System sehr langsam seit Tagen

#1 Hallo Zusammen, habe schonmal ein bissel in eurem Forum rumgeschaut.
Habe das Problem das mein Rechner seit Tagen langsam ist und mein Virenprogramm gewisse Dateien wie, "zahl"exmodul.32d."zahl".exe erkennt und diese ein meinem Temp Ordner sehr oft vertreten sind, kann ich diese einfach löschen?

ach ja und nebenbei meine hijackthis Auswertung:

Logfile of HijackThis v1.99.1
Scan saved at 11:27:04, on 30.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Jap\jap.exe
C:\Programme\Java\j2re1.4.2\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\User\LOKALE~1\Temp\95exmodul32d.a.exe
C:\Dokumente und Einstellungen\User\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {436790D6-DA37-4267-9E8A-343A0D37B76A} - C:\WINDOWS\system32\iasads32.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

Über eine Antwort würde ich mich freuen :-)

[ulli]

#2 1. http://board.protecus.de/t23188.htm

bis auf hijackthis führe schonmal alles durch und poste die logs


2. ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

#3 Also der erste Teil:

User - 06-09-30 12:55:29,00 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Programme\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2006-08-30 to 2006-09-30 ))))))))))))))))))))))))))))))))))


2006-09-26 21:20 15,360 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-09-24 12:57 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-12 22:32 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2006-09-03 21:15 210,032 --a------ C:\WINDOWS\system32\DBCLIENT.DLL
2006-09-01 13:16 7,040 --a------ C:\WINDOWS\system32\drivers\serscan.sys
2006-09-01 13:15 54,784 --------- C:\WINDOWS\system32\BrNetSti.dll
2006-09-01 13:15 34,816 --------- C:\WINDOWS\system32\BrWiaNCp.dll
2006-09-01 13:15 31,744 --------- C:\WINDOWS\system32\Brnsplg.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-30 12:55 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-30 12:53 -------- d-------- C:\Programme\CleanUp!
2006-09-30 11:34 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-09-30 10:45 -------- d-------- C:\Programme\eMule
2006-09-29 17:35 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-09-27 22:18 -------- d-------- C:\Programme\Jap
2006-09-27 16:04 -------- d---s---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft
2006-09-27 15:57 -------- d-------- C:\Programme\Microsoft Virtual PC
2006-09-26 21:23 -------- d-------- C:\Programme\VirtualDJ
2006-09-24 15:54 -------- d-------- C:\Programme\Secret Maryo Chronicles
2006-09-24 13:27 -------- d-------- C:\Programme\Music Wizard
2006-09-24 13:05 -------- d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Azureus
2006-09-24 12:57 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-24 12:57 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-24 12:26 -------- d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ahead
2006-09-23 12:01 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-09-23 10:49 -------- d-------- C:\Programme\Ashampoo
2006-09-23 10:32 -------- d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\uTorrent
2006-09-23 09:40 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-23 09:39 -------- d-------- C:\Programme\Azureus
2006-09-23 09:38 -------- d-------- C:\Programme\a-squared HiJackFree
2006-09-18 22:41 -------- d-------- C:\Programme\Mueller-Fotoservice
2006-09-12 22:39 -------- d-------- C:\Programme\Trillian
2006-09-12 22:38 -------- d-------- C:\Programme\QuickTime
2006-09-12 22:10 -------- d-------- C:\Programme\Miranda IM
2006-09-12 19:27 -------- d-------- C:\Programme\Serials 2000 7.1 Plus
2006-09-10 16:33 -------- d-------- C:\Programme\ICQToolbar
2006-09-05 22:14 -------- d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\AdobeUM
2006-09-03 21:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2006-08-31 17:31 -------- d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\ScanSoft
2006-08-31 17:29 -------- d-------- C:\Programme\mp3Archiv
2006-08-31 17:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Logitech
2006-08-29 19:49 -------- d-------- C:\Programme\avmwlanstick
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-20 19:29 25974 --a------ C:\WINDOWS\system32\iasads32.dll
2006-08-19 14:23 -------- d-------- C:\Programme\PowerQuest
2006-08-19 13:43 107132 --a------ C:\WINDOWS\UninstallThunderbird.exe
2006-08-19 13:43 -------- d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Thunderbird
2006-08-19 13:41 -------- d-------- C:\Programme\Audacity 1.3 Beta
2006-08-16 16:22 -------- d-------- C:\Programme\Microsoft.NET
2006-08-16 16:22 -------- d-------- C:\Programme\Microsoft Office
2006-08-16 16:22 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-16 16:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-16 16:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-08-15 21:38 100489 --a------ C:\WINDOWS\UninstallFirefox.exe
2006-08-15 21:38 -------- d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla
2006-08-14 12:28 -------- d-------- C:\Programme\Runtime Software
2006-08-12 16:40 -------- d-------- C:\Programme\Internet Explorer
2006-08-02 15:53 -------- d-------- C:\Programme\ICQLite
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNRecode.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroVision.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroShowTime.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroMediaHome.exe
2006-07-14 17:29 966656 --a------ C:\WINDOWS\UNNeroBackItUp.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl05a\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
".nvsvc"="C:\\WINDOWS\\system\\smss.exe /w"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOKUME~1/User/LOKALE~1/Temp/msoclip1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOKUME~1/User/LOKALE~1/Temp/msoclip1/01/clip_image002.jpg"
"FriendlyName"=""
"Flags"=dword:00002001
"Position"=hex:2c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:dc,ff,26,03,f3,99,83,7c,70,9a,80,7c,ff,ff,ff,ff,66,9a,\
80,7c,66,9a,80,7c

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,ea,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\FRITZWLANMini.exe"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\CAPIControl.lnk"
"backup"="C:\\WINDOWS\\pss\\CAPIControl.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Telekom\\T-EUME~1\\Capictrl.exe "
"item"="CAPIControl"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HomeNet Control.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HomeNet Control.lnk"
"backup"="C:\\WINDOWS\\pss\\HomeNet Control.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Telekom\\T-EUME~1\\HNetCtrl.exe "
"item"="HomeNet Control"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\INTERV~1\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\WinZip Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Alcmtr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ALCMTR"
"hkey"="HKLM"
"command"="ALCMTR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BluetoothAuthenticationAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="rundll32"
"hkey"="HKLM"
"command"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Dit]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Dit"
"hkey"="HKLM"
"command"="Dit.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PaperPort PTD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pptd40nt"
"hkey"="HKLM"
"command"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SSBkgdUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SSBkgdupdate"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 30.09.2006 12:55:51.64
ComboFix.txt

-------------------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 4C01-7F87

Verzeichnis von C:\WINDOWS\system32

28.09.2006 19:04 2.206 wpa.dbl
27.09.2006 15:59 367.800 perfh009.dat
27.09.2006 15:59 57.026 perfc007.dat
27.09.2006 15:59 47.414 perfc009.dat
27.09.2006 15:59 376.840 perfh007.dat
27.09.2006 15:59 855.118 PerfStringBackup.INI
26.09.2006 21:21 15.360 BASSMOD.dll
26.09.2006 20:28 206.512 FNTCACHE.DAT
11.09.2006 19:37 8.960.936 MRT.exe
04.09.2006 19:08 24.072 uxtuneup.dll
01.09.2006 13:16 50 bridf05a.dat
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
20.08.2006 19:29 25.974 iasads32.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{436790D6-DA37-4267-9E8A-343A0D37B76A}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{436790D6-DA37-4267-9E8A-343A0D37B76A}

Files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\iasads32.dll
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\95exmodul32d.a.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 ich bekomme eine Fehlermeldung

#6 ich habe noch mal editiert, kopiere den neuen text rein und versuche es solange, bis der rechner neustartet
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 4C01-7F87

Verzeichnis von C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp

30.09.2006 13:47 <DIR> .
30.09.2006 13:47 <DIR> ..
30.09.2006 13:10 48.128 18exmodul32d.a.exe
30.09.2006 13:10 48.128 65exmodul32d.a.exe
30.09.2006 13:11 358.232 domains.txt
30.09.2006 13:11 120.055 domains.txt.cab
30.09.2006 12:55 <DIR> e4j148.tmp_dir29310
30.09.2006 13:11 88.071 fnames.txt
30.09.2006 13:11 28.894 fnames.txt.cab
30.09.2006 10:09 <DIR> hsperfdata_User
30.09.2006 12:55 <DIR> isp63.tmp
30.09.2006 13:11 187.993 lnames.txt
30.09.2006 13:11 85.470 lnames.txt.cab
30.09.2006 13:47 49 modul32d.a.exe.conf
30.09.2006 12:55 <DIR> NeroDemo10959
23.09.2006 11:48 <DIR> nro.log
30.09.2006 12:55 <DIR> VBE
30.09.2006 12:55 <DIR> WAS1225.tmp
30.09.2006 12:55 <DIR> WAS304C.tmp
30.09.2006 12:55 <DIR> WAS3975.tmp
30.09.2006 12:55 <DIR> WAS4D3B.tmp
30.09.2006 12:55 <DIR> WASA073.tmp
30.09.2006 12:55 <DIR> WASB55E.tmp
30.09.2006 12:55 <DIR> WASE0B0.tmp
30.09.2006 12:55 <DIR> WER65a5.dir00
30.09.2006 12:55 <DIR> WER74fa.dir00
30.09.2006 12:55 <DIR> WERa213.dir00
30.09.2006 12:55 <DIR> _ISTMP2.DIR
30.09.2006 12:55 <DIR> _WOC
01.09.2006 13:14 <DIR> {52B891D1-DB1F-4EAA-ABA3-A9DAC213D4FF}
9 Datei(en) 965.020 Bytes
21 Verzeichnis(se), 35.967.426.560 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 4C01-7F87

Verzeichnis von C:\WINDOWS\Temp

30.09.2006 12:55 <DIR> .
30.09.2006 12:55 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 35.967.426.560 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 4C01-7F87

Verzeichnis von C:\Temp

14.07.2006 17:29 <DIR> .
14.07.2006 17:29 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 35.967.426.560 Bytes frei

#8 **
hat der avenger nun funktioniert ? warum hast du nicht das log gepostet ?

**
Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\18exmodul32d.a.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\65exmodul32d.a.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\modul32d.a.exe.conf
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\iasads32.dll
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tmp1.tmp

Folders to delete:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\isp63.tmp

poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 bekomme immernoch die Fehlermeldung.
ich verzweifel bald

#10 gehe in die registry
Start -Ausfuehren - regedit

bearbeiten - suchen - Windows Log und iasads32

loeschen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{436790D6-DA37-4267-9E8A-343A0D37B76A}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{436790D6-DA37-4267-9E8A-343A0D37B76A}

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

---------------------------------

Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\18exmodul32d.a.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\65exmodul32d.a.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\modul32d.a.exe.conf
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\iasads32.dll
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tmp1.tmp
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\iasads32.dll
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\95exmodul32d.a.exe

PC neustarten

poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002dc9

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Telekom\\T-Eumex 520PC\\HNetCtrl.exe"="C:\\Programme\\Telekom\\T-Eumex 520PC\\HNetCtrl.exe:*:Enabled:HomeNetCtrl"
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*isabled:Realmon"
"C:\\Programme\\InterVideo\\DVD5\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD5\\WinDVD.exe:*isabled:WinDVD"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"E:\\fsetup.exe"="E:\\fsetup.exe:*:Enabled:AVM FSetup Application"
"C:\\Programme\\eMule\\eMule.exe"="C:\\Programme\\eMule\\eMule.exe:*:Enabled:eMule"
"C:\\Programme\\Miranda IM\\miranda32.exe"="C:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Dokumente und Einstellungen\\User\\Desktop\\emule.exe"="C:\\Dokumente und Einstellungen\\User\\Desktop\\emule.exe:*:Enabled:eMule"
"C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Temp\\Rar$EX02.437\\emule.exe"="C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Temp\\Rar$EX02.437\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\uTorrent\\utorrent.exe"="C:\\Programme\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\73exmodul32d.5.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\73exmodul32d.5.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\61exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\61exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\92exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\92exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\35exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\35exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\90exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\90exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\62exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\62exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\57exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\57exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\58exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\58exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\50exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\50exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\56exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\56exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\31exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\31exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\78exmodul32d.6.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\78exmodul32d.6.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\98exmodul32d.8.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\98exmodul32d.8.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\74exmodul32d.8.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\74exmodul32d.8.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\36exmodul32d.8.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\36exmodul32d.8.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\35exmodul32d.8.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\35exmodul32d.8.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\74exmodul32d.a.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\74exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\95exmodul32d.a.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\95exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\65exmodul32d.a.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\65exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\18exmodul32d.a.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\18exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\89exmodul32d.a.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\89exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\64exmodul32d.a.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\64exmodul32d.a.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]



#12 gehe in die Registry

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

loeschen:

"C:\\WINDOWS\\system32\\svchost.exe

"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\73exmodul32d.5.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\61exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\92exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\35exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\90exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\62exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\57exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\58exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\50exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\56exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\31exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\78exmodul32d.6.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\98exmodul32d.8.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\74exmodul32d.8.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\36exmodul32d.8.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\35exmodul32d.8.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\74exmodul32d.a.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\95exmodul32d.a.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\65exmodul32d.a.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\18exmodul32d.a.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\89exmodul32d.a.exe
"C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\64exmodul32d.a.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 -> in 0 aendern
"AntiVirusOverride"=dword:00000001 -> in 0 aendern

PC neustarten

**
scanne mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit