drivecleaner und asiafriendfinder

#1 ich bekomme driveleaner nicht mehr von meinem system weg. ich habe schon etwa 10 antyspyware programme ausprobiert aber nichts hilft.. ich konnte mit spybot die dateien zwar löschen kamen aber beim nächsten IE start wieder und auch beim nächsten spybot scan.
ich habe zwar keine ahnung von hijackthis logs und so aber ich poste hier mal mein logfile (ich hoffe das reicht aus)

Logfile of HijackThis v1.99.1
Scan saved at 22:51, on 2007-05-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\programme\panda software\panda antivirus 2007\WebProxy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Ralph\Desktop\HJT\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3147A75F-A24F-4B6C-AA0D-6502B242FD90} - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: (no name) - {44CDDCE8-AA37-4CF4-B145-E4AAAFC3879D} - (no file)
O2 - BHO: (no name) - {45B1582E-A6F5-48A3-98FC-7D7AC922FA18} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7C79BBC2-56C9-4CC8-BC45-233C2D36C4DF} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A0FE50EB-AEA8-4158-B969-6A4EBA3F4B8B} - (no file)
O2 - BHO: (no name) - {C33639BA-99C5-4E0F-A949-92CF0117EA71} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tntralph.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162680819682
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5024/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Skype\Plugin Manager\Skype4COM.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: mljgfcy - C:\WINDOWS\
O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe

#2 du hast ein paar leere einträge, und arbeite aber noch bitte folgendes ab:

http://board.protecus.de/t23187.htm

#3 was sind leere einträge?

hier nochmal mein HJT logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:37, on 2007-05-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
c:\programme\panda software\panda antivirus 2007\WebProxy.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Ralph\Desktop\HJT\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3147A75F-A24F-4B6C-AA0D-6502B242FD90} - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: (no name) - {44CDDCE8-AA37-4CF4-B145-E4AAAFC3879D} - (no file)
O2 - BHO: (no name) - {45B1582E-A6F5-48A3-98FC-7D7AC922FA18} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7C79BBC2-56C9-4CC8-BC45-233C2D36C4DF} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A0FE50EB-AEA8-4158-B969-6A4EBA3F4B8B} - (no file)
O2 - BHO: (no name) - {C33639BA-99C5-4E0F-A949-92CF0117EA71} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tntralph.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162680819682
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5024/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Skype\Plugin Manager\Skype4COM.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: mljgfcy - C:\WINDOWS\
O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe

dann die datfind logfiles (combofix geht nicht kommt immer meldung dass die instalation corrupt sei):

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8477-4DB8

Verzeichnis von C:\WINDOWS\system32

2007-05-24 17:07 88,566 nvapps.xml
2007-05-24 17:07 2,422 wpa.dbl
2007-05-23 00:48 240 PavCPL.dat
2007-05-22 23:28 143 mcrh.tmp
2007-05-22 22:38 827,888 cdyuauvk.ini
2007-05-21 18:59 831,954 vqlmgxvv.ini
2007-05-20 18:41 833,161 ejqtqalf.ini
2007-05-19 17:25 833,162 pypbwmjt.ini
2007-05-19 11:39 844,950 vkmtkslk.ini
2007-05-09 22:51 403,528 perfh009.dat
2007-05-09 22:51 63,130 perfc009.dat
2007-05-09 22:51 418,634 perfh007.dat
2007-05-09 22:51 75,998 perfc007.dat
2007-05-09 22:51 973,998 PerfStringBackup.INI
2007-05-07 18:14 302,032 FNTCACHE.DAT
2007-05-06 18:37 2,953 CONFIG.NT
2007-05-06 17:04 0 video.avs
2007-04-27 22:45 14,970,328 MRT.exe
2007-04-18 18:13 2,854,400 msi.dll
2007-04-18 13:13 4,254 jupdate-1.6.0_01-b06.log
2007-04-06 22:58 1,994 iklog.log
2007-04-03 16:28 383,488 ieapfltr.dll
2007-04-03 06:36 2,453,952 ieapfltr.dat
2007-03-17 15:44 293,376 winsrv.dll
2007-03-14 02:04 139,264 javaws.exe
2007-03-14 02:04 69,632 javacpl.cpl
2007-03-14 00:31 135,168 javaw.exe
2007-03-14 00:31 135,168 java.exe
2007-03-09 12:24 123,392 xpsp3res.dll
2007-03-08 17:36 579,072 user32.dll
2007-03-08 17:36 281,600 gdi32.dll
2007-03-08 17:36 40,960 mf3216.dll
2007-03-08 17:32 1,843,712 win32k.sys
2007-03-07 19:40 232,960 webcheck.dll
2007-03-07 19:40 1,150,464 urlmon.dll
2007-03-07 19:40 822,784 wininet.dll
2007-03-07 19:40 670,720 mstime.dll
2007-03-07 19:40 102,400 occache.dll
2007-03-07 19:40 105,984 url.dll
2007-03-07 19:40 477,696 mshtmled.dll
2007-03-07 19:40 193,024 msrating.dll
2007-03-07 19:40 3,581,952 mshtml.dll
2007-03-07 19:40 458,752 msfeeds.dll
2007-03-07 19:40 27,136 jsproxy.dll
2007-03-07 19:40 51,712 msfeedsbs.dll
2007-03-07 19:40 1,823,744 inetcpl.cpl
2007-03-07 19:40 44,544 iernonce.dll
2007-03-07 19:40 6,054,400 ieframe.dll
2007-03-07 19:40 266,752 iertutil.dll
2007-03-07 19:40 132,608 extmgr.dll
2007-03-07 19:40 384,000 iedkcs32.dll
2007-03-07 19:40 230,400 ieaksie.dll
2007-03-07 19:40 153,088 ieakeng.dll
2007-03-07 19:40 124,928 advpack.dll
2007-03-07 10:27 56,832 ie4uinit.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8477-4DB8

Verzeichnis von C:\DOKUME~1\Ralph\LOKALE~1\Temp

2007-05-24 17:12 173 jusched.log
1 Datei(en) 173 Bytes
0 Verzeichnis(se), 61,543,067,648 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8477-4DB8

Verzeichnis von C:\WINDOWS

2007-05-24 12:07 2,793 wmsetup.log
2007-05-24 12:07 1,275,017 WindowsUpdate.log
2007-05-24 11:58 37 ~8Ô
2007-05-24 11:54 0 0.log
2007-05-24 11:54 159 wiadebug.log
2007-05-24 11:54 50 wiaservc.log
2007-05-24 11:54 2,048 bootstat.dat
2007-05-23 23:32 32,544 SchedLgU.Txt
2007-05-23 17:17 54,156 QTFont.qfn
2007-05-23 00:56 37 88Ô
2007-05-23 00:55 37 r007
2007-05-22 23:37 200 DXError.log
2007-05-22 23:37 26,946 DirectX.log
2007-05-22 22:50 8,898 iis6.log
2007-05-22 22:50 2,057 comsetup.log
2007-05-22 22:50 22,796 tsoc.log
2007-05-22 22:50 11,611 ntdtcsetup.log
2007-05-22 22:50 1,374 imsins.log
2007-05-22 22:50 3,205 ocmsn.log
2007-05-22 22:50 12,152 KB927891.log
2007-05-22 22:50 2,860 msgsocm.log
2007-05-22 22:50 2,916 ocgen.log
2007-05-22 22:50 56,251 FaxSetup.log
2007-05-22 22:50 6,041 setupapi.log
2007-05-22 22:50 0 setupact.log
2007-05-22 22:50 6,760 updspapi.log
2007-05-22 20:36 116 NeroDigital.ini
2007-05-21 18:41 1,409 QTFont.for
2007-05-18 19:47 767 jcterminals
2007-05-09 23:00 17,599 KB931768-IE7.log
2007-05-09 22:58 1,355 imsins.BAK
2007-05-09 22:58 10,813 KB930916.log
2007-05-08 23:13 67 #1 DVD Ripper.INI
2007-05-07 21:05 88 AoADVDRipper.INI
2007-05-07 18:30 37 ~L
2007-05-07 18:11 837 win.ini
2007-05-06 22:26 737,280 iun6002.exe
2007-04-27 12:16 0 AS_Debug.txt
2007-04-27 12:04 645 chipset.log
2007-04-27 00:36 84 opt_1440.ini
2007-04-18 21:49 16,042 hhdrvi.log
2007-04-16 13:40 441 lexstat.ini
2007-04-15 14:00 341 nsw.log
2007-04-12 19:33 16,746 dasetup.log
2007-04-10 23:36 20,172 KB931784.log
2007-04-10 23:35 13,278 KB931261.log
2007-04-10 23:35 12,759 KB930178.log
2007-04-10 23:35 12,578 KB932168.log
2007-04-06 22:58 958 SpywareDoctor5Uninstall.log
2007-04-03 21:05 12,541 KB925902.log
2007-03-18 19:28 207 BUHL.INI
2007-03-18 19:21 6,650 HCWPNP.INI
2007-03-18 19:04 308 KB825116.log
2007-03-14 21:45 9,292 super.chm


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8477-4DB8

Verzeichnis von C:\DOKUME~1\Ralph\LOKALE~1\Temp

2007-05-24 17:12 173 jusched.log
1 Datei(en) 173 Bytes
0 Verzeichnis(se), 61,543,067,648 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8477-4DB8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2007-01-09 08:30 110,592 PURde-ch.dll
2006-12-18 11:02 882 mcfscan.inf
2006-12-11 17:44 367 LegitCheckControl.inf
2006-12-04 16:16 144 QTPlugin.inf
2006-11-09 15:36 5,019 swflash.inf
2006-11-04 01:20 65 desktop.ini
2006-10-12 05:07 896 jinstall-1_5_0_09.inf
2006-06-25 13:50 1,793 erma.inf
2006-06-20 15:44 379,704 MsnPUpld.dll
2006-06-20 15:44 117,560 PURen-us.dll
2006-06-19 14:40 393 MsnPUpld.inf
2005-05-26 05:19 293 muweb.inf
12 Datei(en) 617,708 Bytes
0 Verzeichnis(se), 61,543,034,880 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8477-4DB8

Verzeichnis von C:\

2007-05-24 17:30 0 sys.txt
2007-05-24 17:29 855 down.txt
2007-05-24 17:28 334 tmp.txt
2007-05-24 17:27 7,921 system.txt
2007-05-24 17:27 292 systemtemp.txt
2007-05-24 17:25 117,381 system32.txt
2007-05-24 11:54 2,145,386,496 pagefile.sys
2007-04-27 16:33 211 boot.ini

#4 hi, das mit dem Combofix musst du einfach nochmal versuchen.

Zitat

O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: (no name) - {C33639BA-99C5-4E0F-A949-92CF0117EA71} - (no file)
O2 - BHO: (no name) - {A0FE50EB-AEA8-4158-B969-6A4EBA3F4B8B} - (no file)
O2 - BHO: (no name) - {7C79BBC2-56C9-4CC8-BC45-233C2D36C4DF} - (no file)
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - (no file)
O2 - BHO: (no name) - {45B1582E-A6F5-48A3-98FC-7D7AC922FA18} - (no file)
O2 - BHO: (no name) - {44CDDCE8-AA37-4CF4-B145-E4AAAFC3879D} - (no file)
O2 - BHO: (no name) - {3147A75F-A24F-4B6C-AA0D-6502B242FD90} - C:\WINDOWS\system32\mljjj.dll (file missing)

#5 so habs geschafft mit combofix

hier das logfile:

"Ralph" - 2007-05-24 18:38:16 Service Pack 2
ComboFix 07-05.24.7.V - Running from: "C:\Dokumente und Einstellungen\Ralph\Desktop\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-24 ))))))))))))))))))))))))))))))))))


2007-05-23 22:13 <DIR> d-------- C:\Programme\XoftSpy
2007-05-23 00:48 71,680 --------- C:\WINDOWS\system32\drivers\PAVDRV51.SYS
2007-05-23 00:48 240 --a------ C:\WINDOWS\system32\PavCPL.dat
2007-05-23 00:47 45,056 --a------ C:\WINDOWS\system32\avldr.dll
2007-05-23 00:47 <DIR> d-------- C:\WINDOWS\system32\PAV
2007-05-23 00:47 <DIR> d-------- C:\Programme\Panda Software
2007-05-22 23:37 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-05-22 20:40 53,248 --a------ C:\WINDOWS\amcap.exe
2007-05-20 16:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-05-19 12:15 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
2007-05-19 12:12 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-05-19 12:12 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-05-19 12:12 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-05-19 12:12 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-05-15 17:23 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-05-15 17:23 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-05-13 21:27 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2007-05-13 21:27 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2007-05-13 21:27 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2007-05-13 21:27 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2007-05-13 21:27 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2007-05-13 21:27 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2007-05-13 21:27 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2007-05-13 21:27 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2007-05-09 22:28 <DIR> d-------- C:\Programme\Microsoft Bootvis
2007-05-07 21:32 <DIR> d-------- C:\Programme\No1 DVD Ripper
2007-05-07 21:24 719,872 --a------ C:\WINDOWS\system32\devil.dll
2007-05-07 21:24 306,688 --a------ C:\WINDOWS\system32\avisynth.dll
2007-05-07 20:44 4,455 --a------ C:\WINDOWS\system\Winaspi.dll
2007-05-07 20:44 3,535 --a------ C:\WINDOWS\system\Wowpost.exe
2007-05-07 20:44 <DIR> d-------- C:\Programme\XviD
2007-05-07 20:44 <DIR> d-------- C:\Programme\AoA DVD Ripper
2007-05-06 22:26 737,280 --a------ C:\WINDOWS\iun6002.exe
2007-05-06 19:04 <DIR> d-------- C:\Programme\mp3Tag 5
2007-05-06 18:31 <DIR> d-------- C:\DOKUME~1\Ralph\ANWEND~1\CDZilla
2007-05-06 17:48 <DIR> d-------- C:\Programme\EPSON
2007-05-06 15:34 <DIR> d-------- C:\Programme\Microsoft.NET
2007-05-06 15:34 <DIR> d-------- C:\Programme\Microsoft Works
2007-05-06 15:31 <DIR> dr-h----- C:\MSOCache
2007-05-06 15:31 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-04-28 00:20 <DIR> d-------- C:\Programme\Xilisoft
2007-04-28 00:02 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2007-04-28 00:02 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-04-27 12:04 <DIR> d-------- C:\Programme\Intel


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-22 22:47:22 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-22 21:34:17 -------- d-----w C:\Programme\MSN Messenger
2007-05-22 21:34:17 -------- d-----w C:\Programme\Messenger Plus! Live
2007-05-22 20:42:33 -------- d-----w C:\Programme\Lexmark X1100 Series
2007-05-22 11:59:30 -------- d-----w C:\Programme\Windows Live Safety Center
2007-05-21 16:38:25 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\Skype
2007-05-15 21:39:09 -------- d-----w C:\Programme\BearShare
2007-05-15 20:32:20 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-05-10 16:11:38 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\dvdcss
2007-05-09 20:51:46 75,998 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-09 20:51:46 418,634 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-07 18:24:08 -------- d-----w C:\Programme\Asus
2007-04-23 07:32:06 -------- d-----w C:\Programme\MessengerDiscovery
2007-04-18 18:37:16 -------- d-----w C:\Programme\AviSynth 2.5
2007-04-18 18:37:05 -------- d-----w C:\Programme\Gabest
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-12 19:46:03 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\TVcentral-Core
2007-04-12 19:44:52 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\VMedia
2007-04-12 19:40:52 -------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-04-12 19:40:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Sonavis
2007-04-12 17:32:27 -------- d-----w C:\Programme\Sceneo
2007-04-12 17:22:53 -------- d-----w C:\Programme\myHTPC
2007-04-11 16:02:26 -------- d-----w C:\Programme\DivX
2007-04-11 15:47:04 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\DivX
2007-04-10 19:54:39 -------- d-----w C:\Programme\SanDisk
2007-04-10 19:54:06 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\InstallShield
2007-04-10 15:44:45 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\ArcSoft
2007-04-10 15:40:29 -------- d-----w C:\Programme\QuickTime
2007-04-10 15:38:56 -------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2007-04-08 09:38:39 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\FrostWire
2007-04-06 20:28:12 -------- d-----w C:\Programme\Gemeinsame Dateien\PC Tools
2007-04-04 18:13:18 -------- d-----w C:\Programme\ErdaLight
2007-03-24 18:23:54 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\Screenshot Sender
2007-03-20 22:01:50 -------- d-----w C:\Programme\MSECACHE
2007-03-20 22:01:32 -------- d-----w C:\Programme\XnView
2007-03-20 21:59:44 -------- d-----w C:\Programme\BearFlix
2007-03-18 16:34:58 -------- d-----w C:\Programme\Team MediaPortal
2007-03-18 14:37:07 -------- d-----w C:\Programme\Ahead
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-16 17:23:10 -------- d-----w C:\Programme\Fellowes
2007-03-15 12:27:14 -------- d-----w C:\Programme\eRightSoft
2007-03-12 19:34:20 -------- d-----w C:\Programme\DesignPro
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-02-21 11:47:16 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-02-05 20:18:44 185,856 ----a-w C:\WINDOWS\system32\upnphost.dll
2006-05-03 10:06:54 -------- --sh--r C:\WINDOWS\system32\flvDX.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{3147A75F-A24F-4B6C-AA0D-6502B242FD90}=C:\WINDOWS\system32\mljjj.dll []
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 21:33]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22]
"nwiz"="nwiz.exe" [2006-10-22 13:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 18:32]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-04-04 14:38]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-04-23 09:39]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"TVBroadcast"="C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe" [2007-02-23 14:44]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-10 17:40]
"APVXDWIN"="C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.exe" [2007-01-25 18:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgfcy]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj]
C:\WINDOWS\system32\mljjj.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-05-18 17:42:38 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-05-24 09:57:23 C:\WINDOWS\tasks\MP Scheduled Scan.job
2007-05-23 20:17:51 C:\WINDOWS\tasks\XoftSpy.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-24 18:39:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-24 18:40:09

--- E O F ---

#6 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {3147A75F-A24F-4B6C-AA0D-6502B242FD90} - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: (no name) - {44CDDCE8-AA37-4CF4-B145-E4AAAFC3879D} - (no file)
O2 - BHO: (no name) - {45B1582E-A6F5-48A3-98FC-7D7AC922FA18} - (no file)
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - (no file)
O2 - BHO: (no name) - {7C79BBC2-56C9-4CC8-BC45-233C2D36C4DF} - (no file)
O2 - BHO: (no name) - {A0FE50EB-AEA8-4158-B969-6A4EBA3F4B8B} - (no file)
O2 - BHO: (no name) - {C33639BA-99C5-4E0F-A949-92CF0117EA71} - (no file)
O20 - Winlogon Notify: mljgfcy - C:\WINDOWS\
O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll (file missing)

klicke: Fix checked

Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Versuche es dann nochmal mit ComboFix
__________
MfG Argus

#7 vielen dank! woher weisst du das ich mljgfcy und mljjj löschen musste und wie wird man aus diesem logfile eigelich schlau? *bewunder*
die (no file) keys oder dateien (was auch immer das genau ist) kann ich die immer löschen wen die bei HJT auftauchen?

hier das combofix logfile ohne teatimer im hintergrund:

"Ralph" - 2007-05-24 18:38:16 Service Pack 2
ComboFix 07-05.24.7.V - Running from: "C:\Dokumente und Einstellungen\Ralph\Desktop\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-24 ))))))))))))))))))))))))))))))))))


2007-05-23 22:13 <DIR> d-------- C:\Programme\XoftSpy
2007-05-23 00:48 71,680 --------- C:\WINDOWS\system32\drivers\PAVDRV51.SYS
2007-05-23 00:48 240 --a------ C:\WINDOWS\system32\PavCPL.dat
2007-05-23 00:47 45,056 --a------ C:\WINDOWS\system32\avldr.dll
2007-05-23 00:47 <DIR> d-------- C:\WINDOWS\system32\PAV
2007-05-23 00:47 <DIR> d-------- C:\Programme\Panda Software
2007-05-22 23:37 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-05-22 20:40 53,248 --a------ C:\WINDOWS\amcap.exe
2007-05-20 16:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-05-19 12:15 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
2007-05-19 12:12 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-05-19 12:12 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-05-19 12:12 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-05-19 12:12 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-05-19 12:12 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-05-15 17:23 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-05-15 17:23 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-05-13 21:27 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2007-05-13 21:27 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2007-05-13 21:27 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2007-05-13 21:27 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2007-05-13 21:27 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2007-05-13 21:27 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2007-05-13 21:27 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2007-05-13 21:27 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2007-05-09 22:28 <DIR> d-------- C:\Programme\Microsoft Bootvis
2007-05-07 21:32 <DIR> d-------- C:\Programme\No1 DVD Ripper
2007-05-07 21:24 719,872 --a------ C:\WINDOWS\system32\devil.dll
2007-05-07 21:24 306,688 --a------ C:\WINDOWS\system32\avisynth.dll
2007-05-07 20:44 4,455 --a------ C:\WINDOWS\system\Winaspi.dll
2007-05-07 20:44 3,535 --a------ C:\WINDOWS\system\Wowpost.exe
2007-05-07 20:44 <DIR> d-------- C:\Programme\XviD
2007-05-07 20:44 <DIR> d-------- C:\Programme\AoA DVD Ripper
2007-05-06 22:26 737,280 --a------ C:\WINDOWS\iun6002.exe
2007-05-06 19:04 <DIR> d-------- C:\Programme\mp3Tag 5
2007-05-06 18:31 <DIR> d-------- C:\DOKUME~1\Ralph\ANWEND~1\CDZilla
2007-05-06 17:48 <DIR> d-------- C:\Programme\EPSON
2007-05-06 15:34 <DIR> d-------- C:\Programme\Microsoft.NET
2007-05-06 15:34 <DIR> d-------- C:\Programme\Microsoft Works
2007-05-06 15:31 <DIR> dr-h----- C:\MSOCache
2007-05-06 15:31 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-04-28 00:20 <DIR> d-------- C:\Programme\Xilisoft
2007-04-28 00:02 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2007-04-28 00:02 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-04-27 12:04 <DIR> d-------- C:\Programme\Intel


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-22 22:47:22 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-22 21:34:17 -------- d-----w C:\Programme\MSN Messenger
2007-05-22 21:34:17 -------- d-----w C:\Programme\Messenger Plus! Live
2007-05-22 20:42:33 -------- d-----w C:\Programme\Lexmark X1100 Series
2007-05-22 11:59:30 -------- d-----w C:\Programme\Windows Live Safety Center
2007-05-21 16:38:25 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\Skype
2007-05-15 21:39:09 -------- d-----w C:\Programme\BearShare
2007-05-15 20:32:20 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-05-10 16:11:38 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\dvdcss
2007-05-09 20:51:46 75,998 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-09 20:51:46 418,634 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-07 18:24:08 -------- d-----w C:\Programme\Asus
2007-04-23 07:32:06 -------- d-----w C:\Programme\MessengerDiscovery
2007-04-18 18:37:16 -------- d-----w C:\Programme\AviSynth 2.5
2007-04-18 18:37:05 -------- d-----w C:\Programme\Gabest
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-12 19:46:03 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\TVcentral-Core
2007-04-12 19:44:52 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\VMedia
2007-04-12 19:40:52 -------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-04-12 19:40:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Sonavis
2007-04-12 17:32:27 -------- d-----w C:\Programme\Sceneo
2007-04-12 17:22:53 -------- d-----w C:\Programme\myHTPC
2007-04-11 16:02:26 -------- d-----w C:\Programme\DivX
2007-04-11 15:47:04 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\DivX
2007-04-10 19:54:39 -------- d-----w C:\Programme\SanDisk
2007-04-10 19:54:06 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\InstallShield
2007-04-10 15:44:45 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\ArcSoft
2007-04-10 15:40:29 -------- d-----w C:\Programme\QuickTime
2007-04-10 15:38:56 -------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2007-04-08 09:38:39 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\FrostWire
2007-04-06 20:28:12 -------- d-----w C:\Programme\Gemeinsame Dateien\PC Tools
2007-04-04 18:13:18 -------- d-----w C:\Programme\ErdaLight
2007-03-24 18:23:54 -------- d-----w C:\DOKUME~1\Ralph\ANWEND~1\Screenshot Sender
2007-03-20 22:01:50 -------- d-----w C:\Programme\MSECACHE
2007-03-20 22:01:32 -------- d-----w C:\Programme\XnView
2007-03-20 21:59:44 -------- d-----w C:\Programme\BearFlix
2007-03-18 16:34:58 -------- d-----w C:\Programme\Team MediaPortal
2007-03-18 14:37:07 -------- d-----w C:\Programme\Ahead
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-16 17:23:10 -------- d-----w C:\Programme\Fellowes
2007-03-15 12:27:14 -------- d-----w C:\Programme\eRightSoft
2007-03-12 19:34:20 -------- d-----w C:\Programme\DesignPro
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-02-21 11:47:16 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-02-05 20:18:44 185,856 ----a-w C:\WINDOWS\system32\upnphost.dll
2006-05-03 10:06:54 -------- --sh--r C:\WINDOWS\system32\flvDX.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{3147A75F-A24F-4B6C-AA0D-6502B242FD90}=C:\WINDOWS\system32\mljjj.dll []
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 21:33]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22]
"nwiz"="nwiz.exe" [2006-10-22 13:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 18:32]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-04-04 14:38]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-04-23 09:39]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"TVBroadcast"="C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe" [2007-02-23 14:44]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-10 17:40]
"APVXDWIN"="C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.exe" [2007-01-25 18:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgfcy]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj]
C:\WINDOWS\system32\mljjj.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-05-18 17:42:38 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-05-24 09:57:23 C:\WINDOWS\tasks\MP Scheduled Scan.job
2007-05-23 20:17:51 C:\WINDOWS\tasks\XoftSpy.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-24 18:39:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-24 18:40:09

--- E O F ---

#8 Ist C:\Programme\BearShare ein rest?
Wenn ja C:\Programme\BearShare löschen

Download
OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\system32\cdyuauvk.ini
C:\WINDOWS\system32\vqlmgxvv.ini
C:\WINDOWS\system32\ejqtqalf.ini
C:\WINDOWS\system32\pypbwmjt.ini
C:\WINDOWS\system32\vkmtkslk.ini

im linken Fenster ,wo steht "Paste List of Files/Folders to be moved"

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#9 vielen dank!
bearshare ist ein Filesharing tool das ich zum dowloaden von dateien benüze. ich habe bearshare scho seit ich den pc aufgesetzt habe und hatte noch nie probleme damit. ist es zwingend bearshare zu löschen?

OTMoveitfile:

C:\WINDOWS\system32\cdyuauvk.ini moved successfully.
C:\WINDOWS\system32\vqlmgxvv.ini moved successfully.
C:\WINDOWS\system32\ejqtqalf.ini moved successfully.
C:\WINDOWS\system32\pypbwmjt.ini moved successfully.
C:\WINDOWS\system32\vkmtkslk.ini moved successfully.

Created on 05/24/2007 21:46:52

was waren das für dateien? und woher weisst du das die die schädlinge sind? (nur so als frage)

#10 Gib cdyuauvk.ini mal in Google ein

Entferne auf C:\_OTMoveIt\ und Papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Dann wieder aktivieren

Scan dein Rechner mit AVG Anti Spyware 7.5
http://www.virus-protect.org/ewido.html
Waehle am Ende nicht für Löschen aber für Quarantäne
__________
MfG Argus

#11 ok habe ich gemacht. erkennt die freeware von avg weniger infiszierte dateien als die kostenplichtige oder ist bei der freeware kein echtzeitscanner dabei oder was sind die unterschiede?

hier der scanreport von AVG:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 23:07:56 24.05.2007

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Ralph\Eigene Dateien\Software\Nero 7.0 Premium with keygen.rar/Nero 7.0 Premium\Ahead_Nero_v7.0_KeyGen_Only-PARADOX.rar/Nero7Keygen.exe -> Backdoor.Hupigon : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Ralph\Cookies\ralph@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Gesäubert.


::Berichtende


ich weiss gahr nicht wie ich von drivecleaner infisziert wurde, wie kann ich mich dagegen schüzen? die ganze prozedur nochmal zu machen wäre mühsam (dank eure hilfe ging es aber sehr schnel TAUSEND DANK)

#12 Wenn so ein Pop-up kommt soll so schnell wie moeglich auf das rote knoepfchen klicken und nicht auf "abbrechen"
Und so schnell wie moeglich zurück zum Startseite

War Heutemittag noch auf so eine Seite (Anhang)

Und kann man sich dagegen schützen? Nein!


__________
MfG Argus

#13 ok vielen dank für deine bemühung läuft alles wieder so wie es sollte.
doch was ist jetzt mit avg? ich wil nur ein antispyware program plus den windows defender doch ich weiss immer nicht was das besste freewaretool ist..

#14 Du kannst ja beide benutzen nach 30 Tage musst du AVG selbst updaten
Ich hab jetzt Ad-aware se,Spybot S&D,AVG Anti Spyware,
Aber nur 1 Virenscanner!
__________
MfG Argus

#15 ja das man nur ein virenscanner haben soll ist mir klar (ich habe auch nur panda antivirus 2007). vielen dank für die hilfe ich wende mich wieder wenns was "böses" gibt

mfg ralph