\Messenger\msnmsgr.exe /background []

C:\Users\Mr. Ice Surprise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20c53338-8982-11dd-ae6b-00508dbd00cd}]
shell\AutoRun\command - I:\Autorun.exe


======List of files/folders created in the last 1 months======

2009-02-03 17:24:51 ----D---- C:\rsit
2009-02-03 17:24:51 ----D---- C:\Program Files\trend micro
2009-02-03 16:02:26 ----A---- C:\Windows\ntbtlog.txt
2009-02-03 16:01:04 ----D---- C:\Users\Mr. Ice Surprise\AppData\Roaming\Malwarebytes
2009-02-03 16:00:59 ----D---- C:\ProgramData\Malwarebytes
2009-02-03 16:00:59 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-02-02 21:13:44 ----D---- C:\Program Files\Clean Virus MSN
2009-02-02 20:44:54 ----RSH---- C:\Windows\system32\wauclt.exe
2009-02-02 20:44:53 ----AD---- C:\ProgramData\TEMP
2009-01-22 22:58:11 ----A---- C:\Windows\system32\uxtuneup.dll
2009-01-22 22:45:19 ----HD---- C:\Windows\Icons
2009-01-14 23:29:40 ----A---- C:\Windows\system32\TuneUpDefragService.exe
2009-01-07 20:28:37 ----D---- C:\Program Files\Eidos

======List of files/folders modified in the last 1 months======

2009-02-03 17:25:03 ----D---- C:\Windows\Prefetch
2009-02-03 17:24:55 ----D---- C:\Windows\Temp
2009-02-03 17:24:51 ----D---- C:\Program Files
2009-02-03 17:23:05 ----D---- C:\Program Files\Mozilla Firefox
2009-02-03 17:23:00 ----D---- C:\Program Files\Steam
2009-02-03 17:22:22 ----D---- C:\Windows\system32\drivers
2009-02-03 17:20:29 ----D---- C:\Windows\System32
2009-02-03 16:02:26 ----D---- C:\Windows
2009-02-03 16:00:59 ----D---- C:\ProgramData
2009-02-03 15:58:48 ----SHD---- C:\System Volume Information
2009-02-03 15:51:56 ----D---- C:\Windows\inf
2009-02-03 15:51:56 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-02-02 18:36:14 ----A---- C:\Windows\NeroDigital.ini
2009-01-28 21:17:08 ----SHD---- C:\Windows\Installer
2009-01-28 21:17:06 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
2009-01-28 21:16:38 ----D---- C:\Program Files\AGEIA Technologies
2009-01-28 21:16:22 ----D---- C:\Windows\system32\catroot2
2009-01-28 18:09:01 ----D---- C:\Program Files\EA GAMES
2009-01-28 18:08:52 ----RSD---- C:\Windows\assembly
2009-01-22 22:34:48 ----D---- C:\Windows\system32\de-DE
2009-01-22 22:23:18 ----D---- C:\Windows\Tasks
2009-01-22 22:23:18 ----D---- C:\Windows\system32\Tasks
2009-01-18 10:39:25 ----D---- C:\Windows\system32\Adobe
2009-01-16 20:03:34 ----D---- C:\Program Files\Common Files\Steam
2009-01-15 16:43:17 ----A---- C:\Windows\system32\PnkBstrB.exe
2009-01-15 16:29:57 ----D---- C:\Windows\winsxs
2009-01-14 23:33:04 ----D---- C:\Windows\system32\catroot
2009-01-14 23:33:00 ----D---- C:\Program Files\Windows Mail
2009-01-14 23:32:53 ----D---- C:\ProgramData\Microsoft Help
2009-01-10 02:35:28 ----A---- C:\Windows\system32\mrt.exe
2009-01-07 16:24:23 ----SD---- C:\Users\Mr. Ice Surprise\AppData\Roaming\Microsoft
2009-01-07 16:19:38 ----D---- C:\ProgramData\Media Center Programs
2009-01-07 15:49:41 ----D---- C:\Program Files\Common Files\microsoft shared
2009-01-07 01:26:41 ----D---- C:\Program Files\Ubisoft
2009-01-04 12:56:20 ----D---- C:\Program Files\WinRAR
2009-01-04 12:51:07 ----D---- C:\ProgramData\Microsoft

