Wie bekomme ich den Warezov-Wurm vom pc?

#1 Mein PC spinnt nun shcon seit wochen, in umbestimmten Zeitabständen wird mein PC sehr langsam und alle anwendungen schließen sich. Insbesopndere Spiele werden unspielbar für 5-10 minuten. Mache ich den TaskManager auf sehe ich dass der Task: "services.exe" eine CPU Auslstung von über 80% verursacht. Leider konnte mir bisher keiner gezielt helfen und die fachsprache in anderen foren verstehe ich nicht da ich mich ziemlich schlecht auskenne.
Die Symtome stimmen ziemlich mit denen des sg. Warezov-Wurmes überein.
Was muss ich tun um den wurm oder was auch immer das ist loszuwerden?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\wincrt.exe
C:\WINDOWS\c.5.0.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\c.6.0.exe
C:\WINDOWS\system32\pk32i.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\msrdwint.exe
C:\WINDOWS\System32\odtemdt2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\pascal\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [bin32.exe] C:\WINDOWS\bin32.exe s
O4 - HKLM\..\Run: [gdi32.exe] C:\WINDOWS\gdi32.exe s
O4 - HKLM\..\Run: [wincrt.exe] C:\WINDOWS\wincrt.exe s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [jpgdiag] C:\WINDOWS\system32\jpgconf.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\c.6.0.exe
O4 - HKLM\..\Run: [msproject] C:\WINDOWS\system32\pk32i.exe
O4 - HKLM\..\Run: [mmsdiag] C:\WINDOWS\system32\mmsconf.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
O20 - AppInit_DLLs: e1.dll strmatkc.dll confnss.dll confnxs.dll con321.dll confjpg.dll confmms.dll jpgstat.dll mmsstat.dll
O20 - Winlogon Notify: drvmgr - drvmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\SYSTEM32\jpgmgr32.dll
O20 - Winlogon Notify: mmsmgr - C:\WINDOWS\SYSTEM32\mmsmgr32.dll
O20 - Winlogon Notify: msrdwint - C:\WINDOWS\system32\msrdwint.dll
O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll
O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing)
O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing)
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

da hats aber gerade nicht gesponnen.

#2 Da ist nicht mehr viel zu retten, dein PC ist total durchseucht. Ich denke du hast nicht alle Servicepacks installiert und daher die ganze Malware.
Hier hilft nur noch den PC neu aufzusetzen. http://board.protecus.de/t13020.htm

Nachtrag, du hast kein AV Programm (mehr?) installiert!
__________
MfG Ralf
SEO-Spam Hunter

#3 Schei... ich habs aber fast vermutet. Hab gestern das letzte Antivierenprogramm gelöscht, die haben meistens nix gefunden. PC neu aufsetzen, is das im prinzip alles von der festplatte löschen und dann windows neu zu installieren?

#4 Ja, kann man sagen. Daten sichern. Entweder auf eine eigene Partition oder externen Datentraeger, dann die Systempartition formatieren und Windows wieder installieren. Solltest du nicht hinter einem (DSL9Router sitzen, musst du noch entsprechende Vorbereitungen treffen, die in dem obigen Thread zu finden sind. Danach solltest du auch alle Passworte aendern.
__________
MfG Ralf
SEO-Spam Hunter

#5 Ich hab allerdings diese windows cd nicht mehr, muss ich mir dann ne neue kaufen?

#6 Kommt auf die eingesetzte Version an. Bei "Herstellerpc" wie Fujitsu siemens, dell oder HP sollte es reichen sich eine (windows)CD des selben Herstellers zu besorgen, sofern man noch die eigene Seriennummer hat. Sollte eigentlich auf dem PC befinden. Ansonsten neu kaufen
__________
MfG Ralf
SEO-Spam Hunter

#7 ich hab jetzt mal bei http://www.hijackthis.de/ einen check gemacht und alles schädlichen dateien mit fix checked weggemacht, wenn das immer noch nix nutzt dann versuch ichs halt auf die harte tour

#8 Das reicht nicht. Wenn du wirklich reinigen willst, poste ein Combofix Report, ein neues Hijackthis Log und Datfindbat. In der Reiehnfolge.

