Winfixer 2005 wie kann ich ihn löschen?

#46 joa ich glaub schon seid dem ich das letzte gelöscht habe läuft er eigentlich recht gut und die winfixer werbung is mir auch noch ned aufgefallen...
vielen vielen dank...

#47 Logfile of HijackThis v1.99.1
Scan saved at 18:34:38, on 28.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Games\Steam\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CraXy\LOKALE~1\Temp\Rar$EX00.298\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://zap-gaming.de/
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [GIskf4j] C:\WINDOWS\rqwjgkow.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [0BGkYc] C:\WINDOWS\qfyqb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] D:\Games\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

PLS helfen PLS PLS ich blick heir kein bisschen durch weis net was das ist hab ich eben heir im Forum gelesen udn vertseh nru Bahnhof


WInfixxer kam immer mein Anti Vir Xp is zu dumm zum löschen und die anderen erkennnen net mal Spy ware blockiert über 8200 Files

is das ein hoffnungsloser Fall?

#48 Hallo@CraXy

Geh in die registry
Strart-->Ausfuehren--> regedit

bearbeiten--> suchen-> switp

HKEY_LOCAL_MACHINE\SOFTWARE\switp <--loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall switp <--loeschen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [GIskf4j] C:\WINDOWS\rqwjgkow.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
O4 - HKLM\..\Run: [0BGkYc] C:\WINDOWS\qfyqb.exe
O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
fixe es auch, nur damit es aus dem Autostart kommt ...behindert andere Virenscanner:
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

PC neustarten

•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
OfferAgent

um das zu loeschen:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XM7WPMV\offeragent[1].exe
wende cleanUp an
http://virus-protect.org/cleanup.html

counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit

#49 Logfile of HijackThis v1.99.1
Scan saved at 14:01:17, on 29.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\CraXy.CRAX.000\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Hallo Sabina Ich habe in der Regedit gesucht aber es hat es nicht gefudnen hab gestern ma Win neu installiert Hilf mir mal PLS hier weiter wow cleanup über 2000 Files udn tendenz steigend ich hoff ma das jetzt alels wech is wenn net dann melde ich mcih THX schon mal

Hm ich alde den Counterpsy aber der is ne PDF datei udn wie öffne ich den?

#50 CraXy

Zitat

Counterpsy aber der is ne PDF datei

????
davon weiss ich nichts....

Zitat

cleanup über 2000 Files

die musst du alle loeschen

scanne also mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#51 Hallo Ihr Lieben...

bin auf euer Forum gestoßen, weil ich ein WinFixer-Problem habe...

Hoffe, ihr könnt mir in einfachen Worten weiterhelfen... bin technisch nicht sehr bewandert... aber dass ich HijackThis laufen lassen soll, hab ich schon mal verstanden! Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:50:43, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\system32\scchk32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Ricky.VALLON-R\Desktop\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &Yahoo! Search - file:///F:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///F:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///F:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///F:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140888859966
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153696906750
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\Software\..\Telephony: DomainName = Vallon
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Vallon
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Bitte, bitte helft mir... in einfachen Worten, ich blick nämlich bei dem Log schon net durch... Danke!!!
Weder Ad-Aware SE Personal, noch Xoftspy SE noch andere Programme konnten mir bisher weiterhelfen und ich will mir eigentlich nicht noch ein paar Nächte um die Ohren hauen müssen...

Bin für jede Hilfe dankbar!!!
Grüßle, Riggele

#52 Mache noch punkt 1. und 2, http://board.protecus.de/t23188.htm
__________
MfG Argus

#53 Hi Arnold, 1 hab ich schon erledigt, 2 bin ich gerade dran...
muss ich danach dann auch noch mal die Nummer 3 machen, also nen neuen HijackThis-Scan vorlegen, oder gilt dann der alte noch?

Vielen lieben Dank,Riggele

#54 Der alte gilt noch Nur ComboFix
__________
MfG Argus

#55 Okay, supi, dann kommt hier jetzt mal der ComboFix-Log...
Wenn ihr da draus schlau werdet, dann isses ja gut... ich hab keinen blassen Schimmer, was das jetzt aussagt...
DANKEEEEEEEEE!!!

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Ricky.VALLON-R\Desktop\ComboFix.exe
"Ricky" - 2007-06-26 23:14:17 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 22:44 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 22:41 596 ---hs---- C:\WINDOWS\system32\knnmp.ini2
2007-06-26 19:38 <DIR> d-------- C:\WINDOWS\pss
2007-06-26 18:04 <DIR> d-------- C:\!KillBox
2007-06-26 16:24 516 --a------ C:\nkwncvkg3.exe
2007-06-26 15:39 516 --a------ C:\nkwncvkg2.exe
2007-06-26 15:39 516 --a------ C:\nkwncvkg1.exe
2007-06-26 14:59 128,576 --a------ C:\WINDOWS\system32\ffhrentv.dll
2007-06-26 14:56 66,112 --a------ C:\WINDOWS\system32\titfvaiv.dll
2007-06-26 14:55 <DIR> d-------- C:\WINDOWS\system32\nkwncvkg
2007-06-26 14:35 287,232 --a------ C:\WINDOWS\system32\scchk32.exe
2007-06-26 14:31 31,254 --a------ C:\WINDOWS\system32\ljjhggg.dll
2007-06-26 14:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Spybot - Search & Destroy
2007-06-26 03:20 <DIR> d-------- C:\Programme\XoftSpySE
2007-06-26 00:59 4,672 --a------ C:\WINDOWS\system32\tqpnugwj.exe
2007-06-26 00:56 1,173,030 ---hs---- C:\WINDOWS\system32\knnmp.bak2
2007-06-25 02:29 266,336 --------- C:\WINDOWS\system32\pmnnk.dll
2007-06-25 02:25 11,776 --a------ C:\WINDOWS\mgrs.exe
2007-06-25 02:24 31,254 --a------ C:\WINDOWS\system32\gebcyyv.dll
2007-06-25 02:23 31,254 --a------ C:\WINDOWS\system32\khfebxx.dll
2007-06-25 02:10 <DIR> d-------- C:\Programme\Minilyrics
2007-06-20 17:22 <DIR> d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\FFSJ
2007-06-15 14:21 <DIR> d-------- C:\Programme\Sibelius Software
2007-06-14 17:21 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Sibelius Software
2007-06-14 17:19 <DIR> d-------- C:\Programme\Sibelius 4
2007-06-12 02:13 61,440 --a------ C:\WINDOWS\system32\ASUSW32N50.dll
2007-06-12 02:13 212,992 -r------- C:\WINDOWS\system32\dartsock.dll
2007-06-12 02:13 176,128 -r------- C:\WINDOWS\system32\DartSnmp.dll
2007-06-12 02:13 16,269 --a------ C:\WINDOWS\system32\ASNDIS5.sys
2007-06-12 02:13 <DIR> d-------- C:\Programme\ASUS
2007-06-12 00:58 <DIR> d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Leadertech
2007-06-01 10:08 <DIR> d-------- C:\Programme\Monkey's Audio
2007-05-28 14:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-05-26 16:10 <DIR> d-------- C:\Programme\PeerGuardian2


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 20:38:57 -------- d-----w C:\Programme\SpeedFan
2007-06-26 20:35:58 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-06-26 18:48:13 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Skype
2007-06-25 16:13:11 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-06-16 06:17:09 -------- d-----w C:\Programme\Norton AntiVirus
2007-06-15 16:31:31 480,568 -c--a-w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-06-15 11:14:28 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\AdobeUM
2007-06-15 10:51:25 4,797 ----a-w C:\WINDOWS\mozver.dat
2007-06-14 07:28:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-06-12 07:48:08 70,976 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-12 07:48:08 405,692 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-12 07:17:13 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\BitTorrent
2007-05-28 12:39:54 -------- d-----w C:\Programme\Skype
2007-05-24 23:52:22 720,896 ----a-w C:\WINDOWS\iun6002ev.exe
2007-05-18 21:19:14 -------- d-----w C:\Programme\DivX
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 22:29:00 -------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-05-08 16:19:31 -------- d-----w C:\Programme\ICQ6
2007-04-30 13:57:35 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\stickies
2007-04-28 19:57:28 -------- d-----w C:\Programme\Winamp
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-25 11:49:51 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-07 19:04:23 48,776 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-03-30 03:16:59 24,575 ----a-w C:\WINDOWS\system32\Bwinsysmwappio60.dll
2007-03-29 02:42:42 29,704 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2007-03-28 16:51:54 538,256 ----a-w C:\WINDOWS\system32\SymNeti.dll
2007-03-28 16:51:52 161,424 ----a-w C:\WINDOWS\system32\SymRedir.dll
2004-08-04 12:00:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 12:00:00 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-04 12:00:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2007-02-16 19:41]
{1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\titfvaiv.dll [2007-06-26 14:56]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 16:21]
{7C24493F-3D23-4258-9426-42C5FC3B8211}=C:\WINDOWS\system32\khfebxx.dll [2007-06-25 02:23]
{A5FBBE52-8FF5-41CA-AEE4-964F3AF71CFB}=C:\WINDOWS\system32\pmnnk.dll [2007-06-25 02:29]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}=C:\Programme\Norton AntiVirus\NavShExt.dll [2007-06-07 14:44]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-22 12:11]
"Control Center"="C:\Programme\ASUS\WLAN Card Utilities\Center.exe" [2003-04-11 11:57]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2005-07-25 13:01]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{7C24493F-3D23-4258-9426-42C5FC3B8211}"="C:\WINDOWS\system32\khfebxx.dll" [2007-06-25 02:23]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfebxx]
khfebxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnk]
C:\WINDOWS\system32\pmnnk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32]
winzlo32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
"C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
C:\Programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\icq.com]
rundll32.exe "C:\WINDOWS\system32\ffhrentv.dll",forkonce

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PeerGuardian]
C:\Programme\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SC2]
C:\WINDOWS\system32\scchk32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
C:\Programme\SPYWAREfighter\spftray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CXMon"="C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"RegisterDropHandler"=C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-06-15 15:17:36 C:\WINDOWS\tasks\1-Click Maintenance.job
2007-06-15 19:22:03 C:\WINDOWS\tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Ricky.job
2007-06-26 21:05:15 C:\WINDOWS\tasks\XoftSpySE 2.job
2007-06-26 18:11:20 C:\WINDOWS\tasks\XoftSpySE.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 23:17:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 23:20:12
C:\ComboFix-quarantined-files.txt ... 2007-06-26 23:20

--- E O F ---

#56 Download VundoFix zum Desktop
Doppelklick auf VundoFix.exe um das Tool zu starten
Klicke “Scan for Vundo”
Wenn der scan vorueber ist klicke “Remove Vundo”
Wenn man die Meldung kommt “remove”,klicke Yes
Danach werden alle Desktop-Symbole verschwinden
Dann wird man gefragt,ob der PC neustarten soll,klicke OK
Kopiere den Inhalt des Berichts “C:\vundofix.txt
der jetzt auf dein Desktop steht in diesen Thread

Note:
Es ist moeglich das eine Datei von VundoFix nicht entfernt werden kann
wenn dies der fall ist wird nach neustart des Rechners Vundufix neu starten
und muss die Prozedur des scannens wiederholt werden!
Klicke “Scan for Vundo”

Download: RemoveVideoActiveXObject by Smeenk,zum Desktop
Danach dopplelklicken
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken
Poste nachher den logfile C:\RVAXO-results.log in dein folgender Bericht

und nochmal ein neuer log von Combofix und Hijack This
__________
MfG Argus

#57 Hier kommt Vundofix... das andere muss ich noch machen...

VundoFix V6.5.1

Checking Java version...

Sun Java not detected
Scan started at 23:44:17 26.06.2007

Listing files found while scanning....

C:\WINDOWS\system32\knnmp.bak2
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\knnmp.ini2
C:\WINDOWS\system32\knnmp.tmp
C:\WINDOWS\system32\pmnnk.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\knnmp.bak2
C:\WINDOWS\system32\knnmp.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\knnmp.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\knnmp.ini2
C:\WINDOWS\system32\knnmp.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\knnmp.tmp
C:\WINDOWS\system32\knnmp.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\pmnnk.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.1

Checking Java version...

Sun Java not detected
Scan started at 23:55:26 26.06.2007

Listing files found while scanning....



RVAXO Log:

----------------RemoveVideoActiveXObject.exe first run-------------

Files found:

C:\WINDOWS\system32\stvwa.bak1

Uninstallers Rogue scanners:


Folders Found:


--------------RemoveVideoActiveXObject.exe last run---------------

Files found:


Uninstallers Rogue scanners:


Folders Found:

#58 und nochmal ein neuer log von Combofix und Hijack This
__________
MfG Argus

#59 Neuer CombiFix Log:

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Ricky.VALLON-R\Desktop\ComboFix.exe
"Ricky" - 2007-06-27 0:17:24 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-27 00:07 35,693 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-06-27 00:07 <DIR> d-------- C:\WINDOWS\system32\RVAXO
2007-06-26 23:58 266,336 --a------ C:\WINDOWS\system32\awvts.dll
2007-06-26 23:44 <DIR> d-------- C:\VundoFix Backups
2007-06-26 22:44 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 19:38 <DIR> d-------- C:\WINDOWS\pss
2007-06-26 18:04 <DIR> d-------- C:\!KillBox
2007-06-26 16:24 516 --a------ C:\nkwncvkg3.exe
2007-06-26 15:39 516 --a------ C:\nkwncvkg2.exe
2007-06-26 15:39 516 --a------ C:\nkwncvkg1.exe
2007-06-26 14:59 128,576 --a------ C:\WINDOWS\system32\ffhrentv.dll
2007-06-26 14:56 66,112 --a------ C:\WINDOWS\system32\titfvaiv.dll
2007-06-26 14:55 <DIR> d-------- C:\WINDOWS\system32\nkwncvkg
2007-06-26 14:35 287,232 --a------ C:\WINDOWS\system32\scchk32.exe
2007-06-26 14:31 31,254 --a------ C:\WINDOWS\system32\ljjhggg.dll
2007-06-26 14:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Spybot - Search & Destroy
2007-06-26 03:20 <DIR> d-------- C:\Programme\XoftSpySE
2007-06-26 00:59 4,672 --a------ C:\WINDOWS\system32\tqpnugwj.exe
2007-06-25 02:25 11,776 --a------ C:\WINDOWS\mgrs.exe
2007-06-25 02:24 31,254 --a------ C:\WINDOWS\system32\gebcyyv.dll
2007-06-25 02:23 31,254 --a------ C:\WINDOWS\system32\khfebxx.dll
2007-06-25 02:10 <DIR> d-------- C:\Programme\Minilyrics
2007-06-20 17:22 <DIR> d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\FFSJ
2007-06-15 14:21 <DIR> d-------- C:\Programme\Sibelius Software
2007-06-14 17:21 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Sibelius Software
2007-06-14 17:19 <DIR> d-------- C:\Programme\Sibelius 4
2007-06-12 02:13 61,440 --a------ C:\WINDOWS\system32\ASUSW32N50.dll
2007-06-12 02:13 212,992 -r------- C:\WINDOWS\system32\dartsock.dll
2007-06-12 02:13 176,128 -r------- C:\WINDOWS\system32\DartSnmp.dll
2007-06-12 02:13 16,269 --a------ C:\WINDOWS\system32\ASNDIS5.sys
2007-06-12 02:13 <DIR> d-------- C:\Programme\ASUS
2007-06-12 00:58 <DIR> d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Leadertech
2007-06-01 10:08 <DIR> d-------- C:\Programme\Monkey's Audio
2007-05-28 14:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 22:21:57 -------- d-----w C:\Programme\SpeedFan
2007-06-26 22:21:01 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-06-26 18:48:13 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Skype
2007-06-26 17:55:40 -------- d-----w C:\Programme\PeerGuardian2
2007-06-25 16:13:11 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-06-16 06:17:09 -------- d-----w C:\Programme\Norton AntiVirus
2007-06-15 16:31:31 480,568 -c--a-w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-06-15 11:14:28 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\AdobeUM
2007-06-15 10:51:25 4,797 ----a-w C:\WINDOWS\mozver.dat
2007-06-14 07:28:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-06-12 07:48:08 70,976 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-12 07:48:08 405,692 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-12 07:17:13 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\BitTorrent
2007-05-28 12:39:54 -------- d-----w C:\Programme\Skype
2007-05-24 23:52:22 720,896 ----a-w C:\WINDOWS\iun6002ev.exe
2007-05-18 21:19:14 -------- d-----w C:\Programme\DivX
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 22:29:00 -------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-05-08 16:19:31 -------- d-----w C:\Programme\ICQ6
2007-04-30 13:57:35 -------- d-----w C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\stickies
2007-04-28 19:57:28 -------- d-----w C:\Programme\Winamp
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-25 11:49:51 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-07 19:04:23 48,776 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-03-30 03:16:59 24,575 ----a-w C:\WINDOWS\system32\Bwinsysmwappio60.dll
2007-03-29 02:42:42 29,704 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2007-03-28 16:51:54 538,256 ----a-w C:\WINDOWS\system32\SymNeti.dll
2007-03-28 16:51:52 161,424 ----a-w C:\WINDOWS\system32\SymRedir.dll
2004-08-04 12:00:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 12:00:00 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-04 12:00:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2007-02-16 19:41]
{1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\titfvaiv.dll [2007-06-26 14:56]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 16:21]
{7C24493F-3D23-4258-9426-42C5FC3B8211}=C:\WINDOWS\system32\khfebxx.dll [2007-06-25 02:23]
{7E166A58-4959-47AF-883D-7B2F87A0E4C3}=C:\WINDOWS\system32\awvts.dll [2007-06-26 23:58]
{A5FBBE52-8FF5-41CA-AEE4-964F3AF71CFB}=C:\WINDOWS\system32\pmnnk.dll []
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}=C:\Programme\Norton AntiVirus\NavShExt.dll [2007-06-07 14:44]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-22 12:11]
"Control Center"="C:\Programme\ASUS\WLAN Card Utilities\Center.exe" [2003-04-11 11:57]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2005-07-25 13:01]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{7C24493F-3D23-4258-9426-42C5FC3B8211}"="C:\WINDOWS\system32\khfebxx.dll" [2007-06-25 02:23]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvts]
C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfebxx]
khfebxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32]
winzlo32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
"C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
C:\Programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\icq.com]
rundll32.exe "C:\WINDOWS\system32\ffhrentv.dll",forkonce

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PeerGuardian]
C:\Programme\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SC2]
C:\WINDOWS\system32\scchk32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
C:\Programme\SPYWAREfighter\spftray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CXMon"="C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"RegisterDropHandler"=C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-06-15 15:17:36 C:\WINDOWS\tasks\1-Click Maintenance.job
2007-06-15 19:22:03 C:\WINDOWS\tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Ricky.job
2007-06-26 22:12:19 C:\WINDOWS\tasks\XoftSpySE 2.job
2007-06-26 18:11:20 C:\WINDOWS\tasks\XoftSpySE.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-27 00:26:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-27 0:29:17
C:\ComboFix-quarantined-files.txt ... 2007-06-27 00:29
C:\ComboFix2.txt ... 2007-06-26 23:20

--- E O F ---

Und hier noch der HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 00:31:06, on 27.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\explorer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\RICKY~1.VAL\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Yahoo! Search - file:///F:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///F:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///F:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///F:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140888859966
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153696906750
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\Software\..\Telephony: DomainName = Vallon
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Vallon
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



Hoffe, da is was Brauchbares dabei...

#60 Jetzt kommt das schönste

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als ComboFix-Do.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

File::
C:\WINDOWS\system32\awvts.dll
C:\nkwncvkg3.exe
C:\nkwncvkg2.exe
C:\nkwncvkg1.exe
C:\WINDOWS\system32\ffhrentv.dll
C:\WINDOWS\system32\titfvaiv.dll
C:\WINDOWS\system32\nkwncvkg
C:\WINDOWS\system32\scchk32.exe
C:\WINDOWS\system32\ljjhggg.dll
C:\WINDOWS\system32\tqpnugwj.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\system32\gebcyyv.dll
C:\WINDOWS\system32\khfebxx.dll

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvts]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfebxx]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32]

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus