Virus Alert! in der Startleiste

#1 Hei Leute,
ich habe keine ahnung von so Virenzeug bin auch nich so der Computer profi!

auf jedenfall habe ich 3 icons auf dem Desktop die sich zwar löschen lassen beim nächsten systemstart aber wieder da sind!!!

dauernd öffnen sich system alert pop ups und der IE öffnet sich auch von selbst und führt dann zu irgendeiner angeblichen Virensoftware.

Bitte helft mir ich brauche meinen PC am wochenende ganz dringen und zwar ohne Virus!!!

Danke im Voraus!

Lg Kevin
__________
Social Impact
Hardrock the way it should be

#2 Hallo, matt_tuckk

wende Combofix an , klicke die Warnmeldung weg - dann wird Combofix ein Weilchen scannen - warte ab - dann wird der Rechner neustarten.
Dann erscheint ein Log - kopiere es mit der Maus ab und hier ein
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 OK hab ich gemacht des is raus gekommen!
und jetzt???



ComboFix 08-10-12.01 - Kev 2008-10-13 22:57:50.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Kev\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Kev\Favoriten\Videos.url
C:\WINDOWS\emsf.exe
C:\WINDOWS\Fonts\'
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\cKUwHRqr.ini
C:\WINDOWS\system32\cKUwHRqr.ini2
C:\WINDOWS\system32\dkcntuxu.dll
C:\WINDOWS\system32\efcBtqoO.dll
C:\WINDOWS\system32\fccbcbXR.dll
C:\WINDOWS\system32\fyshfahr.ini
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\kbygwymm.dll
C:\WINDOWS\system32\khfGARLC.dll
C:\WINDOWS\system32\kowabqty.dll
C:\WINDOWS\system32\lbfedohk.dll
C:\WINDOWS\system32\mmywgybk.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\nnnoNEtT.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\rbydpe.dll
C:\WINDOWS\system32\rqRHwUKc.dll
C:\WINDOWS\system32\tspmfdiq.dll
C:\WINDOWS\system32\urqNFyYp.dll
C:\WINDOWS\system32\uxutnckd.ini
C:\WINDOWS\system32\vtUkkjhi.dll
C:\WINDOWS\system32\zxtsls.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-13 22:10 . 2008-10-13 22:10 128 --a------ C:\Dokumente und Einstellungen\Kev\index.exe
2008-10-13 21:58 . 2008-10-13 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mdahybsh
2008-10-13 21:56 . 2008-10-13 19:50 344,064 --a------ C:\WINDOWS\grfxbanoros.dll
2008-10-13 21:56 . 2008-10-13 19:50 266,240 --a------ C:\WINDOWS\qrbgltos.dll
2008-10-13 21:56 . 2008-10-13 19:50 266,240 --a------ C:\WINDOWS\ngwstxfd.dll
2008-10-13 21:56 . 2008-10-13 19:50 217,088 --a------ C:\WINDOWS\rosqxvmn.dll
2008-10-13 21:56 . 2008-10-13 19:50 94,208 --a------ C:\WINDOWS\lomxeqsn.exe
2008-10-12 23:17 . 2008-10-12 23:17 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2008-10-12 23:09 . 2008-10-12 23:09 107,008 --a------ C:\ctfmon.exe
2008-10-12 23:09 . 2008-10-12 23:09 355 --a------ C:\525.bat
2008-10-12 23:08 . 2008-10-12 23:08 <DIR> d-------- C:\WINDOWS\system32\EV02
2008-10-12 23:08 . 2008-10-12 23:08 <DIR> d-------- C:\Temp\xp34
2008-10-12 23:08 . 2008-10-12 23:08 <DIR> d-------- C:\Temp
2008-10-12 22:27 . 2008-10-13 12:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-12 22:27 . 2008-10-12 22:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-11 12:14 . 2008-10-11 12:14 <DIR> d-------- C:\Programme\Direct Audio Converter & CD Ripper
2008-10-11 12:13 . 2008-10-12 23:15 34 --a------ C:\WINDOWS\cdplayer.ini
2008-10-10 22:39 . 2008-10-10 22:39 161,272 --a------ C:\WINDOWS\Expstudio Audio Editor FREE Uninstaller.exe
2008-10-10 22:38 . 2008-10-10 22:38 <DIR> d-------- C:\WINDOWS\system32\EXP
2008-10-10 22:38 . 2008-10-10 22:38 <DIR> d-------- C:\Programme\Expstudio
2008-10-10 07:04 . 2008-10-10 07:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Bcgsoft
2008-10-09 22:57 . 2008-10-09 22:57 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\map&guide
2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\WINDOWS\Globalization
2008-10-09 22:53 . 2008-10-09 22:53 <DIR> d-------- C:\Programme\map&guide
2008-10-09 22:53 . 2008-10-09 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\map&guide
2008-10-07 18:05 . 2008-10-07 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\apm
2008-10-07 16:49 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-10-07 16:49 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-10-07 16:46 . 2008-10-13 23:05 1,685,536 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-07 16:46 . 2008-10-13 23:05 8,564 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-07 16:45 . 2008-04-14 00:15 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-10-07 16:12 . 2008-10-13 21:58 <DIR> d-------- C:\Programme\Google
2008-10-07 16:08 . 2008-10-07 16:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-10-07 14:39 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-10-07 14:39 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-10-07 14:39 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-10-07 14:39 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-10-07 14:39 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-10-07 14:39 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-10-07 14:35 . 2008-07-09 09:05 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-10-07 14:34 . 2008-10-07 14:39 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-10-07 14:34 . 2008-10-13 23:06 358,382 --a------ C:\WINDOWS\system32\vsconfig.xml
2008-10-06 23:04 . 2008-10-07 21:26 <DIR> d-------- C:\Programme\Rockstar Games
2008-10-06 23:01 . 2008-07-18 22:10 45,768 --a------ C:\WINDOWS\system32\wups2.dll
2008-10-06 23:01 . 2008-07-18 22:10 33,992 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-10-06 23:01 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-10-06 23:01 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-10-06 23:01 . 2008-07-18 22:08 21,192 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-10-06 23:00 . 2008-10-06 23:00 <DIR> d---s---- C:\Dokumente und Einstellungen\Kev\UserData
2008-10-06 22:52 . 2008-10-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-10-06 22:51 . 2008-10-06 22:51 <DIR> d-------- C:\Programme\SlySoft
2008-10-06 22:51 . 2008-10-06 22:52 24 ---hs---- C:\WINDOWS\S86F6F278.tmp
2008-10-06 21:06 . 2008-10-06 21:06 <DIR> dr------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Brother
2008-10-05 12:39 . 2008-10-05 12:39 <DIR> d-------- C:\Programme\directx
2008-10-05 11:43 . 2008-10-05 11:43 <DIR> d-------- C:\Programme\EA GAMES
2008-09-29 22:06 . 2008-09-29 22:06 <DIR> d-------- C:\Programme\Zone Labs
2008-09-29 14:33 . 2008-09-29 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-29 14:33 . 2008-10-07 15:54 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-09-29 14:30 . 2008-10-13 23:13 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-09-27 18:52 . 2008-06-24 13:45 1,414,440 --a------ C:\WINDOWS\system32\ShellManager310E2D762.dll
2008-09-27 18:52 . 2008-06-23 17:36 773,120 --a------ C:\WINDOWS\system32\NEROINSTAEC43759.DB
2008-09-27 18:51 . 2008-09-27 18:51 0 --a------ C:\WINDOWS\Irremote.ini
2008-09-27 17:01 . 2008-09-27 17:01 <DIR> d-------- C:\Programme\NCH Swift Sound
2008-09-27 17:01 . 2008-09-27 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-09-26 16:40 . 2008-09-26 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software
2008-09-23 23:13 . 2008-09-23 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-22 23:09 . 2008-09-24 14:00 210 --a------ C:\WINDOWS\MusicStudio.INI
2008-09-22 23:03 . 2008-09-27 18:42 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-09-22 23:03 . 2008-09-27 18:42 <DIR> d-------- C:\Programme\MAGIX
2008-09-22 23:03 . 2008-09-27 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-09-22 23:03 . 2007-12-04 14:20 700,416 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-09-22 23:03 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-09-22 23:03 . 2008-09-24 13:58 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-09-22 22:58 . 2008-09-22 22:58 <DIR> d-------- C:\Programme\Mp3tag
2008-09-22 22:58 . 2008-09-22 23:02 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Mp3tag
2008-09-22 22:53 . 2008-09-22 22:53 <DIR> d-------- C:\Programme\Illustrate
2008-09-22 22:53 . 2008-09-22 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\AccurateRip
2008-09-22 22:53 . 2008-09-22 22:53 4,230,520 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
2008-09-22 22:11 . 2008-09-22 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\vlc
2008-09-22 22:09 . 2008-09-22 22:09 <DIR> d-------- C:\Programme\VideoLAN
2008-09-22 21:58 . 2008-09-22 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\putzi4win
2008-09-22 21:56 . 2008-09-22 21:56 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F481FC18-57D5-4479-B2FB-083BFF223F8F}
2008-09-22 21:53 . 2008-09-22 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-22 18:26 . 2008-09-30 22:21 <DIR> d-------- C:\Programme\Guitar Pro 5
2008-09-20 19:56 . 2008-04-14 07:52 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-09-20 19:56 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-09-20 19:56 . 2008-04-14 00:15 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-09-20 19:56 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-09-20 19:45 . 2008-09-20 20:12 <DIR> d-------- C:\Programme\ScreenshotCaptor
2008-09-20 19:45 . 2008-09-20 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\DonationCoder
2008-09-20 19:45 . 2008-09-20 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DonationCoder
2008-09-20 19:45 . 2008-09-20 19:45 58 --a------ C:\WINDOWS\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2008-09-18 23:38 . 2008-09-18 23:38 <DIR> d-------- C:\WINDOWS\Sun
2008-09-17 16:35 . 2008-04-14 00:15 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-09-17 16:35 . 2008-04-14 00:15 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-09-15 20:49 . 2008-09-15 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Teleca
2008-09-15 20:48 . 2008-09-15 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2008-09-15 20:47 . 2008-09-15 20:47 <DIR> d-------- C:\Programme\Sony Ericsson
2008-09-15 20:47 . 2008-09-15 20:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-09-15 20:47 . 2008-09-15 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-09-15 20:47 . 2008-09-15 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-09-15 20:42 . 2008-09-15 20:42 94,064 --a------ C:\WINDOWS\system32\drivers\w810mdm.sys
2008-09-15 20:42 . 2008-09-15 20:42 8,336 --a------ C:\WINDOWS\system32\drivers\w810mdfl.sys
2008-09-15 20:42 . 2008-09-15 20:42 6,176 --a------ C:\WINDOWS\system32\drivers\w810cmnt.sys
2008-09-15 20:42 . 2008-09-15 20:42 6,176 --a------ C:\WINDOWS\system32\drivers\w810cm.sys
2008-09-15 20:25 . 2008-09-15 20:25 <DIR> d-------- C:\Programme\Disc2Phone
2008-09-15 20:22 . 2006-02-20 18:59 58,288 -ra------ C:\WINDOWS\system32\drivers\w810bus.sys
2008-09-15 20:22 . 2006-02-20 18:59 5,808 -ra------ C:\WINDOWS\system32\drivers\w810whnt.sys
2008-09-15 20:22 . 2006-02-20 18:59 5,808 -ra------ C:\WINDOWS\system32\drivers\w810wh.sys
2008-09-15 20:19 . 2008-09-27 17:05 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-15 13:50 . 2008-08-06 15:27 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-09-15 13:50 . 2008-08-06 15:29 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-09-15 13:49 . 2008-09-15 13:50 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-09-13 12:10 . 2008-09-22 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ICQ
2008-09-13 12:09 . 2008-09-23 17:32 <DIR> d-------- C:\Programme\ICQ6