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [2007-02-27 11840]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2008-11-13 75072]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R2 RMCAST;RMCAST (Pgm)-Protokolltreiber; C:\Windows\system32\DRIVERS\RMCAST.sys [2008-07-23 113664]
R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2008-05-20 52032]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-06-02 2147544]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-11-12 7611360]
R3 SPC610NC;Philips SPC500NC Webcam; C:\Windows\system32\DRIVERS\SPC610NC.SYS [2005-10-13 156800]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
R3 yukonwlh;NDIS6.0 Miniporttreiber für Marvell Yukon-Ethernet-Controller; C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-02 194048]
S3 a7txybbn;a7txybbn; C:\Windows\system32\drivers\a7txybbn.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 ialm;ialm; C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-10-19 1380864]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 RTL8169;Realtek 8169-NT-Treiber; C:\Windows\system32\DRIVERS\Rtlh86.sys [2006-11-02 44544]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-30 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-30 151297]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-08-29 238888]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2008-06-08 877864]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-11-12 207392]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2008-11-21 66872]
R2 STI Simulator;STI Simulator; C:\Windows\System32\PAStiSvc.exe [2005-01-14 53248]
R2 TuneUp.ProgramStatisticsSvc;@%SystemRoot%\System32\TUProgSt.exe,-1; C:\Windows\System32\TUProgSt.exe [2009-01-03 603904]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-21 21504]
R3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2008-06-24 537896]
R3 Steam Client Service;Steam Client Service; C:\Program Files\Common Files\Steam\SteamService.exe [2009-01-16 316664]
R3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-01-21 33800]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2008-11-20 536872]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2009-01-14 360192]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

MrIceSurprise, Feb 3, 2009

#9

MrIceSurprise Byte

hab tuneup utilities drauf, und hab da auch schon temporäre dateien gelöscht
findet man ja so alle einzelstücke im i-net, aber leider nicht alles

MrIceSurprise, Feb 3, 2009

#10
MrIceSurprise Byte

achso, nach dem malewarebyte... programm hatte ich nen neustart machen müssen und das problem war immer noch da
also ob wauclt.exe ausgeführt werden soll

MrIceSurprise, Feb 3, 2009

#11
deoroller Wandelndes Forum

Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://www2.tu-berlin.de/www/software/virus/savemode.shtml
Mit HIjackThis fixen:
O4 - HKLM\..\Run: [Services Manager] wauclt.exe
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

deoroller, Feb 3, 2009

#12
MrIceSurprise Byte

muss ich dieses HIjackThis nochmal runterladen, den eigentlich stand da, dass rsit es runterläd, aber ich find nix

MrIceSurprise, Feb 3, 2009

#13
MrIceSurprise Byte

und kannst mir dieses fixen mal genaurer erklären, komm mit der seite da nicht klar, die bilder sind ja auch weg.....

MrIceSurprise, Feb 3, 2009

#14
-humi- Joker
lade dir HJT

anschliessend
Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen

Code:

das von Deo genannte

Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\
-humi-, Feb 3, 2009

#15
MrIceSurprise Byte

dit hab ick jetzt shcon gefunden, wenn man das programm einfach kurz laufen lässt

aber die systemwiederherstellung ausschalten... wo find ich das bei vista?

und nach dem prozess wieder aktivieren?

MrIceSurprise, Feb 3, 2009

#16
-humi- Joker

etwas mehr eigeninitiative bitte:
http://www.google.at/search?hl=de&q...ng+deaktivieren+vista&btnG=Google-Suche&meta=

-humi-, Feb 3, 2009

#17
MrIceSurprise Byte

habs jetzt gefunden...

MrIceSurprise, Feb 3, 2009

#18
MrIceSurprise Byte

fertig
man, bekommt man ja richtig angst im abgesichertem modus, "hoffentlich geht nix kaputt"

hat das hijackthis noch einen weiteren zweck, dass ich das zum späteren gebrauch vllt nochmal benutzen muss, oda kann ich das erstmal wider runterhaun?

aber das Malwarebytes' Anti-Malware lass ich drauf, entfernt schön viele trojaner, die mein antivir nicht mitbekommt -.-
eine frage dazu noch -> in der quarantäne befindet sich ein Worm.Zhelatin
kann ich den einfach so übers programm löschen, oder muss der da im gefängnis bleiben?

herzlichen dank schonmal für euch beiden

MrIceSurprise, Feb 3, 2009

#19
deoroller Wandelndes Forum

Hijackthis hilft nicht nur bei Malware, sondern man mit ihm nach einer neuen Installation einer Software feststelllen, ob neue Autostarteinträge hinzugekommen sind und diese dann wieder entfernen, wenn sie nicht nötig sind.

deoroller, Feb 3, 2009

#20

(You must log in or sign up to reply here.)

Page 1 of 3

Thread Status:: Not open for further replies.

Share This Page