http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#9 ((((((((((((((((((((((((((((((( Files Created from 2007-05-04 to 2007-06-04 ))))))))))))))))))))))))))))))))))


2007-06-04 12:14 <DIR> d-------- C:\WINDOWS\LastGood
2007-06-04 12:00 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-03 22:33 3,144,800 --a------ C:\WINDOWS\ftxlke.pif
2007-06-02 15:29 <DIR> d-------- C:\My Downloads
2007-05-30 20:39 <DIR> d-------- C:\Programme\Lavasoft
2007-05-30 20:39 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\Lavasoft
2007-05-30 19:13 0 --a------ C:\WINDOWS\ogx5r1bglo.dat
2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsprf32.dll
2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsconf.exe
2007-05-29 16:55 49,152 --ah----- C:\WINDOWS\system32\confmms.dll
2007-05-29 16:55 401,408 --ah----- C:\WINDOWS\system32\mmsmgr32.dll
2007-05-29 16:55 40,960 --ah----- C:\WINDOWS\system32\mmsperf.exe
2007-05-29 16:55 188,416 --ah----- C:\WINDOWS\system32\mmsstat.dll
2007-05-29 14:44 45,056 --ah----- C:\WINDOWS\system32\smsconf.exe
2007-05-28 19:38 31,940 --a------ C:\WINDOWS\system32\advhost.exe
2007-05-28 19:38 222 --a------ C:\WINDOWS\system32\hfs32.exe
2007-05-28 19:38 16 --a------ C:\WINDOWS\fdd.dat
2007-05-28 19:38 114,176 --a------ C:\WINDOWS\system32\pk32i.exe
2007-05-24 16:43 <DIR> d-------- C:\Programme\Counter-Strike 1.6
2007-05-23 18:37 49,152 --ah----- C:\WINDOWS\system32\xfsconf.exe
2007-05-20 12:18 0 --a------ C:\WINDOWS\x0h7bh.reg
2007-05-20 12:18 0 --a------ C:\WINDOWS\tcsrahrk2.reg
2007-05-19 12:58 53,248 --ah----- C:\WINDOWS\system32\confxxn.dll
2007-05-19 12:58 45,056 --ah----- C:\WINDOWS\system32\xxnprf32.dll
2007-05-19 12:58 40,960 --ah----- C:\WINDOWS\system32\xxnperf.exe
2007-05-17 14:42 49,152 --ah----- C:\WINDOWS\system32\swfconf.exe
2007-05-15 13:38 31,911 --a------ C:\WINDOWS\rs34sk.exe
2007-05-15 13:38 16 --a------ C:\WINDOWS\gdf.dat
2007-05-14 16:05 49,152 --ah----- C:\WINDOWS\system32\vadconf.exe
2007-05-14 15:55 88,668 --ah----- C:\WINDOWS\system32\upd1179150908.exe
2007-05-11 18:31 84,110 --a------ C:\WINDOWS\c.6.0.exe
2007-05-11 18:31 53,248 --ah----- C:\WINDOWS\system32\confnxs.dll
2007-05-11 18:31 45,056 --ah----- C:\WINDOWS\system32\nxsprf32.dll
2007-05-11 18:31 40,960 --ah----- C:\WINDOWS\system32\nxsperf.exe
2007-05-11 16:49 0 --a------ C:\WINDOWS\vg8iqb.dll
2007-05-11 16:31 83,346 --a------ C:\WINDOWS\c.5.0.exe
2007-05-11 16:31 53,248 --ah----- C:\WINDOWS\system32\confnss.dll
2007-05-11 16:31 45,056 --ah----- C:\WINDOWS\system32\nssprf32.dll
2007-05-11 16:31 40,960 --ah----- C:\WINDOWS\system32\nssperf.exe
2007-05-11 15:30 53,248 --ah----- C:\WINDOWS\system32\drvconf.exe
2007-05-11 15:29 113,152 --a------ C:\WINDOWS\pk32g.exe
2007-05-10 12:41 57,344 --a------ C:\WINDOWS\system32\con321.dll
2007-05-10 12:41 49,152 --a------ C:\WINDOWS\system32\dcon321.dll
2007-05-10 12:41 40,960 --a------ C:\WINDOWS\system32\con321.exe
2007-05-09 20:56 0 --a------ C:\WINDOWS\pgdegfv.exe
2007-05-09 20:56 0 --a------ C:\WINDOWS\cdi1okj.dll
2007-05-08 11:45 121,856 --a------ C:\WINDOWS\svchcc32.exe
2007-05-05 09:51 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\ICQ Toolbar