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 20:53 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\LimeWire
2008-10-13 14:48 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-11 11:02 --------- d-----w C:\Programme\NOS
2008-10-11 11:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-09 21:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-08 12:29 216,064 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-10-04 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2008-09-27 17:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-09-27 17:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-09-26 15:11 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ZoomBrowser EX
2008-09-20 18:30 17,928 ----a-w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-15 18:31 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Apple Computer
2008-09-11 14:52 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\CDZilla
2008-09-11 14:49 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Steinberg
2008-09-11 14:45 --------- d-----w C:\Programme\Steinberg
2008-09-11 14:32 --------- d-----w C:\Programme\Canon
2008-09-11 14:22 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Canon
2008-09-11 14:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Canon
2008-09-11 09:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-10 12:31 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Nero
2008-09-10 12:18 --------- d-----w C:\Programme\Nero
2008-09-09 22:16 639,224 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-09-09 22:11 --------- d-----w C:\Programme\abylonsoft
2008-09-09 22:05 --------- d-----w C:\Programme\Pro Imaging Powertoys
2008-09-09 22:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Nikon
2008-09-09 21:52 --------- d-----w C:\Programme\easyHDR BASIC
2008-09-09 21:49 53,812 ----a-w C:\WINDOWS\uninst-vj.exe
2008-09-09 21:39 --------- d-----w C:\Programme\ClearSkin
2008-09-09 21:26 --------- d-----w C:\Programme\BitComet
2008-09-07 19:28 --------- d-----w C:\Programme\Creative
2008-09-06 14:46 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ScanSoft
2008-09-06 14:45 --------- d-----w C:\Programme\Brother
2008-09-06 14:44 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-06 14:44 --------- d-----w C:\Programme\Common Files
2008-09-06 14:38 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-09-06 14:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-09-06 14:37 --------- d-----w C:\Programme\ScanSoft
2008-09-06 14:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
2008-09-05 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-05 16:40 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Comodo
2008-09-05 16:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2008-09-05 14:39 --------- d-----w C:\Programme\Microsoft SQL Server
2008-09-05 14:29 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-09-05 14:25 --------- d-----w C:\Programme\Microsoft Synchronization Services
2008-09-05 14:25 --------- d-----w C:\Programme\Microsoft SQL Server Compact Edition
2008-09-05 14:19 --------- d-----w C:\Programme\Microsoft.NET
2008-09-05 14:18 --------- d-----w C:\Programme\Microsoft SDKs
2008-09-05 14:11 --------- d-----w C:\Programme\Reference Assemblies
2008-09-05 14:11 --------- d-----w C:\Programme\MSBuild
2008-09-05 13:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-09-05 13:45 --------- d-----w C:\Programme\LilyPond
2008-09-05 13:37 --------- d-----w C:\Programme\aTunes
2008-09-05 13:28 --------- d-----w C:\Programme\xp-Iso-Builder
2008-09-05 13:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-09-05 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-09-04 23:25 --------- d-----w C:\Programme\Java
2008-09-04 23:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-09-04 23:22 --------- d-----w C:\Programme\LimeWire
2008-09-04 23:19 --------- d-----w C:\Programme\Kaspersky Lab
2008-09-04 23:18 --------- d-----w C:\Programme\CCleaner
2008-09-04 23:14 --------- d-----w C:\Programme\Trend Micro
2008-09-04 17:30 --------- d-----w C:\Programme\Windows Media Connect 2
2008-09-04 17:26 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Thunderbird
2008-09-04 10:55 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ATI
2008-09-03 18:53 --------- d-----w C:\Programme\QuickTime
2008-09-03 18:53 --------- d-----w C:\Programme\iTunes
2008-09-03 18:53 --------- d-----w C:\Programme\iPod
2008-09-03 18:53 --------- d-----w C:\Programme\Bonjour
2008-09-03 18:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-03 18:52 --------- d-----w C:\Programme\Apple Software Update
2008-09-03 18:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-03 18:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-03 18:47 --------- d-----w C:\Programme\NASA
2008-09-03 18:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Zeepe Framework 7
2008-09-03 18:38 --------- d-----w C:\Programme\Dell
2008-09-03 18:38 --------- d-----w C:\Programme\Broadcom
2008-09-03 18:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Novatel Wireless
2008-09-03 18:37 --------- d-----w C:\Programme\DIFX
2008-09-03 18:35 --------- d-----w C:\Programme\ATI Technologies
2008-09-03 18:32 --------- d-----w C:\Programme\Synaptics
2008-09-03 18:32 --------- d-----w C:\Programme\SigmaTel
2008-09-03 18:31 --------- d-----w C:\Programme\CONEXANT
2008-09-03 18:30 --------- d-----w C:\Programme\Intel
2008-09-03 18:28 --------- d-----w C:\Programme\Roxio
2008-09-03 17:51 --------- d-----w C:\Programme\microsoft frontpage
2008-09-03 17:49 --------- d-----w C:\Programme\Online-Dienste
2008-09-03 17:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-08-10 22:08 978,396 ----a-w C:\Programme\BDAXP.cab
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E7E4053B-FD23-448B-842F-793DD49AA53C}]
2008-10-13 19:50 344064 --a------ C:\WINDOWS\grfxbanoros.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E01D0ACE-25AC-4353-87EF-6CB2B368E3C7}"= "C:\WINDOWS\rosqxvmn.dll" [2008-10-13 217088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SigmatelSysTrayApp"="C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
"NoDispCPL"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoStartMenuMorePrograms"= 1 (0x1)
"NoSetFolders"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qrbgltos"= {47A57283-9B3B-4CF0-85CF-C2FA70C868BF} - C:\WINDOWS\qrbgltos.dll [2008-10-13 266240]
"ngwstxfd"= {E676F69F-64E8-415E-84C3-546624D38F73} - C:\WINDOWS\ngwstxfd.dll [2008-10-13 266240]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=rbydpe.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=C:\WINDOWS\pss\Status Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kev^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Kev\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--a------ 2004-07-20 09:34 851968 C:\Programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
--a------ 2005-11-07 05:20 122940 C:\WINDOWS\system32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2004-03-09 16:15 40960 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2004-03-09 15:54 57393 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--a------ 2004-05-25 09:16 49152 C:\Programme\Brother\Brmfl04a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 10:22 155648 C:\Programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"idsvc"=3 (0x3)
"Brother XP spl Service"=2 (0x2)
"brmfrmps"=2 (0x2)
"PLFlash DeviceIoControl Service"=2 (0x2)
"Nero BackItUp Scheduler 3"=2 (0x2)
"getPlus(R) Helper"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9306:TCP"= 9306:TCP:BitComet 9306 TCP
"9306:UDP"= 9306:UDP:BitComet 9306 UDP

R3 NWADI;NWADI Bus Enumerator;C:\WINDOWS\system32\DRIVERS\NWADIenum.sys [2006-08-09 156288]
S3 efipsk;efipsk;C:\DOKUME~1\Kev\LOKALE~1\Temp\efipsk.sys [ ]
S3 getPlus(R) Helper;getPlus(R) Helper;C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]
.
Inhalt des "geplante Tasks" Ordners

2008-10-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{145FF02C-1308-4899-9B47-F47B58B70E1c} - C:\WINDOWS\system32\tspmfdiq.dll
BHO-{25F5A921-4B7F-4BF4-BA9A-C52E022F63F9} - C:\WINDOWS\system32\urqNFyYp.dll
BHO-{9319E369-9D58-4124-8E5B-CD967699AC62} - C:\WINDOWS\system32\rqRHwUKc.dll
BHO-{dd492953-f77b-4e52-bbd0-c9a406e4cdc6} - C:\WINDOWS\system32\rbydpe.dll
HKLM-Run-NBKeyScan - C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKLM-Run-0c07a911 - C:\WINDOWS\system32\kbygwymm.dll
ShellExecuteHooks-{25F5A921-4B7F-4BF4-BA9A-C52E022F63F9} - C:\WINDOWS\system32\urqNFyYp.dll
MSConfigStartUp-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
MSConfigStartUp-NBKeyScan - C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
MSConfigStartUp-NeroFilterCheck - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Mozilla\Firefox\Profiles\r8z5repw.default\
FF -: plugin - C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Mozilla\Firefox\Profiles\r8z5repw.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 23:12:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\obvious]
"ImagePath"="system32\DRIVERS\obvious.sys"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 23:16:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-13 21:16:24

Vor Suchlauf: 12 Verzeichnis(se), 35.762.479.104 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 38,125,826,048 Bytes frei

391
__________
Social Impact
Hardrock the way it should be

#4 >>
Lasse folgende Dateien bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\lomxeqsn.exe
C:\Dokumente und Einstellungen\Kev\index.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
wende bitte RSIT an + poste die zwei Logs
http://virus-protect.org/artikel/tools/random.html

Gruss Swiss

#5 Ok also des is ergebnis von

C:\WINDOWS\system32\vbzip10.dll :

Datei vbzip10.dll empfangen 2008.10.14 06:51:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.14.0 2008.10.13 -
AntiVir 7.8.1.34 2008.10.13 -
Authentium 5.1.0.4 2008.10.14 -
Avast 4.8.1248.0 2008.10.14 -
AVG 8.0.0.161 2008.10.14 -
BitDefender 7.2 2008.10.14 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.14 -
DrWeb 4.44.0.09170 2008.10.14 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6146 2008.10.13 -
Ewido 4.0 2008.10.13 -
F-Prot 4.4.4.56 2008.10.12 -
F-Secure 8.0.14332.0 2008.10.14 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.14 -
Ikarus T3.1.1.34.0 2008.10.14 -
K7AntiVirus 7.10.492 2008.10.13 -
Kaspersky 7.0.0.125 2008.10.14 -
McAfee 5404 2008.10.14 -
Microsoft 1.4005 2008.10.14 -
NOD32 3519 2008.10.14 -
Norman 5.80.02 2008.10.13 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.13 -
Prevx1 V2 2008.10.14 -
Rising 20.66.10.00 2008.10.14 -
SecureWeb-Gateway 6.7.6 2008.10.14 -
Sophos 4.34.0 2008.10.14 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.14 -
TheHacker 6.3.1.0.110 2008.10.14 -
TrendMicro 8.700.0.1004 2008.10.14 -
VBA32 3.12.8.6 2008.10.13 -
ViRobot 2008.10.14.1418 2008.10.14 -
VirusBuster 4.5.11.0 2008.10.13 -
weitere Informationen
File size: 147456 bytes
MD5...: 5b25690cc2e55a6d4bc965068a7ba1ef
SHA1..: 58a5f2613df475b69e60b691215d5c60462cedb3
SHA256: cbe2e53f8602fe9b24583f366edf0f29f888efaef6ca9c03ed7c89b2c2bce263
SHA512: e86e87e3b7b819be5ccb68c1b1fa9b01b4ac007451f73eb66f7b98a512514a95
57a250b9a73e258eed751e0c9bec11335ffe0d604a45e7112f189cf9e48e8e7d
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000f08d
timedatestamp.....: 0x385000d4 (Thu Dec 09 19:19:48 1999)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17bc6 0x18000 6.73 527ccf320593249f45c2f7acfcb48c6e
.rdata 0x19000 0x1db9 0x2000 5.77 779fea4b52ea6bf50843d0bdc9029fa1
.data 0x1b000 0x51f44 0x5000 2.95 fe1d6117848b8fca559641c84752fd27
.rsrc 0x6d000 0x300 0x1000 0.80 3f101170a01589dbd4e3decd120a1513
.reloc 0x6e000 0x21f0 0x3000 4.86 8d866947d15fb9fac5b2e3e0cb16cd75

( 3 imports )
> KERNEL32.dll: GetDriveTypeA, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, ReleaseMutex, WaitForSingleObject, CloseHandle, InterlockedExchange, CreateMutexA, HeapFree, HeapAlloc, GetProcessHeap, GetLastError, CreateFileA, GetVolumeInformationA, lstrcmpiA, FindClose, FindFirstFileA, GetVersion, GetFileType, GetFileTime, GetFullPathNameA, FileTimeToSystemTime, FileTimeToLocalFileTime, FindNextFileA, GlobalLock, GlobalAlloc, GlobalFree, GlobalUnlock, lstrcpynA, lstrcpyA, lstrcatA, GetFileAttributesA, GetCurrentProcess, GetStringTypeA, ReadFile, MultiByteToWideChar, GetTimeZoneInformation, GetSystemTime, GetLocalTime, MoveFileA, SetStdHandle, HeapReAlloc, Sleep, GetCommandLineA, SetHandleCount, GetStdHandle, GetStartupInfoA, DeleteCriticalSection, ExitProcess, TerminateProcess, lstrlenA, GetModuleHandleA, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, RtlUnwind, WideCharToMultiByte, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, WriteFile, PeekNamedPipe, RemoveDirectoryA, GetStringTypeW, SetFilePointer, FlushFileBuffers, GetCPInfo, IsValidLocale, IsValidCodePage, GetLocaleInfoA, EnumSystemLocalesA, GetUserDefaultLCID, SetEndOfFile, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, CompareStringA, CompareStringW, GetACP, GetOEMCP, SetEnvironmentVariableA, InterlockedDecrement, InterlockedIncrement, GetProcAddress, LoadLibraryA, LCMapStringA, LCMapStringW, GetLocaleInfoW, GetCurrentDirectoryA, SetCurrentDirectoryA, DeleteFileA, SetFileAttributesA, SetFileTime, LocalFileTimeToFileTime, SystemTimeToFileTime, GetFileInformationByHandle
> USER32.dll: wvsprintfA
> ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, GetSecurityDescriptorLength, GetKernelObjectSecurity, OpenProcessToken

( 5 exports )
ZpArchive, ZpGetOptions, ZpInit, ZpSetOptions, ZpVersion
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=5b25690cc2e55a6d4bc965068a7ba1ef




Des is jetzt as 2te:



Datei lomxeqsn.exe empfangen 2008.10.14 06:55:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 8/36 (22.23%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.14.0 2008.10.13 Win-Trojan/Vapsup.94208.BR
AntiVir 7.8.1.34 2008.10.13 ADSPY/AdSpy.Gen
Authentium 5.1.0.4 2008.10.14 -
Avast 4.8.1248.0 2008.10.14 -
AVG 8.0.0.161 2008.10.14 -
BitDefender 7.2 2008.10.14 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.14 -
DrWeb 4.44.0.09170 2008.10.14 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6146 2008.10.13 -
Ewido 4.0 2008.10.13 -
F-Prot 4.4.4.56 2008.10.12 -
F-Secure 8.0.14332.0 2008.10.14 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.14 -
Ikarus T3.1.1.34.0 2008.10.14 Trojan.Win32.Small.ZZB
K7AntiVirus 7.10.492 2008.10.13 -
Kaspersky 7.0.0.125 2008.10.14 -
McAfee 5404 2008.10.14 -
Microsoft 1.4005 2008.10.14 Adware:Win32/Vapsup
NOD32 3519 2008.10.14 -
Norman 5.80.02 2008.10.13 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.13 -
Prevx1 V2 2008.10.14 Malware Dropper
Rising 20.66.10.00 2008.10.14 -
SecureWeb-Gateway 6.7.6 2008.10.14 Ad-Spyware.AdSpy.Gen
Sophos 4.34.0 2008.10.14 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.14 Downloader.Zlob!gen.3
TheHacker 6.3.1.0.110 2008.10.14 -
TrendMicro 8.700.0.1004 2008.10.14 -
VBA32 3.12.8.6 2008.10.13 suspected of Downloader.Zlob.7 (paranoid heuristics)
ViRobot 2008.10.14.1418 2008.10.14 -
VirusBuster 4.5.11.0 2008.10.13 -
weitere Informationen
File size: 94208 bytes
MD5...: 581183beef21e187ecb7545d6de62bb7
SHA1..: 2bff1bcdf02bcdfa0e5722c5f3cc8ab954fbf3d2
SHA256: c00b4c5fa4c8ccc1240b6359dfe9bcf27dceb4bc38d92310fe34f1aacad886d7
SHA512: eccf5000e3ec361bdfa6b9ca87821d7022bfb60bcd68e958e14c20bdb817e67c
29633f0c55aec12f1236b0b5398f02d151bba293965bd4a86eb15bd5517d0455
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4033d2
timedatestamp.....: 0x48f382fb (Mon Oct 13 17:18:51 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd990 0xe000 6.38 dbdecf03074221545b81110a27b2aa60
.rdata 0xf000 0x4cbe 0x5000 5.14 f9e1584c237e2cc1475b843c95684810
.data 0x14000 0x2e04 0x2000 1.51 40d82620f95e8bab6134720c72e3a503
.rsrc 0x17000 0xb0 0x1000 3.06 c67885160d1d4da2f4a5f0d18956abe6

( 1 imports )
> KERNEL32.dll: LoadLibraryW, TerminateProcess, GetProcAddress, CloseHandle, SetLastError, GetCurrentProcessId, GetLastError, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, Sleep, HeapSize, ExitProcess, MultiByteToWideChar, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, LoadLibraryA, InitializeCriticalSection, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FA241FAA001F234C702801C7F159800028B5160F




Und des is die 3te datei:




Datei index.exe empfangen 2008.10.14 06:59:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.14.0 2008.10.13 -
AntiVir 7.8.1.34 2008.10.13 -
Authentium 5.1.0.4 2008.10.14 -
Avast 4.8.1248.0 2008.10.14 -
AVG 8.0.0.161 2008.10.14 -
BitDefender 7.2 2008.10.14 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.14 -
DrWeb 4.44.0.09170 2008.10.14 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6146 2008.10.13 -
Ewido 4.0 2008.10.13 -
F-Prot 4.4.4.56 2008.10.12 -
F-Secure 8.0.14332.0 2008.10.14 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.14 -
Ikarus T3.1.1.34.0 2008.10.14 -
K7AntiVirus 7.10.492 2008.10.13 -
Kaspersky 7.0.0.125 2008.10.14 -
McAfee 5404 2008.10.14 -
Microsoft 1.4005 2008.10.14 -
NOD32 3519 2008.10.14 -
Norman 5.80.02 2008.10.13 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.13 -
Prevx1 V2 2008.10.14 Malicious Software
Rising 20.66.10.00 2008.10.14 -
SecureWeb-Gateway 6.7.6 2008.10.14 -
Sophos 4.34.0 2008.10.14 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.14 -
TheHacker 6.3.1.0.110 2008.10.14 -
TrendMicro 8.700.0.1004 2008.10.14 -
VBA32 3.12.8.6 2008.10.13 -
ViRobot 2008.10.14.1418 2008.10.14 -
VirusBuster 4.5.11.0 2008.10.13 -
weitere Informationen
File size: 128 bytes
MD5...: f09f35a5637839458e462e6350ecbce4
SHA1..: 0ae4f711ef5d6e9d26c611fd2c8c8ac45ecbf9e7
SHA256: 38723a2e5e8a17aa7950dc008209944e898f69a7bd10a23c839d341e935fd5ca
SHA512: ab942f526272e456ed68a979f50202905ca903a141ed98443567b11ef0bf25a5
52d639051a01be58558122c58e3de07d749ee59ded36acf0c55cd91924d6ba11
PEiD..: -
TrID..: File type identification
OpenGL object (36.1%)
Lotus 123 Worksheet (generic) (18.0%)
MacBinary 1 header (9.2%)
Targa bitmap (Original TGA Format - No Image ID) (9.0%)
MacBinary 2 header (9.0%)
PEInfo: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F09F35A5806378390045008E462E630050ECBCE4



Den rest muss ich später machen!!!

Danke an alle!!!!

Lg Kev
__________
Social Impact
Hardrock the way it should be

#6 Hallo, matt_tuckk

0.
gehe in die Registry
Start - Ausführen - regedit

klicke dich durch zum Schlüssel:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 - in 0 ändern (mit rechtsklick)
"DisableRegistryTools"= 1 in 0 ändern (mit rechtsklick)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 1 - in 0 ändern (mit rechtsklick)
"NoStartMenuMorePrograms"= 1 - in 0 ändern (mit rechtsklick)
"NoSetFolders"= 1 - in 0 ändern (mit rechtsklick)

Beispiel:
http://www.windowspage.de/frame.php?http://www.windowspage.de/gemeinsame/komponenten/ie5/notoolbarcustomize.html


-----------------------------------------------------------------------------

1.
lade VArestorepolicies.zip, entzippen . der Registry beifügen
http://virus-protect.org/artikel/tools/policies.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
efipsk

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E7E4053B-FD23-448B-842F-793DD49AA53C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E01D0ACE-25AC-4353-87EF-6CB2B368E3C7}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qrbgltos"=-
"ngwstxfd"=-

File::
C:\Dokumente und Einstellungen\Kev\index.exe
C:\ctfmon.exe
C:\525.bat
C:\WINDOWS\grfxbanoros.dll
C:\WINDOWS\qrbgltos.dll
C:\WINDOWS\ngwstxfd.dll
C:\WINDOWS\rosqxvmn.dll
C:\WINDOWS\lomxeqsn.exe

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mdahybsh
C:\WINDOWS\system32\EV02
C:\Temp\xp34

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

------------------------------------------------------------

3.
in C:\ComboFix.txt ist alles gespeichert, kopiere es ab


4.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

------------------

5.
scanne mit malwarebytes + entferne alles, was gefunden wird + poste hier den Report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Sers also als erstes die Log von Malwarebytes


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600 Service Pack 3

14.10.2008 13:36:24
mbam-log-2008-10-14 (13-36-24).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 107523
Laufzeit: 40 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\qrbgltos.dll (Trojan.Zlob) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{47a57283-9b3b-4cf0-85cf-c2fa70c868bf} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5a2a4dc6-7c54-4d5e-9b72-76a54cc57f45} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\qrbgltos (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0011903-00102) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)






und des is des von RSIT da wird mir aber nur eine log angezeigt"




Logfile of random's system information tool 1.04 (written by random/random)
Run by Kev at 2008-10-14 13:43:44
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 36 GB (48%) free of 76 GB
Total RAM: 510 MB (23% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:52, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Kev\Desktop\RSIT.exe
C:\Programme\trend micro\Kev.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: QXK Olive - {E7E4053B-FD23-448B-842F-793DD49AA53C} - C:\WINDOWS\grfxbanoros.dll
O3 - Toolbar: rosqxvmn - {E01D0ACE-25AC-4353-87EF-6CB2B368E3C7} - C:\WINDOWS\rosqxvmn.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit BitComet downloaden - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet &d&ownloaden - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet &downloaden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223326864006
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E1556F-B691-4DF6-94AF-B1F275C57CA8}: NameServer = 212.18.0.5 212.18.3.5
O20 - AppInit_DLLs: rbydpe.dll
O21 - SSODL: ngwstxfd - {E676F69F-64E8-415E-84C3-546624D38F73} - C:\WINDOWS\ngwstxfd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5701 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}]
BitComet Helper - C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll [2008-08-11 656696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E4053B-FD23-448B-842F-793DD49AA53C}]
QXK Olive - C:\WINDOWS\grfxbanoros.dll [2008-10-13 344064]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{E01D0ACE-25AC-4353-87EF-6CB2B368E3C7} - rosqxvmn - C:\WINDOWS\rosqxvmn.dll [2008-10-13 217088]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-08 761947]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]
"SigmatelSysTrayApp"=C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe [2007-05-10 405504]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2005-10-26 159744]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]
"Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2008-09-10 1253040]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
C:\Programme\Brother\ControlCenter2\brctrcen.exe [2004-07-20 851968]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
C:\WINDOWS\System32\DLA\DLACTRLW.EXE [2005-11-07 122940]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2004-03-09 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe [2008-02-19 267048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2008-01-31 385024]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
C:\Programme\Brother\Brmfl04a\BrStDvPt.exe [2004-05-25 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe [2004-03-26 819200]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Kev^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3
"iPod Service"=3
"Apple Mobile Device"=2
"idsvc"=3
"Brother XP spl Service"=2
"brmfrmps"=2
"PLFlash DeviceIoControl Service"=2
"Nero BackItUp Scheduler 3"=2
"getPlus(R) Helper"=3

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="rbydpe.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-05-23 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
ngwstxfd - {E676F69F-64E8-415E-84C3-546624D38F73} - C:\WINDOWS\ngwstxfd.dll [2008-10-13 266240]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableCAD"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2008-10-14 13:36:56 ----A---- C:\Programme\bcdzu.txt
2008-10-14 07:11:56 ----D---- C:\rsit
2008-10-14 07:02:01 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Malwarebytes
2008-10-14 07:01:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 07:01:55 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-10-13 23:21:39 ----SHD---- C:\RECYCLER
2008-10-13 23:16:32 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\TmpRecentIcons
2008-10-13 23:16:31 ----A---- C:\ComboFix.txt
2008-10-13 23:04:34 ----D---- C:\WINDOWS\temp
2008-10-13 22:56:04 ----A---- C:\WINDOWS\zip.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\VFIND.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\SWXCACLS.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\SWSC.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\SWREG.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\sed.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\NIRCMD.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\grep.exe
2008-10-13 22:56:04 ----A---- C:\WINDOWS\fdsv.exe
2008-10-13 22:55:45 ----D---- C:\WINDOWS\ERDNT
2008-10-13 22:55:45 ----D---- C:\Qoobox
2008-10-13 21:58:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mdahybsh
2008-10-13 21:56:03 ----N---- C:\WINDOWS\qrbgltos.dll
2008-10-13 21:56:03 ----A---- C:\WINDOWS\rosqxvmn.dll
2008-10-13 21:56:03 ----A---- C:\WINDOWS\ngwstxfd.dll
2008-10-13 21:56:03 ----A---- C:\WINDOWS\lomxeqsn.exe
2008-10-13 21:56:03 ----A---- C:\WINDOWS\grfxbanoros.dll
2008-10-12 23:17:55 ----A---- C:\WINDOWS\system32\vbzip10.dll
2008-10-12 23:09:16 ----A---- C:\525.bat
2008-10-12 23:08:59 ----D---- C:\WINDOWS\system32\EV02
2008-10-12 23:08:58 ----D---- C:\Temp
2008-10-12 22:01:25 ----D---- C:\WINDOWS\Minidump
2008-10-11 12:14:21 ----D---- C:\Programme\Direct Audio Converter & CD Ripper
2008-10-11 12:13:53 ----A---- C:\WINDOWS\cdplayer.ini
2008-10-10 22:39:19 ----A---- C:\WINDOWS\Expstudio Audio Editor FREE Uninstaller.exe
2008-10-10 22:38:57 ----D---- C:\WINDOWS\system32\EXP
2008-10-10 22:38:56 ----D---- C:\Programme\Expstudio
2008-10-10 07:04:09 ----D---- C:\Programme\Gemeinsame Dateien\Bcgsoft
2008-10-09 22:57:16 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\map&guide
2008-10-09 22:54:19 ----D---- C:\WINDOWS\Globalization
2008-10-09 22:53:34 ----D---- C:\Programme\map&guide
2008-10-09 22:53:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\map&guide
2008-10-07 16:21:41 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Google
2008-10-07 16:12:31 ----D---- C:\Programme\Google
2008-10-07 16:08:33 ----D---- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-10-07 14:39:17 ----A---- C:\WINDOWS\zllsputility_loc0407.dll
2008-10-07 14:39:17 ----A---- C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-10-07 14:39:17 ----A---- C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-10-07 14:39:16 ----A---- C:\WINDOWS\system32\vsutil_loc0407.dll
2008-10-07 14:39:03 ----A---- C:\WINDOWS\zllsputility.exe
2008-10-07 14:39:01 ----A---- C:\WINDOWS\system32\SpOrder.dll
2008-10-07 14:36:20 ----A---- C:\WINDOWS\system32\libeay32_0.9.6l.dll
2008-10-07 14:36:19 ----A---- C:\WINDOWS\system32\vsregexp.dll
2008-10-07 14:36:03 ----A---- C:\WINDOWS\system32\zlcommdb.dll
2008-10-07 14:36:03 ----A---- C:\WINDOWS\system32\zlcomm.dll
2008-10-07 14:35:11 ----A---- C:\WINDOWS\system32\vswmi.dll
2008-10-07 14:35:04 ----A---- C:\WINDOWS\system32\zpeng24.dll
2008-10-07 14:35:00 ----A---- C:\WINDOWS\system32\vsxml.dll
2008-10-07 14:34:46 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-10-07 14:34:43 ----A---- C:\WINDOWS\system32\vspubapi.dll
2008-10-07 14:34:42 ----A---- C:\WINDOWS\system32\vsmonapi.dll
2008-10-07 14:33:18 ----A---- C:\WINDOWS\system32\vsdata.dll
2008-10-07 14:33:17 ----A---- C:\WINDOWS\system32\vsutil.dll
2008-10-07 14:33:17 ----A---- C:\WINDOWS\system32\vsinit.dll
2008-10-07 00:26:21 ----A---- C:\WINDOWS\system32\07246d6f-.txt
2008-10-06 23:04:54 ----D---- C:\Programme\Rockstar Games
2008-10-06 23:04:26 ----D---- C:\WINDOWS\system32\PreInstall
2008-10-06 23:04:24 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2008-10-06 23:01:51 ----A---- C:\WINDOWS\system32\wups2.dll
2008-10-06 23:01:51 ----A---- C:\WINDOWS\system32\wucltui.dll.mui
2008-10-06 23:01:50 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2008-10-06 23:01:50 ----A---- C:\WINDOWS\system32\wuaueng.dll.mui
2008-10-06 23:01:50 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-10-06 22:52:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-10-06 22:51:28 ----SH---- C:\WINDOWS\S86F6F278.tmp
2008-10-06 22:51:13 ----D---- C:\Programme\SlySoft
2008-10-06 21:06:12 ----RD---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Brother
2008-10-05 12:39:12 ----D---- C:\Programme\directx
2008-10-05 11:43:19 ----D---- C:\Programme\EA GAMES
2008-09-29 22:06:46 ----D---- C:\Programme\Zone Labs
2008-09-29 14:33:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-29 14:30:49 ----D---- C:\WINDOWS\Internet Logs
2008-09-28 23:05:40 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Opera
2008-09-27 18:52:28 ----A---- C:\WINDOWS\system32\ShellManager310E2D762.dll
2008-09-27 18:51:07 ----A---- C:\WINDOWS\Irremote.ini
2008-09-27 17:01:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-09-27 17:01:16 ----D---- C:\Programme\NCH Swift Sound
2008-09-26 16:40:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software
2008-09-23 23:13:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-22 23:09:12 ----A---- C:\WINDOWS\MusicStudio.INI
2008-09-22 23:05:50 ----A---- C:\WINDOWS\system32\msxml4a.dll
2008-09-22 23:05:47 ----A---- C:\WINDOWS\system32\MXRestore.exe
2008-09-22 23:05:47 ----A---- C:\WINDOWS\system32\mgxasio2.dll
2008-09-22 23:05:46 ----A---- C:\WINDOWS\system32\TTIC32.dll
2008-09-22 23:05:46 ----A---- C:\WINDOWS\system32\TTI32.dll
2008-09-22 23:05:46 ----A---- C:\WINDOWS\system32\STRING32.dll
2008-09-22 23:05:46 ----A---- C:\WINDOWS\system32\mgxcdr.txt
2008-09-22 23:05:46 ----A---- C:\WINDOWS\system32\DLLTPO32.dll
2008-09-22 23:05:45 ----A---- C:\WINDOWS\system32\DLLRES32.dll
2008-09-22 23:05:45 ----A---- C:\WINDOWS\system32\DLLRD32.dll
2008-09-22 23:05:44 ----A---- C:\WINDOWS\system32\DLLPTL32.dll
2008-09-22 23:05:43 ----A---- C:\WINDOWS\system32\DLLPRJ32.dll
2008-09-22 23:05:43 ----A---- C:\WINDOWS\system32\DLLPRF32.dll
2008-09-22 23:05:43 ----A---- C:\WINDOWS\system32\DLLPNT32.dll
2008-09-22 23:05:42 ----A---- C:\WINDOWS\system32\DLLMSC32.dll
2008-09-22 23:05:42 ----A---- C:\WINDOWS\system32\DLLIX.dll
2008-09-22 23:05:42 ----A---- C:\WINDOWS\system32\DLLISO32.dll
2008-09-22 23:05:42 ----A---- C:\WINDOWS\system32\DLLIO32.dll
2008-09-22 23:05:41 ----A---- C:\WINDOWS\system32\DLLIMG32.dll
2008-09-22 23:05:41 ----A---- C:\WINDOWS\system32\DLLDRV32.dll
2008-09-22 23:05:41 ----A---- C:\WINDOWS\system32\DLLDIR32.dll
2008-09-22 23:05:41 ----A---- C:\WINDOWS\system32\DLLDEV32.dll
2008-09-22 23:05:40 ----A---- C:\WINDOWS\system32\DLLCPY32.dll
2008-09-22 23:05:40 ----A---- C:\WINDOWS\system32\DLLCDF32.dll
2008-09-22 23:05:40 ----A---- C:\WINDOWS\system32\DLLCDA32.dll
2008-09-22 23:05:39 ----A---- C:\WINDOWS\system32\DLLAV32.dll
2008-09-22 23:03:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-09-22 23:03:22 ----D---- C:\Programme\MAGIX
2008-09-22 23:03:21 ----A---- C:\WINDOWS\system32\DLLDEV32i.dll
2008-09-22 23:03:02 ----D---- C:\WINDOWS\system32\MAGIX
2008-09-22 23:03:02 ----A---- C:\WINDOWS\system32\mgxoschk.dll
2008-09-22 23:03:02 ----A---- C:\WINDOWS\mgxoschk.ini
2008-09-22 22:58:56 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Mp3tag
2008-09-22 22:58:43 ----D---- C:\Programme\Mp3tag
2008-09-22 22:53:51 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\AccurateRip
2008-09-22 22:53:48 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe
2008-09-22 22:53:37 ----D---- C:\Programme\Illustrate
2008-09-22 22:11:18 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\vlc
2008-09-22 22:09:33 ----D---- C:\Programme\VideoLAN
2008-09-22 21:58:07 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Help
2008-09-22 21:58:06 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\putzi4win
2008-09-22 21:56:41 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F481FC18-57D5-4479-B2FB-083BFF223F8F}
2008-09-22 21:53:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-22 18:26:36 ----D---- C:\Programme\Guitar Pro 5
2008-09-20 19:56:20 ----A---- C:\WINDOWS\system32\ptpusb.dll
2008-09-20 19:56:18 ----A---- C:\WINDOWS\system32\ptpusd.dll
2008-09-20 19:45:59 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\DonationCoder
2008-09-20 19:45:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DonationCoder
2008-09-20 19:45:09 ----D---- C:\Programme\ScreenshotCaptor
2008-09-18 23:38:16 ----D---- C:\WINDOWS\Sun
2008-09-18 23:38:15 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Sun
2008-09-15 20:49:26 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Teleca
2008-09-15 20:47:52 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-09-15 20:47:47 ----D---- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-09-15 20:47:30 ----D---- C:\Programme\Sony Ericsson
2008-09-15 20:47:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-09-15 20:25:03 ----D---- C:\Programme\Disc2Phone
2008-09-15 20:19:32 ----A---- C:\WINDOWS\NeroDigital.ini
2008-09-15 13:50:10 ----A---- C:\WINDOWS\system32\msvcr71.dll
2008-09-15 13:50:09 ----A---- C:\WINDOWS\system32\msvcp71.dll
2008-09-15 13:49:58 ----D---- C:\WINDOWS\system32\Adobe

======List of files/folders modified in the last 1 months======

2008-10-14 13:43:46 ----D---- C:\Programme\Trend Micro
2008-10-14 13:38:18 ----D---- C:\Programme\Mozilla Thunderbird
2008-10-14 13:36:56 ----RD---- C:\Programme
2008-10-14 13:36:56 ----D---- C:\WINDOWS\system32\drivers
2008-10-14 13:36:56 ----D---- C:\WINDOWS\Prefetch
2008-10-13 23:27:19 ----D---- C:\Programme\Mozilla Firefox
2008-10-13 23:16:37 ----D---- C:\WINDOWS\system32
2008-10-13 23:16:33 ----D---- C:\WINDOWS
2008-10-13 23:15:49 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-13 23:12:35 ----A---- C:\WINDOWS\system.ini
2008-10-13 23:12:18 ----RSD---- C:\WINDOWS\Fonts
2008-10-13 23:05:13 ----D---- C:\WINDOWS\system32\config
2008-10-13 23:03:20 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-13 23:03:19 ----D---- C:\WINDOWS\AppPatch
2008-10-13 22:56:41 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-13 22:53:07 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\LimeWire
2008-10-13 22:48:53 ----D---- C:\WINDOWS\Debug
2008-10-13 21:55:26 ----D---- C:\Downloads
2008-10-13 17:03:42 ----SHD---- C:\WINDOWS\Installer
2008-10-11 13:02:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-11 13:02:16 ----D---- C:\Programme\NOS
2008-10-10 19:58:13 ----D---- C:\WINDOWS\inf
2008-10-09 23:12:27 ----HD---- C:\Programme\InstallShield Installation Information
2008-10-09 22:56:51 ----RSD---- C:\WINDOWS\assembly
2008-10-09 14:32:12 ----A---- C:\WINDOWS\brwmark.ini
2008-10-09 14:32:12 ----A---- C:\WINDOWS\BRPP2KA.INI
2008-10-09 14:29:37 ----D---- C:\WINDOWS\twain_32
2008-10-07 16:50:45 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-07 16:49:35 ----A---- C:\WINDOWS\SALReg.ini
2008-10-06 23:04:23 ----HD---- C:\WINDOWS\$hf_mig$
2008-10-06 23:02:03 ----D---- C:\WINDOWS\SoftwareDistribution
2008-10-06 23:01:54 ----D---- C:\WINDOWS\Help
2008-10-06 23:01:11 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-10-04 18:58:15 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2008-09-28 23:05:43 ----A---- C:\WINDOWS\win.ini
2008-09-27 19:01:12 ----D---- C:\Programme\Gemeinsame Dateien\Nero
2008-09-27 19:01:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-09-27 18:51:34 ----A---- C:\WINDOWS\system32\MsiExec.exe.log
2008-09-26 17:11:54 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ZoomBrowser EX
2008-09-24 13:51:25 ----ASH---- C:\boot.ini
2008-09-23 17:32:15 ----D---- C:\Programme\ICQ6
2008-09-22 21:55:49 ----SD---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Microsoft
2008-09-22 20:45:06 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ICQ
2008-09-20 20:14:15 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Adobe
2008-09-15 20:48:43 ----D---- C:\WINDOWS\WinSxS
2008-09-15 20:46:02 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-09-15 20:43:25 ----D---- C:\WINDOWS\Downloaded Installations
2008-09-15 20:31:40 ----D---- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Apple Computer

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 DLACDBHM;DLACDBHM; C:\WINDOWS\System32\Drivers\DLACDBHM.SYS [2005-11-18 5660]
R1 DLARTL_N;DLARTL_N; C:\WINDOWS\System32\Drivers\DLARTL_N.SYS [2005-11-18 22684]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2007-08-07 25160]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R2 DLABOIOM;DLABOIOM; C:\WINDOWS\System32\DLA\DLABOIOM.SYS [2005-11-07 25628]
R2 DLADResN;DLADResN; C:\WINDOWS\System32\DLA\DLADResN.SYS [2005-11-07 2496]
R2 DLAIFS_M;DLAIFS_M; C:\WINDOWS\System32\DLA\DLAIFS_M.SYS [2005-11-07 86652]
R2 DLAOPIOM;DLAOPIOM; C:\WINDOWS\System32\DLA\DLAOPIOM.SYS [2005-11-07 14684]
R2 DLAPoolM;DLAPoolM; C:\WINDOWS\System32\DLA\DLAPoolM.SYS [2005-11-07 6364]
R2 DLAUDF_M;DLAUDF_M; C:\WINDOWS\System32\DLA\DLAUDF_M.SYS [2005-11-07 87036]
R2 DLAUDFAM;DLAUDFAM; C:\WINDOWS\System32\DLA\DLAUDFAM.SYS [2005-11-07 94332]
R2 DRVNDDM;DRVNDDM; C:\WINDOWS\System32\Drivers\DRVNDDM.SYS [2005-08-12 40544]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2005-10-05 12544]
R2 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2006-11-15 32256]
R2 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2006-11-14 43520]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\WINDOWS\system32\DRIVERS\rixdptsk.sys [2006-11-14 37376]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-01-03 97216]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-05-23 1578496]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2006-11-21 45568]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys [2005-12-01 936960]
R3 HSXHWAZL;HSXHWAZL; C:\WINDOWS\system32\DRIVERS\HSXHWAZL.sys [2005-12-01 192512]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 NWADI;NWADI Bus Enumerator; C:\WINDOWS\system32\DRIVERS\NWADIenum.sys [2006-08-09 156288]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-14 79232]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2007-05-10 1222840]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-08 191872]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSX_CNXT.sys [2005-12-01 669696]
R4 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\System32\Drivers\BrScnUsb.sys [2004-10-15 15295]
S3 efipsk;efipsk; \??\C:\DOKUME~1\Kev\LOKALE~1\Temp\efipsk.sys []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2008-04-14 11904]
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2008-04-14 11008]
S3 UIUSys;Conexant Setup API; C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS []
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 w810bus;Sony Ericsson W810 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\w810bus.sys [2006-02-20 58288]
S3 w810mdfl;Sony Ericsson W810 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\w810mdfl.sys [2008-09-15 8336]
S3 w810mdm;Sony Ericsson W810 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\w810mdm.sys [2008-09-15 94064]
S3 w810mgmt;Sony Ericsson W810 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\w810mgmt.sys [2006-02-20 85408]
S3 w810obex;Sony Ericsson W810 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\w810obex.sys [2006-02-20 83344]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-23 409600]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2008-09-05 72704]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]
S3 iPod Service;iPod Service; C:\Programme\iPod\bin\iPodService.exe [2008-02-19 504104]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-02-18 110592]
S4 brmfrmps;Brother Popup Suspend service for Resource manager; C:\WINDOWS\system32\Brmfrmps.exe [2003-05-05 65536]
S4 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]
S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------










Also hier die Daten von Avanger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Warning: HKLM\Software did not load within MAX_WAIT_ITERATIONS


Error: parent registry key for value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" not found!
Replacement with dummy of registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.















und des is zum zweiten mal combofix

ComboFix 08-10-12.01 - Kev 2008-10-14 14:16:46.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.236 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kev\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Kev\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]

FILE ::
C:\525.bat
C:\ctfmon.exe
C:\Dokumente und Einstellungen\Kev\index.exe
C:\WINDOWS\grfxbanoros.dll
C:\WINDOWS\lomxeqsn.exe
C:\WINDOWS\ngwstxfd.dll
C:\WINDOWS\qrbgltos.dll
C:\WINDOWS\rosqxvmn.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\525.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mdahybsh
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mdahybsh\qdyvwlsh.exe
C:\Dokumente und Einstellungen\Kev\index.exe
C:\Temp\xp34
C:\WINDOWS\grfxbanoros.dll
C:\WINDOWS\lomxeqsn.exe
C:\WINDOWS\ngwstxfd.dll
C:\WINDOWS\qrbgltos.dll
C:\WINDOWS\rosqxvmn.dll
C:\WINDOWS\system32\EV02
C:\WINDOWS\system32\EV02\EV022328.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EFIPSK
-------\Service_efipsk


((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.

