mein problem Drive Cleaner!!! |
||
|---|---|---|
| #0
| ||
|
07.04.2007, 22:00
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
08.04.2007, 08:49
Moderator
Beiträge: 7805 |
#2
Deinstalliere bitte ueber "Software" whenUsave und loesche danach den Ordner C:\Programme\save
Um Divecleaner los zu werden nutze roughremover: http://www.malwarebytes.org/rogueremover.php Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm und lasse Antivir deine Festplatten pruefen und alle Funde in die Quarantäne schieben. Danach bitte nochmal hijackthis, Combofix und Antivir Report. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.04.2007, 10:22
...neu hier
Themenstarter Beiträge: 7 |
#3
Zitat raman postetewhenusave konnte ich entfernen, aber den ordner save habe ich nicht... der ist bei mir unter der festplatte C - Programme nicht aufgeführt... den rest probiere ich jetzt gleich aus... danke vielmals für deine hilfe!!! |
|
|
|
|
|
|
08.04.2007, 10:24
Moderator
Beiträge: 7805 |
#4
Wenn der Ordner nicht da ist, war die deinstallationsroutine sehr gruendlich. Ist gut so.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.04.2007, 11:09
...neu hier
Themenstarter Beiträge: 7 |
#5
ok... ich habe alles so gemacht, wie du es mir beschrieben hast... ich kopiere den hijack und den combofix hier rein... ich kann den antivir report nicht posten, da mein pc immer gleich abstürzt... wollte ihn als anhang posten, aber dann kommt immer die meldung "die seite konnte nicht angezeigt werden"... und wenn ich es hier im forum reinkopieren möchte, stürzt mein explorer ab... mein report hat ja auch 1900 seiten... was soll ich tun?
danke nochmals für die hilfe!!! Hijack Logfile of HijackThis v1.99.1 Scan saved at 10:58:24, on 08.04.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Creative\Shared Files\CAMTRAY.EXE C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\DOKUME~1\SabS\LOKALE~1\Temp\RtkBtMnt.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\SabS\Desktop\Internet Explorer.EXE C:\Dokumente und Einstellungen\SabS\Desktop\Internet Explorer.EXE C:\Dokumente und Einstellungen\SabS\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [RogueMonitor] C:\Programme\RogueRemover PRO\RogueRemoverPRO.exe /monitor O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/229?90896b7ab8da44ffbaef264456b06bca O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/230?90896b7ab8da44ffbaef264456b06bca O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe Combofix "SabS" - 07-04-08 11:00:02 Service Pack 1 ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\SabS\Desktop" /wow section - STAGE #3 ((((((((((((((((((((((((((((((( Files Created from 2007-03-08 to 2007-04-08 )))))))))))))))))))))))))))))))))) 2007-04-08 10:27 <DIR> d-------- C:\Programme\RogueRemover PRO 2007-04-07 14:08 <DIR> d-------- C:\Avenger 2007-04-07 13:48 <DIR> d-------- C:\Programme\Enigma Software Group 2007-03-30 21:38 <DIR> d-------- C:\DOKUME~1\SabS\ANWEND~1\DriveCleaner 2006 Free 2007-03-30 21:26 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2007-03-26 20:33 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-03-26 20:32 20,480 --a------ C:\WINDOWS\system32\hidserv.dll 2007-03-26 20:31 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-03-26 20:31 28,160 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2007-03-26 20:31 14,080 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys 2007-03-15 12:23 497,496 --a------ C:\WINDOWS\system32\XceedZip.dll 2007-03-15 12:19 526,184 --a------ C:\WINDOWS\system32\XceedCry.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-07 21:46 -------- d-------- C:\Programme\Gemeinsame Dateien\mssoap 2007-03-25 11:10 49372 --a------ C:\WINDOWS\system32\perfc007.dat 2007-03-25 11:10 320332 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-05 10:53 552 --a------ C:\WINDOWS\system32\d3d8caps.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe" "Free Download Manager"="C:\\Programme\\Free Download Manager\\fdm.exe -autorun" "RogueMonitor"="C:\\Programme\\RogueRemover PRO\\RogueRemoverPRO.exe /monitor" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SoundMan"="SOUNDMAN.EXE" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Creative WebCam Tray"="C:\\Programme\\Creative\\Shared Files\\CAMTRAY.EXE" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "SDR6U_Check"="\"C:\\Programme\\Gemeinsame Dateien\\DriveCleaner 2006 Free\\sdrmon.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 Usnsvc REG_MULTI_SZ usnsvc\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-08 11:01:21 C:\ComboFix-quarantined-files.txt ... 07-04-08 11:01 C:\ComboFix2.txt ... 07-04-07 22:15 C:\ComboFix3.txt ... 07-04-07 14:13 Dieser Beitrag wurde am 08.04.2007 um 11:15 Uhr von tears editiert.
|
|
|
|
|
|
|
08.04.2007, 11:20
Moderator
Beiträge: 7805 |
#6
Schau bitte ob du unter Software noch den Eintrag MyGlobalSearch(oder aehnlich) findest und deinstalliere das ebenfalls.
Zusaetzlich danach bitte folgendes Loeschen: C:\DOKUME~1\SabS\ANWEND~1\DriveCleaner 2006 Free C:\Programme\MyGlobalSearch Dann in Hijackthis folgendes anhaken und fix checked druecken(sofern noch vorhanden, nicht alles boese aber unnoetig): O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE Der Antivir Report hing nicht bei deinem Posting an. Bitte hole das nach __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.04.2007, 11:26
...neu hier
Themenstarter Beiträge: 7 |
#7
Zitat raman postetedas hier konnte ich unter software deinstallieren aber dann den ordner nicht löschen... es kommt immer ne meldung, dass es schreibgeschützt ist, gerade benutzt wird oder vollgeschrieben ist... Zitat raman posteteich kann den antivir report nicht posten... wenn ich es als anhang posten möchte, kommt "die seite konnte nicht angezeigt werden" und wenn ich es hier reinkopieren möchte, stürzt mein explorer ab... mein report hat ja auch fast 1900 seiten... was soll ich tun? danke!!! |
|
|
|
|
|
|
08.04.2007, 11:27
Moderator
Beiträge: 7805 |
#8
Hui, dann musst du den Report erst mit Zip oder aehnlichem Packen und dann anhaengen.
Im abgesicherten Modus solltest du den Ordner loeschen koennen: C:\Programme\MyGlobalSearch __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.04.2007, 11:33
...neu hier
Themenstarter Beiträge: 7 |
#9
Zitat raman posteteok... hier den antivir report... Anhang: Antivir report.zip
|
|
|
|
|
|
|
08.04.2007, 11:39
Moderator
Beiträge: 7805 |
#10
DU hast ja auch hoechste Reportstuife gewahelt!
 Wenn du den Ordner MyGlobalSearch und die entsprechenden Eintraege loeschen konntest, besuche www.windowsupdate.com und aktualisiere dein Windows __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.04.2007, 12:02
...neu hier
Themenstarter Beiträge: 7 |
#11
Zitat raman posteteoups...:-) sorry...*schäm* ja, ok... den ordner konnte ich jetzt löschen... bin im abgesicherten modus rein... die einträge habe ich auch gelöscht... wenn ich die seite besucht und mein windows aktualisiert habe, ist dann alles wieder i.o.? oder folgen weitere schritte? danke nochmals für deine hilfe!!! danke!!! |
|
|
|
|
|
|
08.04.2007, 12:10
Moderator
Beiträge: 7805 |
#12
Im Grunde ist alles sauber. Du kannst gerne noch die Reporte von Dafindbat posten, aber danach ist Windowsupdate angesagt.
datfindbat: http://virus-protect.org/datfindbat.html __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.04.2007, 12:32
...neu hier
Themenstarter Beiträge: 7 |
#13
Zitat raman posteteso... Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-4496 Verzeichnis von C:\DOKUME~1\SabS\LOKALE~1\Temp 08.04.2007 12:31 512 ~DF4FC9.tmp 08.04.2007 12:31 65'536 ~DF4FBE.tmp 08.04.2007 12:31 512 ~DF435F.tmp 08.04.2007 12:31 65'536 ~DF4350.tmp 08.04.2007 12:25 667 TWAIN.LOG 08.04.2007 12:25 3 Twain001.Mtx 08.04.2007 12:25 156 Twunk001.MTX 08.04.2007 12:12 81'920 ~DF110B.tmp 08.04.2007 11:59 81'920 ~DFE32.tmp 08.04.2007 11:46 81'920 ~DF4D86.tmp 08.04.2007 11:41 81'920 ~DF2BEF.tmp 08.04.2007 11:41 0 Twunk002.MTX 20.01.2007 00:54 17'976'688 BIT1.tmp 02.07.2006 23:51 488'448 RtkBtMnt.EXE 14 Datei(en) 18'925'738 Bytes 0 Verzeichnis(se), 7'566'700'544 Bytes frei und jetzt mach ich noch das update... danke nochmals... danke danke danke!!! |
|
|
|
|
|
|
08.04.2007, 12:35
Moderator
Beiträge: 7805 |
#14
Du solltest alle TXT Dateien posten, die datfindbat erstellt hat.
Im Zweifelsfalle diese auch alle mit Zip Packen und anhaengen.__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich hoffe, ihr habts gut... mir gehts leider ziemlich mies, da der drive cleaner mir den letzten nerv raubt...
ich habe, wie auch viele andere hier, ein riesen problem mit dem drive cleaner... ich habe alle anweisungen hier im forum befolgt, aber komme mit dem löschen dieses "programms" einfach nicht klar...
ich will den drive cleaner los werden, schaffe es aber nicht...
ich hoffe, ihr könnt mir weiterhelfen...
ich poste mal den ersten schritt...
Logfile of HijackThis v1.99.1
Scan saved at 21:53:39, on 07.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Save\Save.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\DOKUME~1\SabS\LOKALE~1\Temp\RtkBtMnt.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\SabS\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/229?90896b7ab8da44ffbaef264456b06bca
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/230?90896b7ab8da44ffbaef264456b06bca
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
und so sieht es jetzt aus nach combo fix...
"SabS" - 07-04-07 22:14:31 Service Pack 1
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\SabS\Desktop"
/wow section - STAGE #3
((((((((((((((((((((((((((((((( Files Created from 2007-03-07 to 2007-04-07 ))))))))))))))))))))))))))))))))))
2007-04-07 14:08 <DIR> d-------- C:\Avenger
2007-04-07 13:48 <DIR> d-------- C:\Programme\Enigma Software Group
2007-03-30 21:38 <DIR> d-------- C:\DOKUME~1\SabS\ANWEND~1\DriveCleaner 2006 Free
2007-03-30 21:26 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2007-03-30 21:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free
2007-03-26 20:33 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-03-26 20:32 20,480 --a------ C:\WINDOWS\system32\hidserv.dll
2007-03-26 20:31 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-03-26 20:31 28,160 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-03-26 20:31 14,080 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-03-15 12:23 497,496 --a------ C:\WINDOWS\system32\XceedZip.dll
2007-03-15 12:19 526,184 --a------ C:\WINDOWS\system32\XceedCry.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-04-07 21:46 -------- d-------- C:\Programme\save
2007-04-07 21:46 -------- d-------- C:\Programme\Gemeinsame Dateien\mssoap
2007-03-25 11:10 49372 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 11:10 320332 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-05 10:53 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"WhenUSave"="\"C:\\Programme\\Save\\Save.exe\""
"Free Download Manager"="C:\\Programme\\Free Download Manager\\fdm.exe -autorun"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Creative WebCam Tray"="C:\\Programme\\Creative\\Shared Files\\CAMTRAY.EXE"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SDR6U_Check"="\"C:\\Programme\\Gemeinsame Dateien\\DriveCleaner 2006 Free\\sdrmon.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-04-07 22:15:53
C:\ComboFix-quarantined-files.txt ... 07-04-07 22:15
C:\ComboFix2.txt ... 07-04-07 14:13