Fehlermeldung Firefox-->"AUS:Verbindung verweigert"

#1 Hi @ all,

heute hat mein Firefox den Geist aufgegeben . Beim Öffnen kommt die übliche Fehlermeldung "Firefox kann keine Verbindung zu dem Server unter de.start2.mozilla.com aufbauen", wenn ich dann versuche, FF zu aktualisieren kommt "FF konnte aus folg. Grund nicht aktualisiert werden:

AUS:Verbindung verweigert"

IE funktioniert einwandfrei.

Es könnte sein, dass ich bei einer Nachfrage von Spybot FF blockiert habe, finde dort aber keinerlei Blockierungsprozesse...
Außerdem habe ich malware gefunden, die sich nicht löschen lässt.

Mein (gesäubertes) HJT-logfile ergibt folgendes:



Logfile of HijackThis v1.99.1
Scan saved at 19:08:35, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\bgsvc.exe
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {77460D96-3DB1-11D6-B121-004005E35DF1} (Ctrl_ibi Control 1.3) - http://software.ibi-tec.net/ibi-xs.ocx
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O21 - SSODL: hksrv.dll - {0DB4C126-F3BC-47D1-8318-8D3951F2506A} - hksrv.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner -
O23 - Service: ATI Smart - Unknown owner -
O23 - Service: winconfig.exe - Unknown owner - C:\WINDOWS\win32dll.exe (file missing)
O23 - Service: wsxfs(wsxfs) (wsxfs) - Unknown owner - C:\WINDOWS\system32\wsxfs.exe (file missing)


Ich hoffe, ihr könnt mir helfen und bedanke mich schon im Voraus für eure Mühen.

MfG,
Adormidera

#2 Ist das alles im log?oder selbst schon sachen gefixt?
Entferne Hijack This 1.99.1 und.....

Erstellen eines Hijackthis-Logfiles
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#3 oki, hab alles befolgt
hatte mit dem alten HJT 2 als "sehr schädlich" eingestufte einträge gefixt.

Hier das neue logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:01, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\Ati2evxx.exe
D:\bgsvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\Programme\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira Premium Security Suite\avesvc.exe
C:\Programme\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira Premium Security Suite\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_6_0_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_6_0_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit 0190Alarm.lnk = C:\Programme\0190 Alarm\0190Alarm.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?0c1bdc53dc904ba0bc3ccbfacb27e528
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?0c1bdc53dc904ba0bc3ccbfacb27e528
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140817387531
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {77460D96-3DB1-11D6-B121-004005E35DF1} (Ctrl_ibi Control 1.3) - http://software.ibi-tec.net/ibi-xs.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O21 - SSODL: hksrv.dll - {0DB4C126-F3BC-47D1-8318-8D3951F2506A} - hksrv.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avesvc.exe
O23 - Service: B's Recorder GOLD Service (bgsvc) - B.H.A Corporation - D:\bgsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: winconfig.exe - Unknown owner - C:\WINDOWS\win32dll.exe (file missing)
O23 - Service: wsxfs(wsxfs) (wsxfs) - Unknown owner - C:\WINDOWS\system32\wsxfs.exe (file missing)

#4 Start-->Ausführen kopiere rein:
sc stop "winconfig.exe"
Klicke OK
Nochmal dasselbe kopiere rein:
Start-->Ausführen kopiere rein:
sc delete "winconfig.exe"
Klicke OK

Mach dasselbe mit

Start-->Ausführen kopiere rein:
sc stop " wsxfs "
Klicke OK
Mach dasselbe mit
sc delete " wsxfs "
Klicke OK

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKUS\S-1-5-18\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe (User 'SYSTEM')
O16 - DPF: {77460D96-3DB1-11D6-B121-004005E35DF1} (Ctrl_ibi Control 1.3) - http://software.ibi-tec.net/ibi-xs.ocx
O21 - SSODL: hksrv.dll - {0DB4C126-F3BC-47D1-8318-8D3951F2506A} - hksrv.dll (file missing)
O23 - Service: winconfig.exe - Unknown owner - C:\WINDOWS\win32dll.exe (file missing)
O23 - Service: wsxfs(wsxfs) (wsxfs) - Unknown owner - C:\WINDOWS\system32\wsxfs.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#5 Merci Arnold, habe Deine Instruktionen ausgeführt,

neues HJT-log ergibt:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:59, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\Ati2evxx.exe
D:\bgsvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\Programme\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira Premium Security Suite\avesvc.exe
C:\Programme\Avira Premium Security Suite\avmailc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_6_0_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_6_0_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'Default user')
O4 - Startup: Verknüpfung mit 0190Alarm.lnk = C:\Programme\0190 Alarm\0190Alarm.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?0c1bdc53dc904ba0bc3ccbfacb27e528
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?0c1bdc53dc904ba0bc3ccbfacb27e528
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140817387531
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avesvc.exe
O23 - Service: B's Recorder GOLD Service (bgsvc) - B.H.A Corporation - D:\bgsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: wsxfs(wsxfs) (wsxfs) - Unknown owner - C:\WINDOWS\system32\wsxfs.exe (file missing)<---ist nicht gekillt worden
--
End of file - 11883 bytes


Hier das Combofix-log:


ComboFix 07-11-19.4 - Verena 2007-11-27 22:40:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.64 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Verena\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\HbTools.log
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\ads.cdf
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\btntrans.idx
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\btntrans1.dat
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\business_promo.htm
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\buttondir.txt
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\components.cdf
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_1000.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_2000.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_3000.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bar.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bbar1.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_logos.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_buttons_other.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\d_icons_weather.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\default.cdf
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_511745-514279.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz1.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz10.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz11.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz12.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz13.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz14.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz15.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz16.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz17.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz18.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz19.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz2.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz20.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz3.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz4.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz5.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz6.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz7.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz8.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_bidz9.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_categorize.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_comparison.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_em_PROFL_CA_flow_b_IEB.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_explorer-Mails.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_explorer-people.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_favorites.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_Games.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_Hide.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_hotbarcom.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_Hotmail.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_hsskin.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_jemster.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_jemsterie.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_jemsteruk.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_jobsearch.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_Mails.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_new.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_premium.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_reun.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_ringtones.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_SearchBoxTrapper.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_searchfor.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_searchgo.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_weather.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Default_yellowpages.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\email-def-511724-548964.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\email-def-511724-9595.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\email-t1-bg.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\hotbar-premium-hotbar-premium.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\hotbar-premium.cdf
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\hotbar_promo.htm
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\icons2.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\keywords.idx
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\keywords1.dat
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\layout.cdf
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\linkpathlegal.txt
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\progress.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\s_icons_buttons.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\sales_buttons.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\t2_bg.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\theweb.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\top7.cdf
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\Top7_theweb.mnu
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\1\tsd_bg.res
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\ads.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\BtnTrans.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\BtnTrans1.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\business_promo.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\buttondir.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_1000.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_2000.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_3000.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_bar.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_bbar1.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_logos.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_buttons_other.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\d_icons_weather.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\default.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\email-t1-bg.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\hotbar-premium.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\hotbar_promo.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\icons2.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\keywords.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\keywords1.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\layout.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\linkpathlegal.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\progress.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\s_icons_buttons.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\sales_buttons.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\samplegroups2.txt
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\samplegroups2.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\t2_bg.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\top7.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools\v3.0\HbTools\static\DownLoad\tsd_bg.xip
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools_Icons
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools_Icons\Registryrepair.ico
C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\HbTools_Icons\wallpapere1.ico
C:\Dokumente und Einstellungen\Niggi\Desktop\Free PC Wallpapers.lnk
C:\Dokumente und Einstellungen\User\Anwendungsdaten\install.dat
C:\Programme\autorun.inf
C:\WINDOWS\Downloaded Program Files\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Fonts\acrsecI.fon
C:\WINDOWS\system32\info.txt
C:\WINDOWS\system32\sgkpbhereb.dat
C:\WINDOWS\system32\sgkpbhereb_nav.dat
C:\WINDOWS\system32\sgkpbhereb_navps.dat

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-27 bis 2007-11-27 ))))))))))))))))))))))))))))))
.

2007-11-27 20:34 <DIR> d-------- C:\Programme\Hijack This
2007-11-27 20:31 <DIR> d-------- C:\HijackThis
2007-11-27 11:09 <DIR> d-------- C:\Programme\LexmarkX84-X85
2007-11-03 19:28 <DIR> d-------- C:\Programme\LexmarkX84-X85(2)
2007-11-01 11:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AstroWorld Shared
2007-11-01 11:22 <DIR> d-------- C:\Programme\Sybex
2007-11-01 03:04 <DIR> d-------- C:\Dokumente und Einstellungen\Verena\Anwendungsdaten\SlySoft
2007-11-01 01:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2007-11-01 01:50 <DIR> d-------- C:\Programme\DaViDeo 4 professional
2007-11-01 01:50 13,872 --------- C:\WINDOWS\system32\drivers\GEARASPIWDM.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-27 18:40 68,776 ----a-w C:\WINDOWS\system32\drivers\avfwot.sys
2007-11-27 18:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira Premium Security Suite
2007-11-27 18:39 --------- d-----w C:\Programme\Avira Premium Security Suite
2007-11-27 12:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-27 10:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-12 19:41 121,328 ----a-w C:\Dokumente und Einstellungen\Verena\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-01 02:17 --------- d-----w C:\Programme\SlySoft
2007-11-01 01:34 213,054 ----a-w C:\WINDOWS\GSetup.exe
2007-11-01 00:45 --------- d-----w C:\Dokumente und Einstellungen\ Verena\Anwendungsdaten\Ahead
2007-11-01 00:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-10-08 02:27 61,096 ----a-w C:\WINDOWS\system32\drivers\avfwim.sys
2007-10-01 23:28 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-10-01 23:23 --------- d-----w C:\Dokumente und Einstellungen\ Verena\Anwendungsdaten\WebMoney
2007-10-01 23:18 --------- d-----w C:\Programme\WebMoney
2007-06-26 00:37 156,154 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-06-25 19:28 17,896,352 ----a-w C:\Programme\aaw2007_7014.exe
2007-04-14 11:10 120,944 ----a-w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-28 10:08 120,160 ----a-w C:\Dokumente und Einstellungen\User\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-11-24 14:15 119,192 ----a-w C:\Dokumente und Einstellungen\Niggi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-07-15 20:53 199,101 ----a-w C:\Programme\Homepage Rosenrot.hpf
2005-07-15 06:40 21 ----a-w C:\Programme\AVPersonalPremiumAVWIN.INI
2003-03-27 10:54 0 ----a-w C:\Programme\VDM12.tmp
2003-03-27 10:54 0 ----a-w C:\Programme\VDM11.tmp
2001-06-22 07:46 615 ----a-w C:\Programme\SETUP.PKG
2001-06-22 07:46 5 ----a-w C:\Programme\DISK1.ID
2001-06-22 07:46 4,805,904 ----a-w C:\Programme\_SETUP.1
2001-06-22 07:45 401 ----a-w C:\Programme\SETUP.ISS
2001-06-22 07:45 33 ----a-w C:\Programme\SETUP.INI
2001-06-22 07:45 197,564 ----a-w C:\Programme\_SETUP.LIB
1998-08-06 09:17 70,861 ----a-w C:\Programme\SETUP.INS
1998-05-12 10:31 11,355 ----a-w C:\Programme\_SETUP.DLL
1997-01-18 10:04 320,411 ----a-w C:\Programme\_INST32I.EX_
1997-01-18 09:53 45,312 ----a-w C:\Programme\SETUP.EXE
1995-09-07 18:22 8,192 ----a-w C:\Programme\_ISDEL.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2003-04-23 04:06]
"MsnMsgr"="~C:\Programme\MSN Messenger\MsnMsgr.exe" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-12 19:19]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2006-08-18 11:15]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [2002-10-27 00:02 C:\WINDOWS\system32\sstray.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-12-13 03:00]
"LWBKEYBOARD"="C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe" [2002-02-08 16:11]
"LWBMOUSE"="C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [2001-11-20 11:51]
"Lexmark X84-X85 Button Monitor"="C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe" []
"Lexmark X84-X85 Button Manager"="C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe" []
"PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2002-09-19 04:52]
"TweakUI 1.33 deutsch"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"Tweak UI 1.33 deutsch"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2004-05-04 15:21]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 15:41]
"PRISMSVR.EXE"="C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.exe" [2004-04-26 13:26]
"HPHmon03"="C:\WINDOWS\System32\hphmon03.exe" [2003-01-30 17:49]
"HPHUPD05"="C:\Programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2004-04-01 11:33]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 07:38]
"HPHmon05"="C:\WINDOWS\System32\hphmon05.exe" [2004-05-05 06:16]
"cFosDNT"="C:\Programme\1&1 Programme\cFos\cFosDNT.exe" [2003-01-22 11:08]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07]
"OEM-Reset"="" []
"QuickTime Task"="C:\programme\quicktime\qttask.exe" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" []
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"CARPService"="carpserv.exe" [2002-05-14 06:36 C:\WINDOWS\system32\carpserv.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Symantec NetDriver Warning"="C:\PROGRA~1\SYMNET~1\SNDWarn.exe" [2004-10-29 07:52]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" []

C:\Dokumente und Einstellungen\Verena\Startmen�\Programme\Autostart\
Verkn�pfung mit 0190Alarm.lnk - C:\Programme\0190 Alarm\0190Alarm.exe [2003-03-12 22:26:59]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2007-11-13 21:49:32]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50]
Digital Image Monitor.lnk - C:\Programme\Digital Image\Monitor.exe [2005-08-14 14:51:46]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys
R1 avfwot;avfwot;\??\C:\WINDOWS\system32\drivers\avfwot.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 SSHDRV66;SSHDRV66;\??\C:\WINDOWS\System32\drivers\SSHDRV66.sys
R1 SSHDRV84;SSHDRV84;\??\C:\WINDOWS\System32\drivers\SSHDRV84.sys
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira Premium Security Suite\avfwsvc.exe
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;"C:\Programme\Avira Premium Security Suite\avmailc.exe"
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;"C:\Programme\Avira Premium Security Suite\avesvc.exe"
R2 bgsvc;B's Recorder GOLD Service;D:\bgsvc.exe
R2 cFosNT;cFosNT;C:\WINDOWS\system32\Drivers\cFosNT.sys
R3 avfwim;AvFw Packet Filter Service;C:\WINDOWS\system32\DRIVERS\avfwim.sys
R3 Cap7134;TV-Station (SAA7134Capture with MK3-Tuner);C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 PhTVTune;Philips WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
S2 wsxfs;wsxfs(wsxfs);"C:\WINDOWS\system32\wsxfs.exe"
S3 ATWPKT;ATWPKT;\??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS
S3 dnwlnksp;dnwlnksp;\??\C:\DOKUME~1\SISTER~1\LOKALE~1\Temp\dnwlnksp.sys
S3 Dot4 HPH09;Dot4 HPH09;C:\WINDOWS\system32\DRIVERS\hphid409.sys
S3 Dot4Print HPH09;Print Class Driver for IEEE-1284.4 HPH09;C:\WINDOWS\system32\DRIVERS\hphipr09.sys
S3 Dot4Storage HPH09;Storage Class Driver for IEEE-1284.4 (HPH09);C:\WINDOWS\system32\Drivers\hphs2k09.sys
S3 Dot4Usb HPH09;Dot4Usb HPH09;C:\WINDOWS\system32\drivers\hphius09.sys
S3 DT154_A02;Sinus 154 data II Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys
S3 gstream;gstream;\??\C:\DOKUME~1\USER~1\LOKALE~1\Temp\gstream.sys
S3 jswmidin;jswmidin;\??\C:\DOKUME~1\USER~1\LOKALE~1\Temp\jswmidin.sys
S3 kvolsnap;kvolsnap;\??\C:\DOKUME~1\USER~1\LOKALE~1\Temp\kvolsnap.sys
S3 nstrmdis;nstrmdis;\??\C:\DOKUME~1\USER~1\LOKALE~1\Temp\nstrmdis.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{409de141-54c8-11d7-9d7a-806d6172696f}]
\Shell\AutoRun\command - D:\bsrestr.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - HTTPFILTER
.
Inhalt des "geplante Tasks" Ordners
"2007-10-05 10:02:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-11-27 21:10:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
"2007-11-27 20:29:25 C:\WINDOWS\Tasks\HP Usg Daily.job"
- C:\Programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-27 22:46:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr = ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background?r

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-27 22:48:12
.
--- E O F ---


Grüßle

#6 Entferne auf C:\ Qoobox-->Papierkorb leeren

Start-->Ausführen kopiere rein:
services.msc
Klicke OK
Suche wsxfs und beende diesen Process(wenn anwesend)

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

D:\bgsvc.exe
c:\windows\system32\stonedrv.exe

Stand alone DrWeb
Stand alone Kaspersky

Java
Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe

Scanne Online bei Kaspersky http://www.kaspersky.com/de/virusscanner
Und poste das Log
__________
MfG Argus

#7 Hi Arnold,

hat alles geklappt,außer:

wsxfs war zwar anwesend bei den Prozessen, jedoch war die Schaltfläche "Beenden" inaktiv ("Starten" wäre mögl. gewesen**), weshalb ich ihn unter "Eigenschaften" erst mal deaktiviert habe...?

D:\bgsvc.exe <--war okay!
c:\windows\system32\stonedrv.exe <--nicht gefunden, ist hoffentlich durch fixen gekilled worden

Kaspersky hat einiges entdeckt, hier das log:


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 28. November 2007 17:36:43
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 28/11/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 467732
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 107767
Viren gefunden: 6
Infizierte Objekte gefunden: 15
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:27:52

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\avenger\backup.zip/avenger/lzx32.sys Infizierte Objekte: SpamTool.Win32.Mailbot.bc übersprungen
C:\avenger\backup.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira Premium Security Suite\EVENTDB\avevtdb.dbe Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira Premium Security Suite\EVENTDB\avevtdb.dbe-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira Premium Security Suite\EVENTDB\usettings.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prism\464c862 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\hsperfdata_Gast\1288 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Niggi\Eigene Dateien\Adormidera\mirc612.exe/data0001.bin Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.612 übersprungen
C:\Dokumente und Einstellungen\Niggi\Eigene Dateien\Adormidera\mirc612.exe mIRC: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Verena\Anwendungsdaten\Microsoft\MSNLiveFav\LiveFavorites.xml Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Anwendungsdaten\Microsoft\Vorlagen\Normal.dot Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Anwendungsdaten\Microsoft\Word\AutoWiederherstellen-Speicherung von Dokument1.asd Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Verena\Anwendungsdaten\Opera\Opera\mail\indexer\indexer.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Anwendungsdaten\Opera\Opera\mail\lexicon\lexicon.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Anwendungsdaten\Opera\Opera\mail\mailbase.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Verena\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Verena\Eigene Dateien\Backup\Adormidera\mirc612.exe/data0001.bin Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.612 übersprungen
C:\Dokumente und Einstellungen\Verena\Eigene Dateien\Backup\Adormidera\mirc612.exe mIRC: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Temp\ mon003.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Verena\Lokale Einstellungen\Temp\~DF356C.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Temp\~DF37B8.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Temp\~DFB262.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Verena\Lokale Einstellungen\Temp\~DFD375.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Temp\~DFD853.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Temp\~WRS0002.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007112820071129\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\ Verena\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Anwendungen\Webshots\WEBSWIM.EXE/WISE0021.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.NewDotNet übersprungen
C:\Programme\Anwendungen\Webshots\WEBSWIM.EXE/WISE0032.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.Gator.1050 übersprungen
C:\Programme\Anwendungen\Webshots\WEBSWIM.EXE WiseSFX: infiziert - 2 übersprungen
C:\Programme\Anwendungen\Webshots.zip/WEBSWIM.EXE/WISE0021.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.NewDotNet übersprungen
C:\Programme\Anwendungen\Webshots.zip/WEBSWIM.EXE/WISE0032.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.Gator.1050 übersprungen
C:\Programme\Anwendungen\Webshots.zip/WEBSWIM.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.Gator.1050 übersprungen
C:\Programme\Anwendungen\Webshots.zip ZIP: infiziert - 3 übersprungen
C:\Programme\Avira Premium Security Suite\global_words.db Das Objekt ist gesperrt übersprungen
C:\Programme\Avira Premium Security Suite\settings.db Das Objekt ist gesperrt übersprungen
C:\Programme\HP\hpcoretech\hpcmerr.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP72\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UDC6U_0001_D19M0709NetInstaller.exe Infizierte Objekte: not-a-virusownloader.Win32.WinFixer.ar übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\NAME-O25YWNZYW0.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\i Infizierte Objekte: Trojan-Downloader.BAT.Ftp.ab übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\TEMP\ZLT04930.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\TEMP\ZLT04934.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Was nun?


Danke für die schnelle Hillfe
Grüßle

#8 Avenger
Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\system32\i

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Argus

#9 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sjuisdqb

*******************

Script file located at: \??\C:\Program Files\xbikpbhp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UDC6U_0001_D19M0709NetInstaller.exe deleted successfully.
File C:\WINDOWS\system32\i deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Super, is mein Rechner jetzt sauber?

#10 Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Installiere AVG Anti Spyware
http://board.protecus.de/t29853.htm
__________
MfG Argus

#11 Okay, hab ich gemacht.

Konnte damit noch etliche verfolgende Cookies entfernen bzw. in Quarantäne nehmen. Hehe.

Many Thanx for all!

P.S. Firefox ist zwar immer noch blockiert, dafür hab ich jetzt aber Opera

#12 Schon mal ATFcleaner benutzt?
http://board.protecus.de/t23188.htm
__________
MfG Argus

#13 nein, noch nicht...werden die lesezeichen dadurch gelöscht?

#14 Es entfernt alles was ueberfluessig ist


__________
MfG Argus