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-04 10:13:04 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Skype
2007-06-04 09:55:36 -------- d-----w C:\Programme\ICQToolbar
2007-06-03 22:04:30 -------- d-----w C:\Programme\ICQLite
2007-05-30 18:45:30 4 ----a-w C:\WINDOWS\system32\shfoxpob.dat
2007-05-28 22:44:47 4 ----a-w C:\WINDOWS\system32\odtemdt2.dat
2007-05-28 17:44:14 -------- d-----w C:\Programme\Messenger
2007-05-27 20:19:20 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-05-27 20:17:15 -------- d-----w C:\Programme\Hamachi
2007-05-19 10:57:59 4 ----a-w C:\WINDOWS\system32\msrdwint.dat
2007-04-30 17:53:17 121,344 ----a-w C:\WINDOWS\sscserv.exe
2007-04-29 08:13:23 35,840 ----a-w C:\WINDOWS\skl32.exe
2007-04-28 15:42:13 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Help
2007-04-27 19:29:43 57,344 ---ha-w C:\WINDOWS\system32\confjpg.dll
2007-04-27 19:29:43 49,152 ---ha-w C:\WINDOWS\system32\jpgprf32.dll
2007-04-27 19:29:43 45,056 ---ha-w C:\WINDOWS\system32\jpgconf.exe
2007-04-27 19:29:43 331,776 ---ha-w C:\WINDOWS\system32\jpgmgr32.dll
2007-04-27 19:29:43 122,880 ---ha-w C:\WINDOWS\system32\jpgstat.dll
2007-04-27 19:29:42 40,960 ---ha-w C:\WINDOWS\system32\jpgperf.exe
2007-04-19 17:23:03 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-19 11:40:25 179,200 ----a-w C:\WINDOWS\wincrt.exe
2007-04-19 11:40:14 16 ----a-w C:\WINDOWS\hpsys.dat
2007-04-15 13:14:38 3,584 ----a-w C:\WINDOWS\system32\ic32.dll
2007-04-15 13:14:38 18,944 ----a-w C:\WINDOWS\system32\wk32.dll
2007-04-03 10:01:00 16 -c--a-w C:\WINDOWS\hh32.dat
2007-03-27 10:55:33 61,440 ----a-w C:\WINDOWS\system32\wmpcmsyu.exe
2007-03-25 12:01:10 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 12:01:10 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-22 15:04:51 0 -c--a-w C:\WINDOWS\r81j7l4g.pif
2007-03-22 14:02:18 0 -c--a-w C:\WINDOWS\9ergx.dat
2007-03-21 16:05:12 77,824 ----a-w C:\WINDOWS\system32\strmatkc.dll
2007-03-21 16:05:12 77,824 ----a-w C:\WINDOWS\system32\nmevmsas.dll
2007-03-21 16:05:12 241,664 ----a-w C:\WINDOWS\system32\odtemdt2.dll
2007-03-21 15:37:38 3,144,800 -c--a-w C:\WINDOWS\sg6fk0l5ci.dll
2007-03-16 12:03:08 102,400 ----a-w C:\WINDOWS\system32\S48TvC08c.dll
2007-03-14 15:15:05 0 -c--a-w C:\WINDOWS\adc.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2006-12-25 10:40]
{1536BA74-8625-4240-99B0-BE65883689C8}=C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll [2006-04-12 19:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"nwiz"="nwiz.exe" [2004-07-15 12:42 C:\WINDOWS\system32\nwiz.exe]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2007-05-28 19:57]
"SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" []
"SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" []
"SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" []
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" /booting
"SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" /booting
"SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" /booting

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msrdwint]
C:\WINDOWS\system32\msrdwint.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\odtemdt2]
C:\WINDOWS\system32\odtemdt2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=e1.dll con321.dll confmms.dll mmsstat.dll strmatkc.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-04 12:15:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\KB911280.log

********************************************************************

Completion time: 2007-06-04 12:16:44
C:\ComboFix2.txt ... 2007-06-04 12:06

--- E O F ---

so dann hijack

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\pascal\Desktop\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f4369887c15095f4745011ac22532689\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: e1.dll con321.dll confmms.dll mmsstat.dll strmatkc.dll
O20 - Winlogon Notify: msrdwint - C:\WINDOWS\system32\msrdwint.dll
O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe






und zu guter letzt gehts dann doch:



04.06.2007 12:12 4.452 nvapps.xml
01.06.2007 23:14 13.694 wpa.dbl
30.05.2007 20:45 4 shfoxpob.dat
29.05.2007 16:55 188.416 mmsstat.dll
29.05.2007 16:55 53.248 mmsconf.exe
29.05.2007 16:55 53.248 mmsprf32.dll
29.05.2007 16:55 401.408 mmsmgr32.dll
29.05.2007 16:55 49.152 confmms.dll
29.05.2007 16:55 40.960 mmsperf.exe
29.05.2007 14:44 45.056 smsconf.exe
29.05.2007 00:44 4 odtemdt2.dat
28.05.2007 19:38 222 hfs32.exe
28.05.2007 19:38 31.940 advhost.exe
28.05.2007 19:38 114.176 pk32i.exe
28.05.2007 19:38 428.424 dfg32.tmp
23.05.2007 18:37 49.152 xfsconf.exe
19.05.2007 12:58 53.248 confxxn.dll
19.05.2007 12:58 40.960 xxnperf.exe
19.05.2007 12:58 45.056 xxnprf32.dll
19.05.2007 12:57 4 msrdwint.dat
17.05.2007 14:42 49.152 swfconf.exe
14.05.2007 16:05 49.152 vadconf.exe
14.05.2007 15:55 88.668 upd1179150908.exe
11.05.2007 18:31 40.960 nxsperf.exe
11.05.2007 18:31 45.056 nxsprf32.dll
11.05.2007 18:31 53.248 confnxs.dll
11.05.2007 16:31 40.960 nssperf.exe
11.05.2007 16:31 53.248 confnss.dll
11.05.2007 16:31 45.056 nssprf32.dll
11.05.2007 15:30 53.248 drvconf.exe
27.04.2007 21:29 122.880 jpgstat.dll
27.04.2007 21:29 49.152 jpgprf32.dll
27.04.2007 21:29 45.056 jpgconf.exe
27.04.2007 21:29 57.344 confjpg.dll
27.04.2007 21:29 331.776 jpgmgr32.dll
27.04.2007 21:29 40.960 jpgperf.exe
25.04.2007 12:11 49.152 dcon321.dll
25.04.2007 12:11 40.960 con321.exe
25.04.2007 12:11 57.344 con321.dll
15.04.2007 15:14 124.688 MSWINSCK.OCX
15.04.2007 15:14 18.944 wk32.dll
15.04.2007 15:14 3.584 ic32.dll
02.04.2007 14:21 428.032 swreg.exe
27.03.2007 12:55 61.440 wmpcmsyu.exe
25.03.2007 14:01 49.174 perfc007.dat
25.03.2007 14:01 320.094 perfh007.dat
25.03.2007 14:01 314.508 perfh009.dat
25.03.2007 14:01 40.836 perfc009.dat
25.03.2007 14:01 732.342 PerfStringBackup.INI
21.03.2007 18:05 77.824 nmevmsas.dll
21.03.2007 18:05 77.824 strmatkc.dll
21.03.2007 18:05 241.664 odtemdt2.dll
16.03.2007 14:03 102.400 S48TvC08c.dll
14.02.2007 17:12 8.704 e1.dll
12.02.2007 23:21 114.688 msrdwint.dll
30.01.2007 17:01 259.840 FNTCACHE.DAT

#10 Das ganze ist Malware zumindest ein teil der Malware:

2007-06-03 22:33 3,144,800 --a------ C:\WINDOWS\ftxlke.pif
2007-05-30 19:13 0 --a------ C:\WINDOWS\ogx5r1bglo.dat
2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsprf32.dll
2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsconf.exe
2007-05-29 16:55 49,152 --ah----- C:\WINDOWS\system32\confmms.dll
2007-05-29 16:55 401,408 --ah----- C:\WINDOWS\system32\mmsmgr32.dll
2007-05-29 16:55 40,960 --ah----- C:\WINDOWS\system32\mmsperf.exe
2007-05-29 16:55 188,416 --ah----- C:\WINDOWS\system32\mmsstat.dll
2007-05-29 14:44 45,056 --ah----- C:\WINDOWS\system32\smsconf.exe
2007-05-28 19:38 31,940 --a------ C:\WINDOWS\system32\advhost.exe
2007-05-28 19:38 222 --a------ C:\WINDOWS\system32\hfs32.exe
2007-05-28 19:38 16 --a------ C:\WINDOWS\fdd.dat
2007-05-28 19:38 114,176 --a------ C:\WINDOWS\system32\pk32i.exe
2007-05-23 18:37 49,152 --ah----- C:\WINDOWS\system32\xfsconf.exe
2007-05-20 12:18 0 --a------ C:\WINDOWS\x0h7bh.reg
2007-05-20 12:18 0 --a------ C:\WINDOWS\tcsrahrk2.reg
2007-05-19 12:58 53,248 --ah----- C:\WINDOWS\system32\confxxn.dll
2007-05-19 12:58 45,056 --ah----- C:\WINDOWS\system32\xxnprf32.dll
2007-05-19 12:58 40,960 --ah----- C:\WINDOWS\system32\xxnperf.exe
2007-05-17 14:42 49,152 --ah----- C:\WINDOWS\system32\swfconf.exe
2007-05-15 13:38 31,911 --a------ C:\WINDOWS\rs34sk.exe
2007-05-15 13:38 16 --a------ C:\WINDOWS\gdf.dat
2007-05-14 16:05 49,152 --ah----- C:\WINDOWS\system32\vadconf.exe
2007-05-14 15:55 88,668 --ah----- C:\WINDOWS\system32\upd1179150908.exe
2007-05-11 18:31 84,110 --a------ C:\WINDOWS\c.6.0.exe
2007-05-11 18:31 53,248 --ah----- C:\WINDOWS\system32\confnxs.dll
2007-05-11 18:31 45,056 --ah----- C:\WINDOWS\system32\nxsprf32.dll
2007-05-11 18:31 40,960 --ah----- C:\WINDOWS\system32\nxsperf.exe
2007-05-11 16:49 0 --a------ C:\WINDOWS\vg8iqb.dll
2007-05-11 16:31 83,346 --a------ C:\WINDOWS\c.5.0.exe
2007-05-11 16:31 53,248 --ah----- C:\WINDOWS\system32\confnss.dll
2007-05-11 16:31 45,056 --ah----- C:\WINDOWS\system32\nssprf32.dll
2007-05-11 16:31 40,960 --ah----- C:\WINDOWS\system32\nssperf.exe
2007-05-11 15:30 53,248 --ah----- C:\WINDOWS\system32\drvconf.exe
2007-05-11 15:29 113,152 --a------ C:\WINDOWS\pk32g.exe
2007-05-10 12:41 57,344 --a------ C:\WINDOWS\system32\con321.dll
2007-05-10 12:41 49,152 --a------ C:\WINDOWS\system32\dcon321.dll
2007-05-10 12:41 40,960 --a------ C:\WINDOWS\system32\con321.exe
2007-05-09 20:56 0 --a------ C:\WINDOWS\pgdegfv.exe
2007-05-09 20:56 0 --a------ C:\WINDOWS\cdi1okj.dll
2007-05-08 11:45 121,856 --a------ C:\WINDOWS\svchcc32.exe

Am besten den ganzen Kram packen, loeschen und an virus@protecus.de schicken.

Dann noch einen Scan mit Drweb im abgesicherten Modus machen:

http://freedrweb.com/?lng=de
Alle Funde verschieben lassen.

Danach kannst du noch Ewido micro nutzen:
http://downloads.ewido.net/ewido_micro.exe

Dann wieder ein neues Combofix und hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter

#11 ganz normal die datei ? und wie vershciekn? sry kenn mich da halt garnich aus =(

zb find ich shcon die system32 datei nicht

#12 Mach mal erst mit Ewido un Drweb weiter.
__________
MfG Ralf
SEO-Spam Hunter

#13 nice one ewido hat die würmer gefunden aber den dr kann man ja in der pfeife rauchen der hat nichts gefunden. 610 objekte gelöscht, davon waren aber sicher 500 coockis.


((((((((((((((((((((((((((((((( Files Created from 2007-05-04 to 2007-06-04 ))))))))))))))))))))))))))))))))))


2007-06-04 12:49 <DIR> d-------- C:\Dokumente und Einstellungen\pascal\DoctorWeb
2007-06-04 12:49 <DIR> d-------- C:\DOKUME~1\pascal\DoctorWeb
2007-06-04 12:31 <DIR> d-------- C:\Programme\MSXML 4.0
2007-06-04 12:00 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-02 15:29 <DIR> d-------- C:\My Downloads
2007-05-30 20:39 <DIR> d-------- C:\Programme\Lavasoft
2007-05-30 20:39 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\Lavasoft
2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsprf32.dll
2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsconf.exe
2007-05-29 14:44 45,056 --ah----- C:\WINDOWS\system32\smsconf.exe
2007-05-28 19:38 222 --a------ C:\WINDOWS\system32\hfs32.exe
2007-05-28 19:38 16 --a------ C:\WINDOWS\fdd.dat
2007-05-24 16:43 <DIR> d-------- C:\Programme\Counter-Strike 1.6
2007-05-20 12:18 0 --a------ C:\WINDOWS\x0h7bh.reg
2007-05-20 12:18 0 --a------ C:\WINDOWS\tcsrahrk2.reg
2007-05-15 13:38 16 --a------ C:\WINDOWS\gdf.dat
2007-05-14 16:05 49,152 --ah----- C:\WINDOWS\system32\vadconf.exe
2007-05-14 15:55 88,668 --ah----- C:\WINDOWS\system32\upd1179150908.exe
2007-05-11 18:31 84,110 --a------ C:\WINDOWS\c.6.0.exe
2007-05-11 18:31 53,248 --ah----- C:\WINDOWS\system32\confnxs.dll
2007-05-11 18:31 45,056 --ah----- C:\WINDOWS\system32\nxsprf32.dll
2007-05-11 18:31 40,960 --ah----- C:\WINDOWS\system32\nxsperf.exe
2007-05-11 16:49 0 --a------ C:\WINDOWS\vg8iqb.dll
2007-05-11 16:31 83,346 --a------ C:\WINDOWS\c.5.0.exe
2007-05-11 16:31 53,248 --ah----- C:\WINDOWS\system32\confnss.dll
2007-05-11 16:31 45,056 --ah----- C:\WINDOWS\system32\nssprf32.dll
2007-05-11 16:31 40,960 --ah----- C:\WINDOWS\system32\nssperf.exe
2007-05-11 15:29 113,152 --a------ C:\WINDOWS\pk32g.exe
2007-05-09 20:56 0 --a------ C:\WINDOWS\pgdegfv.exe
2007-05-09 20:56 0 --a------ C:\WINDOWS\cdi1okj.dll
2007-05-05 09:51 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\ICQ Toolbar


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-04 12:02:36 -------- d-----w C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free
2007-06-04 12:02:36 -------- d-----w C:\Programme\BearShare
2007-06-04 11:47:31 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Skype
2007-06-04 10:45:31 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-04 10:45:31 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-04 09:55:36 -------- d-----w C:\Programme\ICQToolbar
2007-06-03 22:04:30 -------- d-----w C:\Programme\ICQLite
2007-05-30 18:45:30 4 ----a-w C:\WINDOWS\system32\shfoxpob.dat
2007-05-28 22:44:47 4 ----a-w C:\WINDOWS\system32\odtemdt2.dat
2007-05-28 17:44:14 -------- d-----w C:\Programme\Messenger
2007-05-27 20:19:20 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-05-27 20:17:15 -------- d-----w C:\Programme\Hamachi
2007-05-19 10:57:59 4 ----a-w C:\WINDOWS\system32\msrdwint.dat
2007-04-30 17:53:17 121,344 ----a-w C:\WINDOWS\sscserv.exe
2007-04-28 15:42:13 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Help
2007-04-19 17:23:03 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-19 11:40:14 16 ----a-w C:\WINDOWS\hpsys.dat
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-15 13:14:38 3,584 ----a-w C:\WINDOWS\system32\ic32.dll
2007-04-15 13:14:38 18,944 ----a-w C:\WINDOWS\system32\wk32.dll
2007-04-03 10:01:00 16 -c--a-w C:\WINDOWS\hh32.dat
2007-03-22 15:04:51 0 -c--a-w C:\WINDOWS\r81j7l4g.pif
2007-03-22 14:02:18 0 -c--a-w C:\WINDOWS\9ergx.dat
2007-03-21 15:37:38 3,144,800 -c--a-w C:\WINDOWS\sg6fk0l5ci.dll
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-14 15:15:05 0 -c--a-w C:\WINDOWS\adc.dat
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2006-12-25 10:40]
{1536BA74-8625-4240-99B0-BE65883689C8}=C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll [2006-04-12 19:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"nwiz"="nwiz.exe" [2004-07-15 12:42 C:\WINDOWS\system32\nwiz.exe]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2007-05-28 19:57]
"SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" []
"SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" []
"SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" []
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" /booting
"SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" /booting
"SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" /booting

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msrdwint]
C:\WINDOWS\system32\msrdwint.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\odtemdt2]
C:\WINDOWS\system32\odtemdt2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=e1.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-04 14:06:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-06-04 14:07:27
C:\ComboFix2.txt ... 2007-06-04 12:16
C:\ComboFix3.txt ... 2007-06-04 12:06

--- E O F ---



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\pascal\Desktop\Trojanerkill\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: e1.dll
O20 - Winlogon Notify: msrdwint - C:\WINDOWS\system32\msrdwint.dll (file missing)
O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#14 Die Cookies hat Ewido dir gemeldet nicht Cureit!


Machen wir mal weiter. Installiere und update Antivir: http://www.free-av.de/antivirus/allinoned.html

Stelle es so ein: http://board.protecus.de/t23979.htm und scanne deinen PC dann im abgesicherten Modus. Lasse alle funde in die Quarantaene schieben . Nach einem neustart bitte Antivir, Hijackthis und Datfindbat Report

Infos zu datfindbat findest du hier: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#15 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 4. Juni 2007 15:12

Es wird nach 806333 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: pascal
Computername: WS-PASCAL

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 12:39:13
ANTIVIR2.VDF : 6.38.1.200 169472 Bytes 29.05.2007 12:39:13
ANTIVIR3.VDF : 6.38.1.223 146432 Bytes 04.06.2007 12:39:13
AVEWIN32.DLL : 7.4.0.29 2478592 Bytes 04.06.2007 12:39:13
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.10 360488 Bytes 04.06.2007 12:39:13
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 4. Juni 2007 15:12

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4ss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '18' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\pascal\Desktop\Sonstiges\BSINSTALLDE.exe
[FUND] Enthält Signatur des Droppers DR/180Solutions.AO.16
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad10b5.qua' verschoben!
C:\Programme\BearShare\Installer\BSINSTALLDE.exe
[FUND] Enthält Signatur des Droppers DR/180Solutions.AO.16
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad127e.qua' verschoben!
C:\Programme\BearShare\Installer\BSInstallDE_DE5.2.5.5.exe
[FUND] Enthält Signatur des Droppers DR/180Solutions.AO.16
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad1282.qua' verschoben!
C:\Programme\Counter-Strike 1.6\cstrike\addons\cdeath\cdmod.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\pk32g.exe
[FUND] Enthält Signatur des Wurmes WORM/Sdbot.113152.35
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469714d3.qua' verschoben!
C:\WINDOWS\system32\confnss.dll
[FUND] Enthält Signatur des Wurmes WORM/Stration.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d21608.qua' verschoben!
C:\WINDOWS\system32\confnxs.dll
[FUND] Enthält Signatur des Wurmes WORM/Stration.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d2160b.qua' verschoben!
C:\WINDOWS\system32\mmsprf32.dll
[FUND] Enthält Signatur des Wurmes WORM/Stration.BL.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d71636.qua' verschoben!
C:\WINDOWS\system32\nssprf32.dll
[FUND] Enthält Signatur des Wurmes WORM/Stration.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d71646.qua' verschoben!
C:\WINDOWS\system32\nxsprf32.dll
[FUND] Enthält Signatur des Wurmes WORM/Stration.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d71652.qua' verschoben!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Montag, 4. Juni 2007 16:31
Benötigte Zeit: 1:19:18 min

Der Suchlauf wurde vollständig durchgeführt.

6754 Verzeichnisse wurden überprüft
301755 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
1 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
301744 Dateien ohne Befall
1334 Archive wurden durchsucht
3 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\pascal\Desktop\Trojanerkill\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

olume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7481-B0CA

Verzeichnis von C:\DOKUME~1\pascal\LOKALE~1\Temp

04.06.2007 16:34 262.145 PNX11.tmp
04.06.2007 16:27 19.284 ICQ13.tmp
04.06.2007 16:27 6.283 ICQ12.tmp
04.06.2007 16:26 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}16749.html
04.06.2007 16:23 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}473.html
04.06.2007 16:23 17.417 ICQ10.tmp
04.06.2007 16:23 5.987 ICQF.tmp
04.06.2007 16:14 512 ~DF2B7B.tmp
04.06.2007 16:14 16.384 ~DF2B65.tmp
04.06.2007 16:14 512 ~DF2B50.tmp
04.06.2007 16:14 16.384 ~DF2B27.tmp
04.06.2007 16:14 512 ~DF2AF8.tmp
04.06.2007 16:14 16.384 ~DF2ACF.tmp
04.06.2007 16:14 512 ~DF2AAE.tmp
04.06.2007 16:14 16.384 ~DF2A96.tmp
04.06.2007 15:49 512 ~DF14C0.tmp
04.06.2007 15:49 16.384 ~DF14AE.tmp
04.06.2007 15:49 512 ~DF1499.tmp
04.06.2007 15:49 16.384 ~DF1486.tmp
04.06.2007 15:49 512 ~DF1461.tmp
04.06.2007 15:49 16.384 ~DF144F.tmp
04.06.2007 15:49 16.384 ~DF1428.tmp
04.06.2007 15:49 512 ~DF143A.tmp
04.06.2007 14:58 16.384 ~DFB4D2.tmp
04.06.2007 14:58 512 ~DF8025.tmp
04.06.2007 14:58 16.384 ~DF8013.tmp
04.06.2007 14:45 131.073 PNX8.tmp
04.06.2007 14:32 512 ~DFA388.tmp
04.06.2007 14:32 16.384 ~DFA378.tmp
04.06.2007 14:32 512 ~DFA351.tmp
04.06.2007 14:32 512 ~DFA36A.tmp
04.06.2007 14:32 16.384 ~DFA35F.tmp
04.06.2007 14:32 16.384 ~DFA344.tmp
04.06.2007 14:32 512 ~DFA32D.tmp
04.06.2007 14:32 16.384 ~DFA321.tmp
04.06.2007 14:28 797.676 IMT7.xml
04.06.2007 14:28 426 IMT6.xml
04.06.2007 14:28 2.036 IMT5.xml
04.06.2007 14:22 16.384 ~DF9EFD.tmp
04.06.2007 14:22 512 ~DF9F08.tmp
04.06.2007 14:22 512 ~DF9ED6.tmp
04.06.2007 14:22 512 ~DF9EBD.tmp
04.06.2007 14:22 16.384 ~DF9EB2.tmp
04.06.2007 14:22 16.384 ~DF9ECB.tmp
04.06.2007 14:22 16.384 ~DF9EE4.tmp
04.06.2007 14:22 512 ~DF9EEF.tmp
04.06.2007 12:58 512 ~DFD269.tmp
04.06.2007 12:58 16.384 ~DFD20B.tmp
04.06.2007 12:58 512 ~DFD1FD.tmp
04.06.2007 12:58 16.384 ~DFD1F1.tmp
04.06.2007 12:58 512 ~DFD1DF.tmp
04.06.2007 12:58 16.384 ~DFD1C7.tmp
04.06.2007 12:58 512 ~DFD1AE.tmp
04.06.2007 12:58 16.384 ~DFD19F.tmp
04.06.2007 12:44 16.384 ~DF214B.tmp
04.06.2007 12:44 512 ~DFF181.tmp
04.06.2007 12:44 16.384 ~DFF0BF.tmp
57 Datei(en) 1.648.768 Bytes
0 Verzeichnis(se), 7.543.025.664 Bytes frei


so was muss ich jetzt noch tun?