2008-10-14 07:11 . 2008-10-14 07:13 <DIR> d-------- C:\rsit
2008-10-14 07:02 . 2008-10-14 07:02 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Malwarebytes
2008-10-14 07:01 . 2008-10-14 07:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-14 07:01 . 2008-10-14 07:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 07:01 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 07:01 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-12 23:17 . 2008-10-12 23:17 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2008-10-12 23:08 . 2008-10-14 14:19 <DIR> d-------- C:\Temp
2008-10-12 22:27 . 2008-10-13 23:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-12 22:27 . 2008-10-12 22:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-11 12:14 . 2008-10-11 12:14 <DIR> d-------- C:\Programme\Direct Audio Converter & CD Ripper
2008-10-11 12:13 . 2008-10-12 23:15 34 --a------ C:\WINDOWS\cdplayer.ini
2008-10-10 22:39 . 2008-10-10 22:39 161,272 --a------ C:\WINDOWS\Expstudio Audio Editor FREE Uninstaller.exe
2008-10-10 22:38 . 2008-10-10 22:38 <DIR> d-------- C:\WINDOWS\system32\EXP
2008-10-10 22:38 . 2008-10-10 22:38 <DIR> d-------- C:\Programme\Expstudio
2008-10-10 07:04 . 2008-10-10 07:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Bcgsoft
2008-10-09 22:57 . 2008-10-09 22:57 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\map&guide
2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\WINDOWS\Globalization
2008-10-09 22:53 . 2008-10-09 22:53 <DIR> d-------- C:\Programme\map&guide
2008-10-09 22:53 . 2008-10-09 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\map&guide
2008-10-07 18:05 . 2008-10-07 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\apm
2008-10-07 16:49 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-10-07 16:49 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-10-07 16:46 . 2008-10-14 14:22 1,685,536 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-07 16:46 . 2008-10-14 14:22 10,820 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-07 16:45 . 2008-04-14 00:15 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-10-07 16:12 . 2008-10-13 21:58 <DIR> d-------- C:\Programme\Google
2008-10-07 16:08 . 2008-10-07 16:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-10-07 14:39 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-10-07 14:39 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-10-07 14:39 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-10-07 14:39 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-10-07 14:39 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-10-07 14:39 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-10-07 14:35 . 2008-07-09 09:05 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-10-07 14:34 . 2008-10-07 14:39 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-10-07 14:34 . 2008-10-14 14:23 358,382 --a------ C:\WINDOWS\system32\vsconfig.xml
2008-10-06 23:04 . 2008-10-07 21:26 <DIR> d-------- C:\Programme\Rockstar Games
2008-10-06 23:01 . 2008-07-18 22:10 45,768 --a------ C:\WINDOWS\system32\wups2.dll
2008-10-06 23:01 . 2008-07-18 22:10 33,992 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-10-06 23:01 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-10-06 23:01 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-10-06 23:01 . 2008-07-18 22:08 21,192 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-10-06 23:00 . 2008-10-06 23:00 <DIR> d---s---- C:\Dokumente und Einstellungen\Kev\UserData
2008-10-06 22:52 . 2008-10-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-10-06 22:51 . 2008-10-06 22:51 <DIR> d-------- C:\Programme\SlySoft
2008-10-06 22:51 . 2008-10-06 22:52 24 ---hs---- C:\WINDOWS\S86F6F278.tmp
2008-10-06 21:06 . 2008-10-06 21:06 <DIR> dr------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Brother
2008-10-05 12:39 . 2008-10-05 12:39 <DIR> d-------- C:\Programme\directx
2008-10-05 11:43 . 2008-10-05 11:43 <DIR> d-------- C:\Programme\EA GAMES
2008-09-29 22:06 . 2008-09-29 22:06 <DIR> d-------- C:\Programme\Zone Labs
2008-09-29 14:33 . 2008-09-29 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-29 14:33 . 2008-10-07 15:54 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-09-29 14:30 . 2008-10-14 14:14 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-09-27 18:52 . 2008-06-24 13:45 1,414,440 --a------ C:\WINDOWS\system32\ShellManager310E2D762.dll
2008-09-27 18:52 . 2008-06-23 17:36 773,120 --a------ C:\WINDOWS\system32\NEROINSTAEC43759.DB
2008-09-27 18:51 . 2008-09-27 18:51 0 --a------ C:\WINDOWS\Irremote.ini
2008-09-27 17:01 . 2008-09-27 17:01 <DIR> d-------- C:\Programme\NCH Swift Sound
2008-09-27 17:01 . 2008-09-27 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-09-26 16:40 . 2008-09-26 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software
2008-09-23 23:13 . 2008-09-23 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-22 23:09 . 2008-09-24 14:00 210 --a------ C:\WINDOWS\MusicStudio.INI
2008-09-22 23:03 . 2008-09-27 18:42 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-09-22 23:03 . 2008-09-27 18:42 <DIR> d-------- C:\Programme\MAGIX
2008-09-22 23:03 . 2008-09-27 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-09-22 23:03 . 2007-12-04 14:20 700,416 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-09-22 23:03 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-09-22 23:03 . 2008-09-24 13:58 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-09-22 22:58 . 2008-09-22 22:58 <DIR> d-------- C:\Programme\Mp3tag
2008-09-22 22:58 . 2008-09-22 23:02 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Mp3tag
2008-09-22 22:53 . 2008-09-22 22:53 <DIR> d-------- C:\Programme\Illustrate
2008-09-22 22:53 . 2008-09-22 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\AccurateRip
2008-09-22 22:53 . 2008-09-22 22:53 4,230,520 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
2008-09-22 22:11 . 2008-09-22 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\vlc
2008-09-22 22:09 . 2008-09-22 22:09 <DIR> d-------- C:\Programme\VideoLAN
2008-09-22 21:58 . 2008-09-22 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\putzi4win
2008-09-22 21:56 . 2008-09-22 21:56 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F481FC18-57D5-4479-B2FB-083BFF223F8F}
2008-09-22 21:53 . 2008-09-22 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-22 18:26 . 2008-09-30 22:21 <DIR> d-------- C:\Programme\Guitar Pro 5
2008-09-20 19:56 . 2008-04-14 07:52 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-09-20 19:56 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-09-20 19:56 . 2008-04-14 00:15 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-09-20 19:56 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-09-20 19:45 . 2008-09-20 20:12 <DIR> d-------- C:\Programme\ScreenshotCaptor
2008-09-20 19:45 . 2008-09-20 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\DonationCoder
2008-09-20 19:45 . 2008-09-20 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DonationCoder
2008-09-20 19:45 . 2008-09-20 19:45 58 --a------ C:\WINDOWS\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2008-09-18 23:38 . 2008-09-18 23:38 <DIR> d-------- C:\WINDOWS\Sun
2008-09-17 16:35 . 2008-04-14 00:15 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-09-17 16:35 . 2008-04-14 00:15 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-09-15 20:49 . 2008-09-15 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Teleca
2008-09-15 20:48 . 2008-09-15 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2008-09-15 20:47 . 2008-09-15 20:47 <DIR> d-------- C:\Programme\Sony Ericsson
2008-09-15 20:47 . 2008-09-15 20:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-09-15 20:47 . 2008-09-15 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-09-15 20:47 . 2008-09-15 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-09-15 20:42 . 2008-09-15 20:42 94,064 --a------ C:\WINDOWS\system32\drivers\w810mdm.sys
2008-09-15 20:42 . 2008-09-15 20:42 8,336 --a------ C:\WINDOWS\system32\drivers\w810mdfl.sys
2008-09-15 20:42 . 2008-09-15 20:42 6,176 --a------ C:\WINDOWS\system32\drivers\w810cmnt.sys
2008-09-15 20:42 . 2008-09-15 20:42 6,176 --a------ C:\WINDOWS\system32\drivers\w810cm.sys
2008-09-15 20:25 . 2008-09-15 20:25 <DIR> d-------- C:\Programme\Disc2Phone
2008-09-15 20:22 . 2006-02-20 18:59 58,288 -ra------ C:\WINDOWS\system32\drivers\w810bus.sys
2008-09-15 20:22 . 2006-02-20 18:59 5,808 -ra------ C:\WINDOWS\system32\drivers\w810whnt.sys
2008-09-15 20:22 . 2006-02-20 18:59 5,808 -ra------ C:\WINDOWS\system32\drivers\w810wh.sys
2008-09-15 20:19 . 2008-09-27 17:05 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-15 13:50 . 2008-08-06 15:27 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-09-15 13:50 . 2008-08-06 15:29 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-09-15 13:49 . 2008-09-15 13:50 <DIR> d-------- C:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 11:48 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-14 11:45 --------- d-----w C:\Programme\Trend Micro
2008-10-13 20:53 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\LimeWire
2008-10-11 11:02 --------- d-----w C:\Programme\NOS
2008-10-11 11:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-09 21:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-08 12:29 216,064 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-10-04 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2008-09-27 17:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-09-27 17:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-09-26 15:11 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ZoomBrowser EX
2008-09-23 15:32 --------- d-----w C:\Programme\ICQ6
2008-09-22 18:45 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ICQ
2008-09-20 18:30 17,928 ----a-w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-15 18:31 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Apple Computer
2008-09-11 14:52 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\CDZilla
2008-09-11 14:49 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Steinberg
2008-09-11 14:45 --------- d-----w C:\Programme\Steinberg
2008-09-11 14:32 --------- d-----w C:\Programme\Canon
2008-09-11 14:22 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Canon
2008-09-11 14:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Canon
2008-09-11 09:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-10 12:39 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-09-10 12:31 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Nero
2008-09-10 12:18 --------- d-----w C:\Programme\Nero
2008-09-09 22:16 639,224 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-09-09 22:11 --------- d-----w C:\Programme\abylonsoft
2008-09-09 22:05 --------- d-----w C:\Programme\Pro Imaging Powertoys
2008-09-09 22:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Nikon
2008-09-09 21:52 --------- d-----w C:\Programme\easyHDR BASIC
2008-09-09 21:49 53,812 ----a-w C:\WINDOWS\uninst-vj.exe
2008-09-09 21:39 --------- d-----w C:\Programme\ClearSkin
2008-09-09 21:26 --------- d-----w C:\Programme\BitComet
2008-09-07 19:28 --------- d-----w C:\Programme\Creative
2008-09-06 14:46 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ScanSoft
2008-09-06 14:45 --------- d-----w C:\Programme\Brother
2008-09-06 14:44 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-06 14:44 --------- d-----w C:\Programme\Common Files
2008-09-06 14:38 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-09-06 14:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-09-06 14:37 --------- d-----w C:\Programme\ScanSoft
2008-09-06 14:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
2008-09-05 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-05 16:40 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Comodo
2008-09-05 16:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2008-09-05 14:39 --------- d-----w C:\Programme\Microsoft SQL Server
2008-09-05 14:29 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-09-05 14:25 --------- d-----w C:\Programme\Microsoft Synchronization Services
2008-09-05 14:25 --------- d-----w C:\Programme\Microsoft SQL Server Compact Edition
2008-09-05 14:19 --------- d-----w C:\Programme\Microsoft.NET
2008-09-05 14:18 --------- d-----w C:\Programme\Microsoft SDKs
2008-09-05 14:11 --------- d-----w C:\Programme\Reference Assemblies
2008-09-05 14:11 --------- d-----w C:\Programme\MSBuild
2008-09-05 13:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-09-05 13:45 --------- d-----w C:\Programme\LilyPond
2008-09-05 13:37 --------- d-----w C:\Programme\aTunes
2008-09-05 13:28 --------- d-----w C:\Programme\xp-Iso-Builder
2008-09-05 13:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-09-05 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-09-04 23:25 --------- d-----w C:\Programme\Java
2008-09-04 23:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-09-04 23:22 --------- d-----w C:\Programme\LimeWire
2008-09-04 23:19 --------- d-----w C:\Programme\Kaspersky Lab
2008-09-04 23:18 --------- d-----w C:\Programme\CCleaner
2008-09-04 17:30 --------- d-----w C:\Programme\Windows Media Connect 2
2008-09-04 17:26 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\Thunderbird
2008-09-04 10:55 --------- d-----w C:\Dokumente und Einstellungen\Kev\Anwendungsdaten\ATI
2008-09-03 18:53 --------- d-----w C:\Programme\QuickTime
2008-09-03 18:53 --------- d-----w C:\Programme\iTunes
2008-09-03 18:53 --------- d-----w C:\Programme\iPod
2008-09-03 18:53 --------- d-----w C:\Programme\Bonjour
2008-09-03 18:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-03 18:52 --------- d-----w C:\Programme\Apple Software Update
2008-09-03 18:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-03 18:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-03 18:47 --------- d-----w C:\Programme\NASA
2008-09-03 18:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Zeepe Framework 7
2008-09-03 18:38 --------- d-----w C:\Programme\Dell
2008-09-03 18:38 --------- d-----w C:\Programme\Broadcom
2008-09-03 18:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Novatel Wireless
2008-09-03 18:37 --------- d-----w C:\Programme\DIFX
2008-09-03 18:35 --------- d-----w C:\Programme\ATI Technologies
2008-09-03 18:32 --------- d-----w C:\Programme\Synaptics
2008-09-03 18:32 --------- d-----w C:\Programme\SigmaTel
2008-09-03 18:31 --------- d-----w C:\Programme\CONEXANT
2008-09-03 18:30 --------- d-----w C:\Programme\Intel
2008-09-03 18:28 --------- d-----w C:\Programme\Roxio
2008-09-03 17:51 --------- d-----w C:\Programme\microsoft frontpage
2008-09-03 17:49 --------- d-----w C:\Programme\Online-Dienste
2008-09-03 17:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-08-10 22:08 978,396 ----a-w C:\Programme\BDAXP.cab
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SigmatelSysTrayApp"="C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"NoToolbarCustomize"="1 (0x1)" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=rbydpe.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=C:\WINDOWS\pss\Status Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kev^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Kev\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--a------ 2004-07-20 09:34 851968 C:\Programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
--a------ 2005-11-07 05:20 122940 C:\WINDOWS\system32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2004-03-09 16:15 40960 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2004-03-09 15:54 57393 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--a------ 2004-05-25 09:16 49152 C:\Programme\Brother\Brmfl04a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 10:22 155648 C:\Programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"idsvc"=3 (0x3)
"Brother XP spl Service"=2 (0x2)
"brmfrmps"=2 (0x2)
"PLFlash DeviceIoControl Service"=2 (0x2)
"Nero BackItUp Scheduler 3"=2 (0x2)
"getPlus(R) Helper"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9306:TCP"= 9306:TCP:BitComet 9306 TCP
"9306:UDP"= 9306:UDP:BitComet 9306 UDP

R3 NWADI;NWADI Bus Enumerator;C:\WINDOWS\system32\DRIVERS\NWADIenum.sys [2006-08-09 156288]
S3 getPlus(R) Helper;getPlus(R) Helper;C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]
.
Inhalt des "geplante Tasks" Ordners

2008-10-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 14:24:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\obvious]
"ImagePath"="system32\DRIVERS\obvious.sys"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-14 14:28:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-14 12:28:13
ComboFix2.txt 2008-10-13 21:16:31

Vor Suchlauf: 13 Verzeichnis(se), 38.046.355.456 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 38,025,895,936 Bytes frei

356


P.S: des zweite mal Malwarebytes kommt noch!




so des is etz des zweite mal malwarebytes

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1268
Windows 5.1.2600 Service Pack 3

14.10.2008 15:44:33
mbam-log-2008-10-14 (15-44-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 109490
Laufzeit: 39 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 25

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\mdahybsh\qdyvwlsh.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dkcntuxu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\efcBtqoO.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kowabqty.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lbfedohk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\nnnoNEtT.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rbydpe.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rqRHwUKc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\tspmfdiq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\urqNFyYp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vtUkkjhi.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\zxtsls.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173425.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173426.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173431.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173432.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173435.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173436.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173437.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173438.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173440.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173441.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173434.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP102\A0173643.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP89\A0162943.dll (Trojan.Vundo) -> Quarantined and deleted successfully.



Lg Kev
Danke
__________
Social Impact
Hardrock the way it should be

#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen


««
poste bitte ein neues Log von HijackTHis

««
wende sdfix an - muss im abgesicherten Modus sein - poste dann hier den report
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Update MBAM zuerst und scanne nochmal
Datenbank Version: 1134
Bei mir
Datenbank Version: 1268
__________
MfG Argus

#10 OK Also des MBAM hab ich schon aktualisiert

und dann hier die neuen daten!

Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Warning: HKLM\Software did not load within MAX_WAIT_ITERATIONS


Error: parent registry key for value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" not found!
Replacement with dummy of registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.




SDFix:


SDFix: Version 1.235
Run by Kev on 14.10.2008 at 16:12

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\Kev\Favoriten\Malware Defender.url - Deleted
C:\Dokumente und Einstellungen\Kev\Favoriten\Protect Your Privacy.url - Deleted
C:\Dokumente und Einstellungen\Kev\Favoriten\System Error Fixer.url - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 16:18:21
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obvious]
"ServiceBinary"="C:\WINDOWS\system32\drivers\OBVIOUS.SYS"
"Group"="SCSI Miniport"
"ImagePath"=str(2):"system32\DRIVERS\obvious.sys"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"Tag"=dword:00000021

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obvious\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000
"INITSTARTFAILED"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obvious\parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obvious\security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:fbd10f73
"s2"=dword:ca1a8577
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\obvious]
"ServiceBinary"="C:\WINDOWS\system32\drivers\OBVIOUS.SYS"
"Group"="SCSI Miniport"
"ImagePath"=str(2):"system32\DRIVERS\obvious.sys"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"Tag"=dword:00000021

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\obvious\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000
"INITSTARTFAILED"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\obvious\parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\obvious\security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D95FC8E8-59ED-FA5F-FA19-0EEBBCDD0B66}]
"oadpmaamoopnepkhlegphjekidmkae"=hex:64,61,67,62,6e,68,6b,61,00,70
"oahamafadpikelfeaalpoccmbfcomb"=hex:6b,61,67,62,6b,68,6f,61,64,66,6b,6e,6d,67,6c,6c,6b,69,66,6e,63,..
"nabacbkaljkaackmllihcfkmp"=hex:6b,61,67,62,6b,68,6f,61,64,66,6b,6e,6d,67,6c,6c,6b,69,66,6e,63,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 6 Oct 2008 24 ..SH. --- "C:\WINDOWS\S86F6F278.tmp"
Thu 4 Sep 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!




HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:39, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit BitComet downloaden - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet &d&ownloaden - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet &downloaden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223326864006
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E1556F-B691-4DF6-94AF-B1F275C57CA8}: NameServer = 212.18.0.5 212.18.3.5
O20 - AppInit_DLLs: rbydpe.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5219 bytes
__________
Social Impact
Hardrock the way it should be

#11 ««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O20 - AppInit_DLLs: rbydpe.dll

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

{D95FC8E8-59ED-FA5F-FA19-0EEBBCDD0B66}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

»»
lade Antivirus free - scanne + poste den report
http://virus-protect.org/antivirus.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 RegSearch


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 14.10.2008 16:51:41 for strings:
; '{d95fc8e8-59ed-fa5f-fa19-0eebbcdd0b66}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...







Avira AntiVir





Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 14. Oktober 2008 17:05

Es wird nach 1683991 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: KEVIN

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 15:01:33
ANTIVIR3.VDF : 7.0.7.39 208896 Bytes 14.10.2008 15:01:34
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 14.10.2008 15:01:48
AESCN.DLL : 8.1.0.23 119156 Bytes 14.10.2008 15:01:47
AERDL.DLL : 8.1.1.2 438644 Bytes 14.10.2008 15:01:46
AEPACK.DLL : 8.1.2.3 364918 Bytes 14.10.2008 15:01:44
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 14.10.2008 15:01:43
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 14.10.2008 15:01:42
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.36 315764 Bytes 14.10.2008 15:01:38
AEEMU.DLL : 8.1.0.7 430452 Bytes 14.10.2008 15:01:37
AECORE.DLL : 8.1.1.11 172406 Bytes 14.10.2008 15:01:36
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 14.10.2008 15:01:35
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Dienstag, 14. Oktober 2008 17:05

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '68' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Downloads\pro tools7.3le\Additional Files\Unsupported Software\Mbox 2 Firmware Updater\Mbox 2 Firmwmare Updater Setup.exe.bc!
[0] Archivtyp: CAB SFX (self extracting)
--> \Disk1\data1.hdr
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Downloads\pro tools7.3le\Command8 Installer\final2.dat
[0] Archivtyp: RAR SFX (self extracting)
--> hosts\hosts.exe
[FUND] Ist das Trojanische Pferd TR/Spy.24576.O
--> hosts\hostsmon.exe
[FUND] Ist das Trojanische Pferd TR/VB.ChHost
--> manager.exe
[FUND] Ist das Trojanische Pferd TR/Spy.28672.H
--> downloader\downloader.exe
[FUND] Ist das Trojanische Pferd TR/Spy.40960.E
--> irc\irc.exe
[FUND] Ist das Trojanische Pferd TR/Spy.24576.P
[FUND] Enthält Erkennungsmuster des Droppers DR/Small.cvt
[WARNUNG] Die Datei wurde ignoriert.
C:\Downloads\pro tools7.3le\Paid Software Options\Plug-Ins\Demo Sessions\SoundReplacer Demo Session.exe.bc!
[0] Archivtyp: CAB SFX (self extracting)
--> \Disk1\ikernel.ex_
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Downloads\pro tools7.3le\Xpand!\final2.dat
[0] Archivtyp: RAR SFX (self extracting)
--> hosts\hosts.exe
[FUND] Ist das Trojanische Pferd TR/Spy.24576.O
--> hosts\hostsmon.exe
[FUND] Ist das Trojanische Pferd TR/VB.ChHost
--> manager.exe
[FUND] Ist das Trojanische Pferd TR/Spy.28672.H
--> downloader\downloader.exe
[FUND] Ist das Trojanische Pferd TR/Spy.40960.E
--> irc\irc.exe
[FUND] Ist das Trojanische Pferd TR/Spy.24576.P
[FUND] Enthält Erkennungsmuster des Droppers DR/Small.cvt
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\qrbgltos.dll.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\Fonts\a.zip.vir
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Ist das Trojanische Pferd TR/Agent.VB.AQC
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\Fonts\Setup.exe.vir
[FUND] Ist das Trojanische Pferd TR/Agent.VB.AQC
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\Fonts\svchost.exe.vir
[FUND] Ist das Trojanische Pferd TR/Agent.VB.AQC
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fccbcbXR.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\system32\khfGARLC.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\system32\pac.txt.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.VB.VPG
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\system32\EV02\EV022328.exe.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.VB.hzp.1
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP100\A0172436.exe
[FUND] Ist das Trojanische Pferd TR/Agent.VB.AQC
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173421.exe
[FUND] Ist das Trojanische Pferd TR/Agent.VB.AQC
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173422.exe
[FUND] Ist das Trojanische Pferd TR/Agent.VB.AQC
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173427.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173430.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP101\A0173624.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP102\A0173648.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP102\A0173650.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.VB.hzp.1
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{9F16B303-535A-4BDC-B5E6-2A741BB23CE3}\RP78\A0155497.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archivtyp: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 14. Oktober 2008 18:34
Benötigte Zeit: 1:28:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7041 Verzeichnisse wurden überprüft
258188 Dateien wurden geprüft
28 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
258157 Dateien ohne Befall
5374 Archive wurden durchsucht
24 Warnungen
0 Hinweise



Lg Kev

Danke!
__________
Social Impact
Hardrock the way it should be

#13 matt_tuckk

ja nun..igorieren ist keine so gute Idee - scanne noch mal und lasse alles entfernen, was gefunden wurde + poste den neuen Report
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo!

Ich bin beim googlen auf diesen Thread gestoßen und hänge mich in der Angelegenheit einfach mal dran. Hoffe dass es ok ist... Habe genau das gleiche Problem. Zusätzlich habe ich noch eine rot-weiße Seite, welche sich über den Desktop schiebt "Warning - Spyware detected on your Computer", darunter sind drei angebliche (?) Trojaner aufgeführt.

Kann mir bitte jemand helfen?!?

Kopie aus dem rapport.txt von smitfraudfix:

SmitFraudFix v2.361

Scan done at 18:58:38,12, 15.10.2008
Run from C:\Dokumente und Einstellungen\Bj”rn\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Wireless LAN Utility\TIWLANCu.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero8\Nero 8\InCD\NBHGui.exe
C:\Programme\Nero8\Nero 8\InCD\InCD.exe
C:\Programme\Nero8\Nero 8\InCD\InCDsrv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Wireless LAN Utility\tiwlnsvc.exe
C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Bj”rn


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Bj”rn\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\BJRN~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: qrbgltos.dll
SSODL: qrbgltos - {E78074DE-D27D-43A4-8646-ACB7268D6F70}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1\\mzvkbd.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~1\\mzvkbd3.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~1\\adialhk.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~1\\kloehk.dll vtgxvd.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g Wireless USB Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A877D768-B9BD-4428-8749-F56D0759B361}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A877D768-B9BD-4428-8749-F56D0759B361}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A877D768-B9BD-4428-8749-F56D0759B361}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


============================================0



Update:

HAb mit Search&Destroy noch 15 weitere Malware gefunden und bis auf einen "smitfraud-c" alles entfernen können. Den bekomme ich auch nicht durch S&D direkt bei Systemstart weg. Dafür ist jetzt das "Virus Alert" aus der Taskleiste fort.

Allerdings kommt immer noch das "Windows Security Alert" Pop Up.

Hier nochmal die aktuellste rapport.txt von SmitFraudFix:

Zitat

SmitFraudFix v2.361

Scan done at 20:01:27,09, 15.10.2008
Run from C:\Dokumente und Einstellungen\Bj”rn\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero8\Nero 8\InCD\InCDsrv.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Wireless LAN Utility\tiwlnsvc.exe
C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Wireless LAN Utility\TIWLANCu.exe
C:\Programme\Nero8\Nero 8\InCD\NBHGui.exe
C:\Programme\Nero8\Nero 8\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Björn\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Bj”rn


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Bj”rn\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\BJRN~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: qrbgltos.dll
SSODL: qrbgltos - {E78074DE-D27D-43A4-8646-ACB7268D6F70}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1\\mzvkbd.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~1\\mzvkbd3.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~1\\adialhk.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~1\\kloehk.dll vtgxvd.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g Wireless USB Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A877D768-B9BD-4428-8749-F56D0759B361}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A877D768-B9BD-4428-8749-F56D0759B361}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A877D768-B9BD-4428-8749-F56D0759B361}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#15 Hallo BGO

«
entferne mit Cleaner alle temporären Dateien
http://www.ccleaner.de/?protecus.de

«
lade findykill - wende Option 1 an + poste den report unter C:\FindyKill.txt
http://virus-protect.org/artikel/tools/findykill.html

«
lade combofix und poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit