2 mal IEXPLORER.exe ständig offen (i explorer poppt ständig auf)

#16 habe das selbe problem hier mein logfile dazu hoffe mir kann hier jemand helfen
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:16:15, on 01.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Zend\Zend Studio for Eclipse - 6.1.0\ZendStudio.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Frag] C:\DOKUME~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1220387226
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1211826458
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9D0C97B-62F8-49EB-A626-43DCD4B884D1}: NameServer = 217.237.151.205,217.237.148.70
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

--
End of file - 7924 bytes

#17 >>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKCU\..\Run: [Free Frag] C:\DOKUME~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe

und wähle fix checked.
Starte den Rechner neu.


>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#18 ComboFix 09-03-31.03 - twoside 2009-04-01 15:06:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.718 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\twoside\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-01 bis 2009-04-01 ))))))))))))))))))))))))))))))
.

2009-04-01 12:56 . 2009-04-01 14:52 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-01 12:56 . 2009-04-01 12:56 <DIR> d-------- c:\dokumente und einstellungen\twoside\Anwendungsdaten\Malwarebytes
2009-04-01 12:56 . 2009-04-01 12:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-01 12:56 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-01 12:56 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-01 11:07 . 2009-04-01 11:07 <DIR> d-------- c:\programme\Hex-Editor MX
2009-03-31 00:37 . 2009-03-31 00:37 <DIR> d-------- c:\programme\Trend Micro
2009-03-29 04:04 . 2009-03-29 04:03 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-26 02:56 . 2009-03-26 03:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin
2009-03-26 02:55 . 2009-03-26 03:06 <DIR> d-------- c:\dokumente und einstellungen\twoside\Anwendungsdaten\flaw window
2009-03-09 16:27 . 2009-03-09 16:27 <DIR> d-------- c:\dokumente und einstellungen\twoside\Anwendungsdaten\ImgBurn
2009-03-09 16:18 . 2009-03-09 16:18 <DIR> d-------- c:\programme\ImgBurn

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-01 12:55 --------- d-----w c:\programme\Trillian
2009-04-01 12:28 --------- d-----w c:\programme\iTunes
2009-04-01 12:22 --------- d-----w c:\programme\Nero
2009-04-01 12:10 --------- d-----w c:\programme\MSECACHE
2009-03-29 10:52 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-29 10:52 --------- d-----w c:\programme\Microsoft ActiveSync
2009-03-29 08:50 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-29 08:50 --------- d-----w c:\programme\Razer
2009-03-29 08:50 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Razer
2009-03-29 02:03 --------- d-----w c:\programme\Java
2009-03-26 20:40 --------- d-----w c:\dokumente und einstellungen\twoside\Anwendungsdaten\LimeWire
2009-03-22 17:11 --------- d-----w c:\programme\LimeWire
2009-03-17 22:00 --------- d-----w c:\dokumente und einstellungen\twoside\Anwendungsdaten\AIMP
2009-03-14 22:37 --------- d-----w c:\programme\ICQ6
2009-03-12 02:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-27 13:16 --------- d-----w c:\programme\Microsoft Silverlight
2009-02-21 10:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-02-21 00:51 --------- d-----w c:\dokumente und einstellungen\twoside\Anwendungsdaten\ITTerritory
2009-02-20 22:17 --------- d-----w c:\programme\Windows Live
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 14:14 1,846,400 ------w c:\windows\system32\dllcache\win32k.sys
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 17:08 55,152 ----a-w c:\windows\system32\drivers\fssfltr_tdi.sys
2009-02-01 21:29 --------- dc----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{51019853-129C-4EDE-9030-D5FD7BBD9AD0}
2009-02-01 13:34 --------- d-----w c:\dokumente und einstellungen\twoside\Anwendungsdaten\Subversion
2009-02-01 13:18 --------- d-----w c:\programme\Zend
2009-01-23 16:16 362,240 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-01-16 20:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2007-11-23 23:11 88 --sh--r c:\windows\system32\99329F10D0.sys
2007-11-23 23:11 2,828 --sha-w c:\windows\system32\KGyGaAvL.sys
2007-11-06 15:11 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007102920071105\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007110620071107\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Free Frag"="c:\dokume~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe" [2009-03-26 598016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 12451]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2008-12-21 c:\windows\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 14 (0xe)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^twoside^Startmenü^Programme^Autostart^eMule Turbo Accelerator.lnk]
path=c:\dokumente und einstellungen\twoside\Startmenü\Programme\Autostart\eMule Turbo Accelerator.lnk
backup=c:\windows\pss\eMule Turbo Accelerator.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^twoside^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\twoside\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
--a------ 2008-08-14 08:58 611712 c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]
--a------ 2007-03-20 17:40 1884160 c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 14:00 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-29 12:40 687560 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Frag]
--a------ 2009-03-26 03:04 598016 c:\dokume~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 07:00 33648 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 14:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 17:08 173304 c:\programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lachesis]
--a------ 2007-09-12 11:52 172032 c:\programme\Razer\Lachesis\razerhid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2009-02-06 19:51 3885408 c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-08-11 22:43 7630848 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-08-11 22:43 86016 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Online chin internet bolt]
--a------ 2009-04-01 14:59 769024 c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\bias knob.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
--a------ 2008-01-31 09:17 134144 c:\programme\pdf24\PDFBackend.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-10-08 11:55 1410296 c:\programme\Valve\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-03-29 04:03 148888 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WireLessKeyboard]
--a------ 2005-11-30 13:48 94208 c:\programme\Multimedia Combo Set Driver\StartAutorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WireLessMouse]
--a------ 2005-11-30 13:48 94208 c:\programme\Multimedia Combo Set Driver\StartAutorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
--a------ 2002-10-15 18:00 1818624 c:\windows\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-11 22:43 1519616 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"WinVNC4"=2 (0x2)
"sdCoreService"=3 (0x3)
"sdAuxService"=3 (0x3)
"ProtexisLicensing"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"iPod Service"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"CLTNetCnService"=2 (0x2)
"Capture Device Service"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Adobe Version Cue CS3"=3 (0x3)
"ABBYY.Licensing.FineReader.Professional.9.0"=2 (0x2)
"Nero BackItUp Scheduler 4.0"=2 (0x2)
"XAMPP"=2 (0x2)
"WZCSVC"=2 (0x2)
"wwEngineSvc"=2 (0x2)
"wuauserv"=2 (0x2)
"Webcamera Plus Service"=2 (0x2)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"NVSvc"=2 (0x2)
"mysql"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"ImapiService"=3 (0x3)
"helpsvc"=2 (0x2)
"FileZilla Server"=3 (0x3)
"ERSvc"=2 (0x2)
"Apache2.2"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\xampp\\apache\\bin\\apache.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\WinSCP\\WinSCP.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\theblackpitcher\\condition zero\\hl.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Ateksoft\\WebCamera Plus\\WebCamPlusSrv.exe"=
"c:\\Programme\\Ateksoft\\WebCamera Plus\\camviewer.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Zend\\Zend Studio for Eclipse - 6.1.0\\ZendStudio.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\theblackpitcher\\counter-strike\\hl.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"5553:TCP"= 5553:TCP:trillian incomming
"5553:UDP"= 5553:UDP:trillian upd
"5900:TCP"= 5900:TCP:vnc
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-02-21 55152]
R3 AteksoftAudio;WebCamera Plus Audio;c:\windows\system32\drivers\ateksoftaudio.sys [2009-01-03 11776]
R3 LachesisFltr;Lachesis Mouse Driver;c:\windows\system32\drivers\Lachesis.sys [2008-07-08 12032]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [2008-04-18 28672]
R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [2008-01-18 16128]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [2007-12-06 25244]
S3 MaplomL;MaplomL; [x]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [2008-01-03 18176]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [2008-01-03 7680]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [2008-01-03 42112]
S3 uisp;Freescale USB JW32 driver;c:\windows\system32\drivers\Usbicp.sys [2008-07-08 14592]
S4 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0-Lizenzierungsdienst;c:\programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-09-24 566560]
S4 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2008-06-14 17408]
S4 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-07 603904]
S4 Webcamera Plus Service;Webcamera Plus Service;c:\programme\Ateksoft\WebCamera Plus\WebCamPlusSrv.exe [2009-01-03 46592]
S4 wwEngineSvc;Window Washer Engine;c:\programme\Webroot\Washer\WasherSvc.exe [2007-12-01 598856]
S4 XAMPP;XAMPP Service;c:\xampp\service.exe [2007-12-21 60928]
.
Inhalt des "geplante Tasks" Ordners

2009-04-01 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-24 13:32]

2009-04-01 c:\windows\Tasks\AA04209593EBD1B5.job
- c:\dokume~1\twoside\anwend~1\flawwi~1\Defaultencway.exe [2009-03-26 03:06]

2009-03-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
MSConfigStartUp-DAEMON Tools - c:\programme\DAEMON Tools\daemon.exe
MSConfigStartUp-DAEMON Tools Pro Agent - c:\programme\DAEMON Tools Pro\DTProAgent.exe
MSConfigStartUp-FreeCall - c:\programme\FreeCall.com\FreeCall\FreeCall.exe
MSConfigStartUp-Lycosa - c:\programme\Razer\Lycosa\razerhid.exe
MSConfigStartUp-Maplom - c:\programme\SlySoft\Game Jackal\GameJackal.exe
MSConfigStartUp-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
MSConfigStartUp-NeroFilterCheck - c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
MSConfigStartUp-NextSTART - c:\programme\Winstep\nextstart.exe
MSConfigStartUp-UVS11 Preload - c:\programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
MSConfigStartUp-Web Video Downloader - c:\programme\SourceTec\Sothink Web Video Downloader Stand-alone\VideoDownloader.exe
MSConfigStartUp-Workshelf - c:\programme\Winstep\workshelf.exe
MSConfigStartUp-CmPCIaudio - CMICNFG3.CPL
MSConfigStartUp-SystemTray Monitor - SysTraymon.exe


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {D9D0C97B-62F8-49EB-A626-43DCD4B884D1} = 217.237.151.205,217.237.148.70
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1211826458
FF - ProfilePath - c:\dokumente und einstellungen\twoside\Anwendungsdaten\Mozilla\Firefox\Profiles\c9cmmi1n.default\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 15:07:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-790525478-1454471165-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{705634DD-965D-7769-E3EE-4CC8A79441AB}*]
"naiplinikkkmoeikoihoaaenihac"=hex:69,61,65,61,69,63,65,6d,63,67,70,63,6b,6d,
6a,69,67,62,00,00
"oaoofjkdmhamlklpaemdjeeolikppf"=hex:69,61,65,61,69,63,65,6d,63,67,70,63,6b,6d,
6a,69,67,62,00,00

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|é•6~*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"=""
.
Zeit der Fertigstellung: 2009-04-01 15:10:49
ComboFix-quarantined-files.txt 2009-04-01 13:09:32

Vor Suchlauf: 29 Verzeichnis(se), 14.825.000.960 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 15,276,945,408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /maxmem=1024 /numproc=1

Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
318 --- E O F --- 2009-03-15 02:15:50

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1927
Windows 5.1.2600 Service Pack 2

01.04.2009 14:52:32
mbam-log-2009-04-01 (14-52-27).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 295091
Laufzeit: 1 hour(s), 45 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\kkamla (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\kkamla.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2473bf2d-ca0a-11da-88db-0050bf2938e1} (Trojan.Lop) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\plugindl (Trojan.Lop) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\anti-leech alnn (Trojan.AntiLeechPlugin) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/anti-leech plugin,version=1.0.2.3 (Trojan.AntiLeechPlugin) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Anti-Leech (Trojan.AntiLeechPlugin) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\PluginDL (Trojan.Lop) -> No action taken.
C:\Programme\Anti-Leech (Trojan.AntiLeechPlugin) -> No action taken.
C:\Programme\Anti-Leech\ALNN (Trojan.AntiLeechPlugin) -> No action taken.

Infizierte Dateien:
C:\Programme\PluginDL\axdlplug.dll (Trojan.Lop) -> No action taken.
C:\Programme\Anti-Leech\ALNN\alhlp.exe (Trojan.AntiLeechPlugin) -> No action taken.
C:\Programme\Anti-Leech\ALNN\npalnn.dll (Trojan.AntiLeechPlugin) -> No action taken.
C:\Programme\Anti-Leech\ALNN\setup2.exe (Rogue.Installer) -> No action taken.
C:\Programme\Mozilla Firefox\plugins\alhlp.exe (Trojan.AntiLeechPlugin) -> No action taken.
C:\Programme\Mozilla Firefox\plugins\npalnn.dll (Trojan.AntiLeechPlugin) -> No action taken.
C:\Programme\Mozilla Firefox\plugins\npdlplug.dll (Trojan.Lop) -> No action taken.
C:\WINDOWS\system32\a.exe (Trojan.Downloader) -> No action taken.
C:\Programme\PluginDL\axdlplug.inf (Trojan.Lop) -> No action taken.
C:\Programme\PluginDL\uninstall.exe (Trojan.Lop) -> No action taken.
C:\WINDOWS\system32\CMVideo.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\sf.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\m3.ico (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\twoside\Startmenü\SMS TRAP.url (Rogue.Link) -> No action taken.
C:\WINDOWS\system32\c.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\m.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\p.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\s.ico (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\twoside\Favoriten\SMS TRAP.url (Rogue.Link) -> No action taken.
C:\WINDOWS\ios.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\twoside\Startmenü\Cheap Pharmacy Online.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\twoside\Favoriten\Search Online.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\twoside\Startmenü\Search Online.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\twoside\Startmenü\VIP Casino.url (Rogue.Link) -> No action taken.

nach einem neustart tratt das selbe problem erneut auf

#19 >>
Hast Du ein ANtivirenprogramm installiert??
Ich sehe auf den ersten Blick keines. Installiere Dir ansonsten AVIRA:
http://virus-protect.org/antivirus.html

>>
Kennst du das Programm FREE FRAG und brauchst Du es?

>>
Lade Dir Registry Search by Bobbi Flekman
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

Anti-Leech

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss

Für mich:

Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Free Frag"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Frag]

File::
c:\dokume~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe

Folders::
C:\Programme\Anti-Leech

#20 nein ich kenne das prog nicht und habe auch keine verwendung dafür doch iwie stellte sich das löschen schwierig an weils immer wieder aufgetaucht ist habe es jetz beende lasse grade spyware doctor und antivirus von pc tools nochmal im fullscan drüber laufen und dann reg säubern und erstatte dann bericht

#21 ähhmmm wer hat geschrieben du solltst es löschen manuell? Und wer hat geschrieben du sollst SpywareDoctor laufen lassen?

Bite mache einfach was ich schreibe ansonsten gibt es lediglich ein Durcheinander!!

Wo ist das hier:

Zitat

>>
Lade Dir Registry Search by Bobbi Flekman
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

Anti-Leech

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Danach mach folgendes:
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Free Frag"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Frag]

File::
c:\dokume~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe

Folders::
C:\Programme\Anti-Leech

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden
>>
poste das Neue Log von Combofix

>>
Suche danach ebenfalls mit Registry Search by Bobbi Flekman nach folgendem und poste:

Free Frag

Gruss Swiss

#22 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Anti-Leech" 02.04.2009 09:37:44

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Anti-Leech ALNN]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Mozilla Firefox\\plugins\\alhlp.exe"="Anti-Leech plugin helper program"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Mozilla Firefox\\plugins\\alhlp.exe"="Anti-Leech plugin helper program"

ComboFix 09-04-01.01 - twoside 2009-04-02 9:48:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.577 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\twoside\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\twoside\Desktop\cfscript.txt
AV: PC Tools AntiVirus 6.0.0.18 *On-access scanning enabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\dokume~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\twoside\ANWEND~1\FLAWWI~1\baitbuild.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-02 bis 2009-04-02 ))))))))))))))))))))))))))))))
.

2009-04-01 16:19 . 2009-04-01 16:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sunbelt
2009-04-01 16:18 . 2009-04-01 16:18 <DIR> d-------- c:\programme\Sunbelt Software
2009-04-01 15:49 . 2009-02-10 11:13 28,560 --a------ c:\windows\system32\drivers\AVHook.sys
2009-04-01 15:49 . 2009-02-10 11:13 21,904 --a------ c:\windows\system32\drivers\AVRec.sys
2009-04-01 15:49 . 2009-02-10 11:13 21,904 --a------ c:\windows\system32\drivers\AVFilter.sys
2009-04-01 15:48 . 2009-04-02 10:10 <DIR> d-------- c:\programme\PC Tools AntiVirus
2009-04-01 15:28 . 2009-04-01 15:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\PC Tools
2009-04-01 15:28 . 2008-12-11 08:38 159,600 --a------ c:\windows\system32\drivers\pctgntdi.sys
2009-04-01 15:28 . 2009-04-01 15:33 130,424 --a------ c:\windows\system32\drivers\PCTCore.sys
2009-04-01 15:28 . 2008-12-18 12:16 73,840 --a------ c:\windows\system32\drivers\PCTAppEvent.sys
2009-04-01 15:28 . 2008-12-10 12:36 64,392 --a------ c:\windows\system32\drivers\pctplsg.sys
2009-04-01 15:27 . 2009-04-01 19:32 <DIR> d-------- c:\programme\Spyware Doctor
2009-04-01 15:27 . 2009-04-01 15:53 <DIR> d-------- c:\dokumente und einstellungen\twoside\Anwendungsdaten\PC Tools
2009-04-01 12:56 . 2009-04-01 12:56 <DIR> d-------- c:\dokumente und einstellungen\twoside\Anwendungsdaten\Malwarebytes
2009-04-01 12:56 . 2009-04-01 12:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-01 11:07 . 2009-04-01 11:07 <DIR> d-------- c:\programme\Hex-Editor MX
2009-03-31 00:37 . 2009-03-31 00:37 <DIR> d-------- c:\programme\Trend Micro
2009-03-29 04:04 . 2009-03-29 04:03 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-26 02:56 . 2009-03-26 03:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin
2009-03-26 02:55 . 2009-04-02 09:49 <DIR> d-------- c:\dokumente und einstellungen\twoside\Anwendungsdaten\flaw window
2009-03-09 16:27 . 2009-03-09 16:27 <DIR> d-------- c:\dokumente und einstellungen\twoside\Anwendungsdaten\ImgBurn
2009-03-09 16:18 . 2009-03-09 16:18 <DIR> d-------- c:\programme\ImgBurn

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-02 08:13 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-02 06:14 --------- d-----w c:\programme\Trillian
2009-04-01 13:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-04-01 13:23 --------- d-----w c:\programme\Core Services
2009-04-01 12:28 --------- d-----w c:\programme\iTunes
2009-04-01 12:22 --------- d-----w c:\programme\Nero
2009-04-01 12:10 --------- d-----w c:\programme\MSECACHE
2009-03-29 10:52 --------- d-----w c:\programme\Microsoft ActiveSync
2009-03-29 08:50 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-29 08:50 --------- d-----w c:\programme\Razer
2009-03-29 08:50 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Razer
2009-03-29 02:03 --------- d-----w c:\programme\Java
2009-03-26 20:40 --------- d-----w c:\dokumente und einstellungen\twoside\Anwendungsdaten\LimeWire
2009-03-22 17:11 --------- d-----w c:\programme\LimeWire
2009-03-17 22:00 --------- d-----w c:\dokumente und einstellungen\twoside\Anwendungsdaten\AIMP
2009-03-14 22:37 --------- d-----w c:\programme\ICQ6
2009-03-12 02:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-27 13:16 --------- d-----w c:\programme\Microsoft Silverlight
2009-02-21 10:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-02-21 00:51 --------- d-----w c:\dokumente und einstellungen\twoside\Anwendungsdaten\ITTerritory
2009-02-20 22:17 --------- d-----w c:\programme\Windows Live
2009-02-06 17:08 55,152 ----a-w c:\windows\system32\drivers\fssfltr_tdi.sys
2007-11-23 23:11 88 --sh--r c:\windows\system32\99329F10D0.sys
2007-11-23 23:11 2,828 --sha-w c:\windows\system32\KGyGaAvL.sys
2007-11-06 15:11 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007102920071105\index.dat
2007-11-06 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007110620071107\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"RegistryMechanic"="c:\programme\Registry Mechanic\RegMech.exe" [2008-07-08 2828184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
"PCTAVApp"="c:\programme\PC Tools AntiVirus\PCTAV.exe" [2009-02-19 1374096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 12451]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2008-12-21 c:\windows\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 14 (0xe)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^twoside^Startmenü^Programme^Autostart^eMule Turbo Accelerator.lnk]
backup=c:\windows\pss\eMule Turbo Accelerator.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^twoside^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
--a------ 2008-08-14 08:58 611712 c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]
--a------ 2007-03-20 17:40 1884160 c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 14:00 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-29 12:40 687560 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 07:00 33648 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 14:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 17:08 173304 c:\programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lachesis]
--a------ 2007-09-12 11:52 172032 c:\programme\Razer\Lachesis\razerhid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2009-02-06 19:51 3885408 c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-08-11 22:43 7630848 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-08-11 22:43 86016 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Online chin internet bolt]
--a------ 2009-04-02 08:20 769024 c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\bias knob.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
--a------ 2008-01-31 09:17 134144 c:\programme\pdf24\PDFBackend.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-10-08 11:55 1410296 c:\programme\Valve\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-03-29 04:03 148888 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WireLessKeyboard]
--a------ 2005-11-30 13:48 94208 c:\programme\Multimedia Combo Set Driver\StartAutorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WireLessMouse]
--a------ 2005-11-30 13:48 94208 c:\programme\Multimedia Combo Set Driver\StartAutorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
--a------ 2002-10-15 18:00 1818624 c:\windows\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-11 22:43 1519616 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"WinVNC4"=2 (0x2)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)
"ProtexisLicensing"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"iPod Service"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"CLTNetCnService"=2 (0x2)
"Capture Device Service"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Adobe Version Cue CS3"=3 (0x3)
"ABBYY.Licensing.FineReader.Professional.9.0"=2 (0x2)
"Nero BackItUp Scheduler 4.0"=2 (0x2)
"XAMPP"=2 (0x2)
"WZCSVC"=2 (0x2)
"wwEngineSvc"=2 (0x2)
"wuauserv"=2 (0x2)
"Webcamera Plus Service"=2 (0x2)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"NVSvc"=2 (0x2)
"mysql"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"ImapiService"=3 (0x3)
"helpsvc"=2 (0x2)
"FileZilla Server"=3 (0x3)
"ERSvc"=2 (0x2)
"Apache2.2"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\xampp\\apache\\bin\\apache.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\WinSCP\\WinSCP.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\theblackpitcher\\condition zero\\hl.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Ateksoft\\WebCamera Plus\\WebCamPlusSrv.exe"=
"c:\\Programme\\Ateksoft\\WebCamera Plus\\camviewer.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Zend\\Zend Studio for Eclipse - 6.1.0\\ZendStudio.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\theblackpitcher\\counter-strike\\hl.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"5553:TCP"= 5553:TCP:trillian incomming
"5553:UDP"= 5553:UDP:trillian upd
"5900:TCP"= 5900:TCP:vnc
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-04-01 130424]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-02-21 55152]
R3 AteksoftAudio;WebCamera Plus Audio;c:\windows\system32\drivers\ateksoftaudio.sys [2009-01-03 11776]
R3 LachesisFltr;Lachesis Mouse Driver;c:\windows\system32\drivers\Lachesis.sys [2008-07-08 12032]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [2008-04-18 28672]
R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [2008-01-18 16128]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [2007-12-06 25244]
S3 MaplomL;MaplomL; [x]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [2008-01-03 18176]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [2008-01-03 7680]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [2008-01-03 42112]
S3 uisp;Freescale USB JW32 driver;c:\windows\system32\drivers\Usbicp.sys [2008-07-08 14592]
S4 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0-Lizenzierungsdienst;c:\programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-09-24 566560]
S4 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2008-06-14 17408]
S4 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S4 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [2009-04-01 348752]
S4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-07 603904]
S4 Webcamera Plus Service;Webcamera Plus Service;c:\programme\Ateksoft\WebCamera Plus\WebCamPlusSrv.exe [2009-01-03 46592]
S4 wwEngineSvc;Window Washer Engine;c:\programme\Webroot\Washer\WasherSvc.exe [2007-12-01 598856]
S4 XAMPP;XAMPP Service;c:\xampp\service.exe [2007-12-21 60928]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners

2009-04-02 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-24 13:32]

2009-04-02 c:\windows\Tasks\AA04209593EBD1B5.job
- c:\dokume~1\twoside\anwend~1\flawwi~1\Defaultencway.exe [2009-03-26 03:06]

2009-03-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
TCP: {D9D0C97B-62F8-49EB-A626-43DCD4B884D1} = 217.237.151.205,217.237.148.70
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1211826458
FF - ProfilePath - c:\dokumente und einstellungen\twoside\Anwendungsdaten\Mozilla\Firefox\Profiles\c9cmmi1n.default\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-02 10:13:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-790525478-1454471165-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{705634DD-965D-7769-E3EE-4CC8A79441AB}*]
"naiplinikkkmoeikoihoaaenihac"=hex:69,61,65,61,69,63,65,6d,63,67,70,63,6b,6d,
6a,69,67,62,00,00
"oaoofjkdmhamlklpaemdjeeolikppf"=hex:69,61,65,61,69,63,65,6d,63,67,70,63,6b,6d,
6a,69,67,62,00,00

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|é•6~*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"=""
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\PC Tools AntiVirus\PCTAVSvc.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-02 10:19:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-02 08:19:21
ComboFix2.txt 2009-04-01 13:10:51

Vor Suchlauf: 8.435.142.656 Bytes frei
Nach Suchlauf: 8,463,855,616 Bytes frei

Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
322 --- E O F --- 2009-03-15 02:15:50


keine instanz von free frag konnte gefunden werden

#23 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Programme\Mozilla Firefox\plugins\alhlp.exe

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
- Klicke: Execute
- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen


>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Download LopSD.zipzum Desktop
Doppelklick: LopSD
Doppelklick: Lop S&D
Doppelklick: Scan,die Dateien werden jetzt ausgepackt
Doppelklick: Scan (bat)
Wähle 2 und Enter
Wähle S und Enter
Am Ende bei " Scan completed succesfully” klick OK/Enter
Editor öffnet sich und poste dessen inhalt hier im Thread

>>
Was meint Bitdefender?

>>
Und bestehen die Probleme noch? Welche genau.

Gruss Swiss

#24 mhh habe noch keinen weiteren bericht gemacht weil cih erst austesten wollte ob alles funktioniert und naja das problem mit dem iexplorer prozess wurde vollständig von combifix behoben jedoch habe ich jetz das prob das kein brennprogramm mehr meine beiden brenner erkennt und imgburn mir sogar nen error auswirft nen I/O error beim inizialisieren... ich sollte vl dazu sagen das keine upper lower filter mehr existieren und cih schon versucht habe die brennprogramme neu zu installieren da ja neue generiert werden jedoch werden die laufwerke im gerätemanager angezeig tund auch im arbeitsplatz verfügbar ...

#25 Arbeite zuerst das ab was ich geschrieben habe dann sehen wir weiter.

Gruss Swiss