Google leitet auf falsche Seiten weiter

#0
08.12.2007, 14:16
Member

Beiträge: 22
#1 Hallo,

ich fürchte das ich mir irgendwas gefangen habe.

Habe seit neuestem das Problem, daß Google nach Ausgabe der Suchergebnisse dann auf falsche Seiten weiterleitet, wenn ich auf die Suchergebnisse klicke.

Das Problem tritt sowohl beim IExplorer auf, als auch bei Firefox.

Temporäre Dateien wurden bei beiden Browsern gelöscht.

hier die Logs und Dateien:

ComboFix:

ComboFix 07-12-08.1 - Ralph Ringwald 2007-12-08 13:56:21.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.593 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ralph Ringwald\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt
C:\WINDOWS\system32\kdedi.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-08 bis 2007-12-08 ))))))))))))))))))))))))))))))
.

2007-12-03 19:51 . 2007-12-03 19:51 <DIR> d-------- C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Oxin's Style!
2007-12-03 03:09 . 2007-12-03 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\Ralph Ringwald\dwhelper
2007-11-26 22:56 . 2007-12-02 23:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-26 22:56 . 2007-11-26 22:56 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-25 23:49 . 2007-11-25 23:49 <DIR> d-------- C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\skypePM
2007-11-25 23:49 . 2007-11-25 23:49 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-11-25 23:48 . 2007-11-25 23:48 <DIR> d-------- C:\Programme\Skype
2007-11-25 23:48 . 2007-11-25 23:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-11-25 23:48 . 2007-11-26 03:48 <DIR> d-------- C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Skype
2007-11-25 23:48 . 2007-11-25 23:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-11-22 01:04 . 2007-11-22 01:04 <DIR> d-------- C:\Programme\AVI MPEG RM WMV Joiner
2007-11-17 06:38 . 2007-11-17 06:38 8 --a------ C:\WINDOWS\system32\nvModes.dat
2007-11-17 00:28 . 2007-11-17 00:28 1,140 --a------ C:\WINDOWS\mozver.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-08 13:01 19,039 ----a-w C:\WINDOWS\system32\drivers\GVTDrv.sys
2007-12-08 12:59 --------- d-----w C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\FRITZ!
2007-12-08 12:43 13,440 ----a-w C:\WINDOWS\GPCIDrv.sys
2007-12-07 19:24 --------- d-----w C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\teamspeak2
2007-12-05 16:55 --------- d-----w C:\Programme\Microsoft Silverlight
2007-12-03 19:51 --------- d-----w C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\UseNeXT
2007-12-03 19:03 --------- d-----w C:\Programme\thriXXX
2007-11-25 23:08 --------- d-----w C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\ICQ
2007-11-23 22:14 --------- d-----w C:\Programme\AIM6
2007-11-07 22:35 --------- d-----w C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Talkback
2007-11-07 11:49 --------- d-----w C:\Programme\Star Downloader
2007-11-07 10:58 --------- d-----w C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\DivX
2007-11-05 22:38 --------- d-----w C:\Programme\ICQ6
2007-10-29 21:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-29 21:43 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft
2007-10-24 15:12 --------- d-----w C:\Programme\DivX
2007-10-23 22:38 --------- d-----w C:\Programme\PartyGaming
2007-10-22 14:01 --------- d-----w C:\Programme\Java
2007-10-22 02:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-10-18 20:44 --------- d-----w C:\Programme\FinePixViewer
2007-10-12 14:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll
2007-10-12 14:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll
2007-10-12 05:02 --------- d-----w C:\Programme\SystemRequirementsLab
2007-10-08 16:34 --------- d-----w C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\ATI
2007-10-02 08:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.dll
2007-09-28 16:08 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-28 16:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-09-28 16:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 16:07 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-09-28 16:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-09-28 16:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-09-28 16:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-09-28 16:07 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-09-28 16:05 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-09-28 16:05 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-09-28 16:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-09-28 16:05 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-09-28 16:05 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-09-28 16:05 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-09-28 16:05 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-09-28 16:05 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-09-28 16:05 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-09-28 16:05 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-09-28 16:05 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-09-28 16:05 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-09-28 16:05 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-09-16 23:07 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-09-16 23:07 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-09-16 23:07 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-09-16 23:07 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-09-16 23:07 6,746,112 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-09-16 23:07 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-09-16 23:07 5,783,040 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-09-16 23:07 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-09-16 23:07 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-09-16 23:07 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-09-16 23:07 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-09-16 23:07 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-09-16 23:07 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-09-16 23:07 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-09-16 23:07 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-09-16 23:07 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-09-16 23:07 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-09-16 23:07 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-09-16 23:07 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-09-16 23:07 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-09-16 23:07 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-09-16 23:07 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-09-16 23:07 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-09-16 23:07 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-09-16 23:07 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-09-16 23:07 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-09-16 23:07 3,629,056 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-09-16 23:07 3,551,232 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-09-16 23:07 3,334,144 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-09-16 23:07 3,166,208 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-09-16 23:07 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-09-16 23:07 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-09-16 23:07 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2006-11-30 21:49]
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 13:20]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 14:08 C:\WINDOWS\soundman.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-27 22:03]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 13:42]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-27 22:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-02-28 13:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2006-02-28 13:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-02-28 13:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-02-28 13:00]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177604004\ee\AOLSoftware.exe" [2006-11-17 14:16]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-04-25 16:44]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 10:09]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32]
"nwiz"="nwiz.exe" [2007-09-17 00:07 C:\WINDOWS\system32\nwiz.exe]
"VGAUtil"="C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe" [2005-08-16 22:50]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NVSvc"=2 (0x2)

R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys
R2 GVCplDrv;GVCplDrv;C:\WINDOWS\system32\drivers\GVCplDrv.sys
R3 GPCIDrv;GPCIDrv;\??\C:\WINDOWS\GPCIDrv.sys
R3 GVTDrv;GVTDrv;\??\C:\WINDOWS\system32\Drivers\GVTDrv.sys
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS
S3 adxapie;adxapie;\??\C:\DOKUME~1\RALPHR~1\LOKALE~1\Temp\adxapie.sys

*Newly Created Service* - ATWPKT2
.
Inhalt des "geplante Tasks" Ordners
"2007-12-08 01:16:26 C:\WINDOWS\Tasks\User_Feed_Synchronization-{D9532745-206B-4D12-BB65-311093898A71}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\DOKUME~1\RALPHR~1\LOKALE~1\Temp\hgfxooyp.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-08 14:01:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-08 14:03:09 - machine was rebooted
C:\ComboFix2.txt ... 2007-03-29 21:15
.
--- E O F ---

=================================

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:25, on 08.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1177604004\ee\AOLSoftware.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FinePixViewer\QuickDCF2.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177604004\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: ExifLauncher2.lnk = C:\Programme\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - D:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159346552468
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159566129234
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {792E349D-4844-4F53-A660-3F1E00234138} (CVXChatControl Object) - http://www.visit-x.net/downloads/applet/90/9,0,0,4/cP-Client-90.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install/installer.exe
O16 - DPF: {DD505DF0-E39C-4748-ABC0-0BEF58CFCAFE} (UltraCams Lite Client Panel Control) - http://xlcams.ultracams.com/de/cams/UltraCamsClientLite12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4432F00C-2945-46DB-A670-EB7E95EAD137}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{48D3B914-9B04-4529-B268-37835955C6CF}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{57BF78E0-FAF1-4435-8584-C001FACDCC8D}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{D021B605-22C3-4BB9-9868-2EA25F61BFC2}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.212
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 10352 bytes

===============================

datfind:


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 4846-7159

Verzeichnis von C:\WINDOWS\system32

08.12.2007 14:02 13.646 wpa.dbl
08.12.2007 14:01 4 GVGenl.ref
08.12.2007 14:01 4 GVTunner.ref
04.12.2007 01:00 136.704 swsc.exe
17.11.2007 06:38 8 nvModes.dat
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 17:57 62.344 perfc009.dat
28.10.2007 17:57 401.064 perfh009.dat
28.10.2007 17:57 415.470 perfh007.dat
28.10.2007 17:57 74.996 perfc007.dat
28.10.2007 17:57 966.314 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
22.10.2007 15:01 5.628 jupdate-1.6.0_03-b05.log
22.10.2007 03:39 267.272 xactengine2_10.dll
22.10.2007 03:37 17.928 X3DAudio1_2.dll
12.10.2007 15:14 1.374.232 D3DCompiler_36.dll
12.10.2007 15:14 3.734.536 d3dx9_36.dll
08.10.2007 17:40 127.254 nvapps.xml
02.10.2007 09:56 444.776 d3dx10_36.dll
28.09.2007 17:08 156.992 DivXCodecVersionChecker.exe
28.09.2007 17:07 10.152 dsm_de.qm
28.09.2007 17:07 524.288 DivXsm.exe
28.09.2007 17:07 4.816 divxsm.tlb
28.09.2007 17:07 3.596.288 qt-dx331.dll
28.09.2007 17:07 72.440 pxhpinst.exe
28.09.2007 17:07 1.628.920 pxsfs.dll
28.09.2007 17:07 187.128 pxmas.dll
28.09.2007 17:07 379.640 pxwave.dll
28.09.2007 17:07 551.672 px.dll
28.09.2007 17:07 129.784 pxafs.dll
28.09.2007 17:07 66.296 pxcpya64.exe
28.09.2007 17:07 88.824 vxblock.dll
28.09.2007 17:07 118.520 pxinsi64.exe
28.09.2007 17:07 120.056 pxcpyi64.exe
28.09.2007 17:07 518.904 pxdrv.dll
28.09.2007 17:07 64.760 pxinsa64.exe
28.09.2007 17:07 200.704 ssldivx.dll
28.09.2007 17:07 1.044.480 libdivx.dll
28.09.2007 17:05 416 dpl100.dll.manifest
28.09.2007 17:05 196.608 dtu100.dll
28.09.2007 17:05 81.920 dpl100.dll
28.09.2007 17:05 416 dtu100.dll.manifest
28.09.2007 17:05 53.248 dpuGUI10.dll
28.09.2007 17:05 294.912 dpu11.dll
28.09.2007 17:05 593.920 dpuGUI11.dll
28.09.2007 17:05 294.912 dpu10.dll
28.09.2007 17:05 57.344 dpv11.dll
28.09.2007 17:05 344.064 dpus11.dll
28.09.2007 17:05 802.816 divx_xx11.dll
28.09.2007 17:05 823.296 divx_xx0c.dll
28.09.2007 17:05 739.840 DivX.dll
28.09.2007 17:05 823.296 divx_xx07.dll
28.09.2007 17:05 729.088 divxdec.ax
28.09.2007 17:05 352.401 DivXMedia.ax
28.09.2007 17:05 12.288 DivXWMPExtType.dll
28.09.2007 17:04 3.136 dtu_de.qm
28.09.2007 17:04 8.523 dpude.qm
27.09.2007 14:57 135.089 nvapps.nvb
24.09.2007 22:31 139.264 javaws.exe
24.09.2007 22:31 69.632 javacpl.cpl
24.09.2007 21:30 135.168 javaw.exe
24.09.2007 21:30 135.168 java.exe
17.09.2007 00:07 2.371.584 nvwss.dll
17.09.2007 00:07 2.441.216 nvwssr.dll
17.09.2007 00:07 1.626.112 nwiz.exe
17.09.2007 00:07 303.104 nvwrstr.dll
17.09.2007 00:07 425.984 keystone.exe
17.09.2007 00:07 290.816 nvwrsth.dll
17.09.2007 00:07 294.912 nvwrssv.dll
17.09.2007 00:07 303.104 nvwrssl.dll
17.09.2007 00:07 299.008 nvwrssk.dll
17.09.2007 00:07 5.783.040 nv4_disp.dll
17.09.2007 00:07 163.840 nvwrszhc.dll
17.09.2007 00:07 442.368 nvappbar.exe
17.09.2007 00:07 315.392 nvwrsru.dll
17.09.2007 00:07 319.488 nvwrsptb.dll
17.09.2007 00:07 36.864 nvcod.dll
17.09.2007 00:07 36.864 nvcodins.dll
17.09.2007 00:07 147.456 nvcolor.exe
17.09.2007 00:07 413.696 nvcpl.cpl
17.09.2007 00:07 8.491.008 nvcpl.dll
17.09.2007 00:07 753.664 nvcplui.exe
17.09.2007 00:07 73.728 nvtuicpl.cpl
17.09.2007 00:07 1.073.152 nvcpluir.dll
17.09.2007 00:07 364.544 nvapi.dll
17.09.2007 00:07 6.344.704 nvdisps.dll
17.09.2007 00:07 5.509.120 nvdispsr.dll
17.09.2007 00:07 1.339.392 nvdspsch.exe
17.09.2007 00:07 307.200 nvexpbar.dll
17.09.2007 00:07 3.334.144 nvgames.dll
17.09.2007 00:07 3.166.208 nvgamesr.dll
17.09.2007 00:07 1.478.656 nview.dll
17.09.2007 00:07 229.376 nvmccs.dll
17.09.2007 00:07 45.056 nvmccsrs.dll
17.09.2007 00:07 188.416 nvmccss.dll
17.09.2007 00:07 458.752 nvmccssr.dll
17.09.2007 00:07 81.920 nvmctray.dll
17.09.2007 00:07 155.716 nvsvc32.exe
17.09.2007 00:07 1.150.976 nvmobls.dll
17.09.2007 00:07 466.944 nvshell.dll
17.09.2007 00:07 126.976 nvrszht.dll
17.09.2007 00:07 225.280 nvrszhc.dll
17.09.2007 00:07 2.854.912 nvmoblsr.dll
17.09.2007 00:07 286.720 nvnt4cpl.dll
17.09.2007 00:07 6.746.112 nvoglnt.dll
17.09.2007 00:07 253.952 nvrsth.dll
17.09.2007 00:07 327.680 nvrsar.dll
17.09.2007 00:07 253.952 nvrssv.dll
17.09.2007 00:07 258.048 nvrssl.dll
17.09.2007 00:07 249.856 nvrscs.dll
17.09.2007 00:07 253.952 nvrsda.dll
17.09.2007 00:07 323.584 nvwrspt.dll
17.09.2007 00:07 294.912 nvwrspl.dll
17.09.2007 00:07 278.528 nvrsde.dll
17.09.2007 00:07 299.008 nvwrsno.dll
17.09.2007 00:07 282.624 nvrsel.dll
17.09.2007 00:07 245.760 nvrseng.dll
17.09.2007 00:07 282.624 nvrses.dll
17.09.2007 00:07 319.488 nvwrsnl.dll
17.09.2007 00:07 196.608 nvwrsko.dll
17.09.2007 00:07 274.432 nvrsesm.dll
17.09.2007 00:07 249.856 nvrsfi.dll
17.09.2007 00:07 258.048 nvrstr.dll
17.09.2007 00:07 212.992 nvwrsja.dll
17.09.2007 00:07 282.624 nvrsfr.dll
17.09.2007 00:07 327.680 nvrshe.dll
17.09.2007 00:07 323.584 nvwrsit.dll
17.09.2007 00:07 315.392 nvwrshu.dll
17.09.2007 00:07 278.528 nvwrshe.dll
17.09.2007 00:07 327.680 nvwrsfr.dll
17.09.2007 00:07 303.104 nvwrsfi.dll
17.09.2007 00:07 258.048 nvrshu.dll
17.09.2007 00:07 278.528 nvrsit.dll
17.09.2007 00:07 327.680 nvwrsesm.dll
17.09.2007 00:07 266.240 nvrsja.dll
17.09.2007 00:07 335.872 nvwrses.dll
17.09.2007 00:07 286.720 nvwrseng.dll
17.09.2007 00:07 258.048 nvrsko.dll
17.09.2007 00:07 335.872 nvwrsel.dll
17.09.2007 00:07 311.296 nvwrsde.dll
17.09.2007 00:07 274.432 nvrsnl.dll
17.09.2007 00:07 253.952 nvrsno.dll
17.09.2007 00:07 294.912 nvwrsda.dll
17.09.2007 00:07 286.720 nvwrscs.dll
17.09.2007 00:07 282.624 nvwrsar.dll
17.09.2007 00:07 1.019.904 nvwimg.dll
17.09.2007 00:07 1.703.936 nvwdmcpl.dll
17.09.2007 00:07 81.920 nvwddi.dll
17.09.2007 00:07 3.629.056 nvvitvsr.dll
17.09.2007 00:07 3.551.232 nvvitvs.dll
17.09.2007 00:07 253.952 nvrspl.dll
17.09.2007 00:07 167.936 nvwrszht.dll
17.09.2007 00:07 274.432 nvrspt.dll
17.09.2007 00:07 266.240 nvrsptb.dll
17.09.2007 00:07 258.048 nvrssk.dll
17.09.2007 00:07 270.336 nvrsru.dll
17.09.2007 00:07 17.525 nvdisp.nvu
14.09.2007 13:36 249.852 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 11:19 13.824 ieudinit.exe
17.08.2007 08:34 161.792 ieakui.dll
2382 Datei(en) 612.874.056 Bytes
0 Verzeichnis(se), 2.944.462.848 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 4846-7159

Verzeichnis von C:\DOKUME~1\RALPHR~1\LOKALE~1\Temp

08.12.2007 14:10 116.864 datfind.txt
08.12.2007 14:05 173 jusched.log
08.12.2007 14:01 49.152 ~DFED.tmp
3 Datei(en) 166.189 Bytes
0 Verzeichnis(se), 2.944.475.136 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 4846-7159

Verzeichnis von C:\WINDOWS

08.12.2007 14:01 13.440 GPCIDrv.sys
08.12.2007 14:01 0 0.log
08.12.2007 14:01 1.698.235 WindowsUpdate.log
08.12.2007 14:01 159 wiadebug.log
08.12.2007 14:00 50 wiaservc.log
08.12.2007 14:00 227 system.ini
08.12.2007 14:00 2.048 bootstat.dat
08.12.2007 13:59 32.612 SchedLgU.Txt
08.12.2007 13:43 921 win.ini
08.12.2007 03:32 141.824 catchme.exe
03.12.2007 19:18 190.884 wmsetup.log
02.12.2007 23:16 54.156 QTFont.qfn
30.11.2007 00:35 9.040 cdplayer.ini
28.11.2007 20:05 970.952 setupapi.log
26.11.2007 22:56 1.409 QTFont.for
20.11.2007 17:09 172.213 setupact.log
17.11.2007 00:28 1.140 mozver.dat
14.11.2007 02:45 149.783 iis6.log
14.11.2007 02:45 326.210 comsetup.log
14.11.2007 02:45 195.966 ntdtcsetup.log
14.11.2007 02:45 52.312 ocmsn.log
14.11.2007 02:45 366.100 tsoc.log
14.11.2007 02:45 7.988 KB943460.log
14.11.2007 02:45 1.393 imsins.log
14.11.2007 02:45 457.814 ocgen.log
14.11.2007 02:45 47.700 msgsocm.log
14.11.2007 02:45 945.741 FaxSetup.log
14.11.2007 02:45 85.491 updspapi.log
29.10.2007 22:47 280.041 DirectX.log
18.10.2007 20:42 8.914 Test.VUE
10.10.2007 08:49 15.890 KB933729.log
10.10.2007 08:49 1.393 imsins.BAK
10.10.2007 08:48 25.387 KB939653-IE7.log
10.10.2007 08:48 11.144 KB941202.log
08.10.2007 17:33 10 WININIT.INI
22.09.2007 16:18 350 Sti_Trace.log
14.09.2007 13:37 5.759 KB939683.log
14.09.2007 13:36 23.320 KB933360.log
15.08.2007 14:15 11.769 spupdsvc.log
15.08.2007 13:51 20.465 KB936021.log
15.08.2007 13:51 22.595 KB938828.log
15.08.2007 13:51 19.250 KB921503.log
15.08.2007 13:51 19.052 KB938829.log
15.08.2007 13:50 23.819 KB937143-IE7.log
15.08.2007 13:50 12.282 KB938127-IE7.log
15.08.2007 13:50 5.109 KB936782.log
14.08.2007 11:46 731 aolback.exe.lnk
14.08.2007 11:45 106.318 KB885295.log
14.08.2007 11:38 18 msoffice.ini
09.08.2007 22:24 387.498 ntbtlog.txt
09.08.2007 22:05 98.304 DUMP5553.tmp
09.08.2007 17:36 98.304 DUMP560f.tmp
09.08.2007 17:35 98.304 DUMP5294.tmp
09.08.2007 17:22 98.304 DUMP569b.tmp
08.08.2007 21:22 98.304 DUMP5c77.tmp
273 Datei(en) 22.763.008 Bytes
0 Verzeichnis(se), 2.944.462.848 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 4846-7159

Verzeichnis von C:\WINDOWS\temp

08.12.2007 14:01 16.384 Perflib_Perfdata_588.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 2.944.458.752 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 4846-7159

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.11.2007 23:14 6.584 install.log
23.11.2007 23:14 38.428 unagiuninst.exe
28.08.2007 10:39 2.635.280 ImageUploader4.ocx
28.08.2007 10:39 378 ImageUploader4.inf
29 Datei(en) 6.837.472 Bytes
0 Verzeichnis(se), 2.944.458.752 Bytes frei
.
.
.

===============================

Danke für die Hilfe
Seitenanfang Seitenende
09.12.2007, 14:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

FixWareout
Download: Fixwareout zum Desktop
Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"
klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu zustarten (reboot), mach das bitte. Dein System wird länger dazu brauchen als sonst, das ist normal. Wenn dein Rechner wieder aufgestartet ist, folge den Hinweisen. Dann wird HijackThis starten.
Ein logfile wird sich oeffnen(report.txt)
Kopiere den Inhalt des Berichts report.txt in diesen Thread

O17 Note*
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden).

-> Start->Ausführen->schreib rein: ipconfig /flushdns (beachte das Leerzeichen hinter 'ipconfig'!)

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\DOKUME~1\RALPHR~1\LOKALE~1\Temp\hgfxooyp.dll

Stand alone DrWeb
Stand alone Kaspersky

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4432F00C-2945-46DB-A670-EB7E95EAD137}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{48D3B914-9B04-4529-B268-37835955C6CF}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{57BF78E0-FAF1-4435-8584-C001FACDCC8D}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{D021B605-22C3-4BB9-9868-2EA25F61BFC2}: NameServer = 85.255.115.78,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.212

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Was fuer ein Antivieren Scanner benutzt du?
__________
MfG Argus
Seitenanfang Seitenende
10.12.2007, 13:59
Member

Themenstarter

Beiträge: 22
#3 okay

hier der report:

Username "Ralph Ringwald" - 10.12.2007 13:42:32 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.115.78 85.255.112.212" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{4432F00C-2945-46DB-A670-EB7E95EAD137}
"nameserver"="85.255.115.78,85.255.112.212" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{48D3B914-9B04-4529-B268-37835955C6CF}
"nameserver"="85.255.115.78,85.255.112.212" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{57BF78E0-FAF1-4435-8584-C001FACDCC8D}
"nameserver"="85.255.115.78,85.255.112.212" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D021B605-22C3-4BB9-9868-2EA25F61BFC2}
"nameserver"="85.255.115.78,85.255.112.212" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{48D3B914-9B04-4529-B268-37835955C6CF}
"DhcpNameServer"="85.255.115.78,85.255.112.212" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D021B605-22C3-4BB9-9868-2EA25F61BFC2}
"DhcpNameServer"="85.255.115.78,85.255.112.212" <Value cleared.

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"HostManager"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1177604004\\ee\\AOLSoftware.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.2\\Apps\\apdproxy.exe\""
"Adobe Reader Speed Launcher"="\"C:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"nwiz"="nwiz.exe /install"
"VGAUtil"="C:\\Programme\\GigaByte\\VGA Utility Manager\\G-VGA.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Yahoo! Pager"="\"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe\" -quiet"
"NVIDIA nTune"="\"C:\\Programme\\NVIDIA Corporation\\nTune\\nTuneCmd.exe\" clear"
"AOL Fast Start"="\"C:\\Programme\\AOL 9.0 VR\\AOL.EXE\" -b"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


das mit O17 war nicht erforderlich


die Datei, die ich prüfen sollte, war auch nicht vorhanden.


Problem scheint aber behoben zu sein.
Danke
Seitenanfang Seitenende
10.12.2007, 14:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Scanne dein Rechner mit dein Up-to-date Virenscanner

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus
Seitenanfang Seitenende
28.12.2007, 15:44
Member

Beiträge: 31
#5 Herzlichen Dank, Arnold!
Möge Gott/Allah mit dir sein...
Seitenanfang Seitenende
29.12.2007, 03:25
Member

Beiträge: 31
#6 Komisch.. Wieder zurück der Kram ;)
Könnte es zwar nun wieder beheben, aber irgendwo scheint's immer noch undicht zu sein...
Seitenanfang Seitenende
31.12.2007, 12:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 Hallo CNGVR

1.
wende das noch mal an: (poste den Report)
http://www.virus-protect.org/artikel/tools/fixwareout.html

2.
poste bitte noch mal das Log von Combofix + das neue Log vom HijackTHis

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.01.2008, 16:28
Member

Beiträge: 31
#8 Reihenfolge:
1. ComboFix-Report
2. Fixwareout-Report
3. HJT-Log (HJT.com)



ComboFix 07-12-21.4 - H A 2008-01-01 15:07:50.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.198 [GMT 1:00]
ausgeführt von:: C:\Virenschutz\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\kdflx.exe
C:\WINDOWS\system32\wuasirvy.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-01 bis 2008-01-01 ))))))))))))))))))))))))))))))
.

2007-12-29 04:14 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2007-12-29 04:14 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2007-12-29 04:14 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2007-12-29 04:14 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2007-12-29 03:40 . 2007-12-29 03:40 <DIR> d-------- C:\Programme\Common Files
2007-12-28 23:23 . 2008-01-01 15:08 5 --a------ C:\WINDOWS\system32\sdfixwcs.dll
2007-12-28 22:36 . 2008-01-01 02:53 17,920 --a------ C:\WINDOWS\msacm32.drv
2007-12-27 05:13 . 2007-12-27 05:13 <DIR> dr------- C:\Favoriten
2007-12-23 16:20 . 2007-12-23 16:20 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2007-12-23 16:20 . 2007-12-23 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-23 16:18 . 2007-12-23 16:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-17 22:53 . 2007-12-17 22:53 <DIR> d-------- C:\Temp
2007-12-17 22:51 . 2007-12-17 22:56 <DIR> d-------- C:\ICQ
2007-12-17 22:51 . 2007-12-17 22:56 <DIR> d-------- C:\Dokumente und Einstellungen\H A\Anwendungsdaten\ICQLite
2007-12-13 00:38 . 2007-12-13 00:38 <DIR> d-------- C:\Dokumente und Einstellungen\H A\Anwendungsdaten\Musicmatch
2007-12-13 00:30 . 2007-12-17 22:52 <DIR> d-------- C:\program files
2007-12-12 16:49 . 2007-12-12 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2007-12-12 16:19 . 2007-12-12 16:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-12-12 16:18 . 2007-12-13 00:39 <DIR> d-------- C:\MP3
2007-12-12 12:28 . 2007-12-13 00:48 171 --a------ C:\WINDOWS\cdplayer.ini
2007-12-11 23:34 . 2007-12-11 23:34 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 23:34 . 2007-12-11 23:34 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-01 01:53 80,384 ----a-w C:\WINDOWS\system32\mscon97.dll
2007-12-28 17:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-28 12:54 --------- d-----w C:\Programme\Google
2007-12-12 23:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-12 23:36 20,576 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-12-12 23:36 108,544 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-12-12 23:36 104,960 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-12-12 15:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-27 19:59 --------- d-----w C:\Dokumente und Einstellungen\H A\Anwendungsdaten\SopCast
2007-11-17 22:42 --------- d-----w C:\Programme\MSXML 4.0
2007-11-17 22:42 --------- d-----w C:\Programme\GameSpy Arcade
2007-11-10 01:53 --------- d-----w C:\Dokumente und Einstellungen\H A\Anwendungsdaten\Sports Interactive
2007-11-10 01:50 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-10 01:50 --------- d--h--r C:\Dokumente und Einstellungen\H A\Anwendungsdaten\SecuROM
2007-11-10 01:49 --------- d--h--w C:\Programme\Zero G Registry
2007-11-10 01:47 --------- d-----w C:\Programme\Sports Interactive
2007-11-10 01:13 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-09 22:21 --------- d-----w C:\Programme\win32
2007-11-03 17:07 --------- d-----w C:\Dokumente und Einstellungen\H A\Anwendungsdaten\TVU Networks
.

((((((((((((((((((((((((((((( snapshot_2007-12-29_ 3.31.20.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2003-03-03 14:25:56 34,304 ----a-w C:\WINDOWS\ieuninst.exe
+ 2005-05-26 02:16:24 75,544 ----a-w C:\WINDOWS\LastGood\System32\cdm.dll
+ 2005-05-26 02:16:22 466,200 ----a-w C:\WINDOWS\LastGood\System32\wuapi.dll
+ 2005-05-26 02:16:22 124,696 ----a-w C:\WINDOWS\LastGood\System32\wuauclt.exe
+ 2005-05-26 02:16:30 1,343,768 ----a-w C:\WINDOWS\LastGood\System32\wuaueng.dll
+ 2005-05-26 02:16:22 128,280 ----a-w C:\WINDOWS\LastGood\System32\wucltui.dll
+ 2005-05-26 02:16:30 41,240 ----a-w C:\WINDOWS\LastGood\System32\wups.dll
+ 2005-05-26 02:16:30 18,200 ----a-w C:\WINDOWS\LastGood\System32\wups2.dll
+ 2005-05-26 02:16:30 173,536 ----a-w C:\WINDOWS\LastGood\System32\wuweb.dll
- 2002-08-29 08:32:28 1,026,048 ----a-w C:\WINDOWS\system32\browseui.dll
+ 2004-01-21 17:24:44 1,026,048 ----a-w C:\WINDOWS\system32\BROWSEUI.DLL
- 2005-05-26 02:16:24 75,544 ----a-w C:\WINDOWS\system32\cdm.dll
+ 2007-07-30 18:19:20 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
- 2007-12-29 02:26:25 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-01 14:07:44 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
- 2002-08-29 08:32:28 1,026,048 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll
+ 2004-01-21 17:24:44 1,026,048 -c--a-w C:\WINDOWS\system32\dllcache\BROWSEUI.DLL
- 2005-05-26 02:16:24 75,544 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
+ 2007-07-30 18:19:20 92,504 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
- 2002-08-29 08:32:28 2,786,816 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2004-01-21 17:24:46 2,795,520 -c--a-w C:\WINDOWS\system32\dllcache\MSHTML.DLL
- 2002-08-29 08:32:28 1,338,368 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
+ 2004-01-21 17:24:48 1,339,904 -c--a-w C:\WINDOWS\system32\dllcache\SHDOCVW.DLL
- 2002-08-29 08:32:28 395,776 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
+ 2004-01-21 17:24:48 395,776 -c--a-w C:\WINDOWS\system32\dllcache\SHLWAPI.DLL
- 2002-08-29 08:32:28 484,864 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2004-01-21 17:24:48 486,400 -c--a-w C:\WINDOWS\system32\dllcache\URLMON.DLL
- 2002-08-29 08:32:28 590,848 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
+ 2004-01-21 17:24:48 593,408 -c--a-w C:\WINDOWS\system32\dllcache\WININET.DLL
- 2005-05-26 02:16:22 124,696 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
+ 2007-07-30 18:19:16 53,080 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2007-07-30 18:19:42 1,712,984 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll
- 2002-08-29 08:32:28 2,786,816 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2004-01-21 17:24:46 2,795,520 ----a-w C:\WINDOWS\system32\MSHTML.DLL
- 2001-08-22 16:00:00 18,521 ----a-w C:\WINDOWS\system32\perft36.dll
+ 2001-08-22 16:00:00 18,515 ----a-w C:\WINDOWS\system32\perft36.dll
- 2001-08-21 14:00:00 36,322 ----a-w C:\WINDOWS\system32\racpldl84.dll
+ 2001-08-20 14:00:00 36,322 ----a-w C:\WINDOWS\system32\racpldl84.dll
- 2002-08-29 08:32:28 1,338,368 ----a-w C:\WINDOWS\system32\shdocvw.dll
+ 2004-01-21 17:24:48 1,339,904 ----a-w C:\WINDOWS\system32\SHDOCVW.DLL
- 2002-08-29 08:32:28 395,776 ----a-w C:\WINDOWS\system32\shlwapi.dll
+ 2004-01-21 17:24:48 395,776 ----a-w C:\WINDOWS\system32\SHLWAPI.DLL
+ 2007-07-30 18:19:36 549,720 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wuapi.dll\7.0.6000.381\wuapi.dll
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.0.6000.381\wups.dll
+ 2007-07-30 18:19:12 43,352 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.0.6000.381\wups2.dll
- 2005-05-04 13:45:26 15,072 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-10-08 13:46:18 14,640 ------w C:\WINDOWS\system32\spmsg.dll
- 2002-08-29 08:32:28 484,864 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2004-01-21 17:24:48 486,400 ----a-w C:\WINDOWS\system32\URLMON.DLL
- 2002-08-29 08:32:28 590,848 ----a-w C:\WINDOWS\system32\wininet.dll
+ 2004-01-21 17:24:48 593,408 ----a-w C:\WINDOWS\system32\WININET.DLL
- 2005-05-26 02:16:22 466,200 ----a-w C:\WINDOWS\system32\wuapi.dll
+ 2007-07-30 18:19:36 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
- 2005-05-26 02:16:22 124,696 ----a-w C:\WINDOWS\system32\wuauclt.exe
+ 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 ----a-w C:\WINDOWS\system32\wuaueng.dll
+ 2007-07-30 18:19:42 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
- 2005-05-26 02:16:22 128,280 ----a-w C:\WINDOWS\system32\wucltui.dll
+ 2007-07-30 18:19:32 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
- 2005-05-26 02:16:30 41,240 ----a-w C:\WINDOWS\system32\wups.dll
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\wups.dll
- 2005-05-26 02:16:30 18,200 ----a-w C:\WINDOWS\system32\wups2.dll
+ 2007-07-30 18:19:12 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
- 2005-05-26 02:16:30 173,536 ----a-w C:\WINDOWS\system32\wuweb.dll
+ 2007-07-30 18:19:46 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 13:00]
"SpybotSD TeaTimer"="C:\Virenschutz\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 09:42 C:\WINDOWS\SOUNDMAN.EXE]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [2005-02-17 07:38]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-18 22:42]
"NvCplDaemon"="RUNDLL32.exe" [2001-08-18 13:00 C:\WINDOWS\system32\rundll32.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13:00]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^H A^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\H A\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-10-10 19:51 39792 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-09-13 11:12 139264 --a------ C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Games\DAEMON Tools\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\ICQ\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 16:40 155648 --a------ C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-10-12 03:10 49263 --a------ C:\Programme\Java\jre1.5.0_09\bin\jusched.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 13:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 12:04]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;C:\WINDOWS\System32\Drivers\ousbehci.sys [2005-01-15 06:39]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\System32\DRIVERS\ousb2hub.sys [2005-01-15 06:39]

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-01 15:13:31
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-01 16:10:39 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-29 03:32
C:\ComboFix3.txt ... 2007-12-28 15:33




----------------------------------------------------------------------------





Username "H A" - 01.01.2008 16:11:34 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.114.72 85.255.112.75" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F9527FF8-B1F6-4043-90EF-BB9595A2E813}
"nameserver"="85.255.114.72,85.255.112.75" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{FB48B89F-B355-49BE-8741-4806E5650A0B}
"nameserver"="85.255.114.72,85.255.112.75" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F9527FF8-B1F6-4043-90EF-BB9595A2E813}
"DhcpNameServer"="85.255.114.72,85.255.112.75" <Value cleared.

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"SoundMan"="SOUNDMAN.EXE"
"BigDogPath"="C:\\WINDOWS\\VM_STI.EXE USB PC Camera 301P"
"avgnt"="\"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Virenschutz\\Spybot - Search & Destroy\\TeaTimer.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~




Logfile of HijackThis v1.99.1
Scan saved at 16:24:09, on 01.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Virenschutz\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Virenschutz\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Virenschutz\hjt.com

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRENS~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Virenschutz\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198896618746
O17 - HKLM\System\CCS\Services\Tcpip\..\{79301FC3-608A-469B-A773-06D47ACED902}: NameServer = 85.255.114.72 85.255.112.75
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Virenschutz\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



PS: Habe bewusst das Original Log vom HJT gepostet..
Beim ersten Anwenden der o.g. Tools (vor einer Woche) waren später im HJT-Log alle 017'er weg. Dieses mal irgendwie nicht. Würde nun den 017'er und die beiden 09'er manuell fixen...

PS2: Während combofix arbeitete, wurde einen kdflx.exe-Registry-Eintrag aus dem "Winlogon" gelöscht.. Ein kleines Spybot-Info-Fenster wollte eine Bestätigung, sodass ich dies mitbekam..
Dieser Beitrag wurde am 01.01.2008 um 16:33 Uhr von CNGVR editiert.
Seitenanfang Seitenende
01.01.2008, 17:45
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 Hallo CNGVR

fixe mit hijackthis

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{79301FC3-608A-469B-A773-06D47ACED902}: NameServer = 85.255.114.72 85.255.112.75
wende noch mal fixwareout an - poste den report
http://www.virus-protect.org/artikel/tools/fixwareout.html

«
scanne mit sophos - poste hier den report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.01.2008, 18:28
Member

Beiträge: 31
#10 fixwareout

Username "H A" - 01.01.2008 18:00:44 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"SoundMan"="SOUNDMAN.EXE"
"BigDogPath"="C:\\WINDOWS\\VM_STI.EXE USB PC Camera 301P"
"avgnt"="\"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Virenschutz\\Spybot - Search & Destroy\\TeaTimer.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


------------------------------------------------------------
Sophos


SDFix: Version 1.121

Run by H A on 01.01.2008 at 18:16

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\sdfixwcs.dll - Deleted
C:\WINDOWS\system32\TFTP1144 - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-01 18:20:50
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Games\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:62,e0,30,b5,99,07,b3,fd,0b,c8,02,31,0c,da,b2,20,92,78,fd,0f,f5,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,68,c2,16,10,89,7c,62,42,e0,4f,91,fb,0c,ab,e9,61,6e,..
"khjeh"=hex:a0,d0,e0,ec,0d,34,a5,5f,f3,d2,59,d4,fc,09,2d,fa,e1,99,a2,74,d6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d5,53,0c,ff,de,72,68,6c,cf,ac,eb,05,b9,6b,9b,98,fc,55,ec,4a,b8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Games\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:62,e0,30,b5,99,07,b3,fd,0b,c8,02,31,0c,da,b2,20,92,78,fd,0f,f5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,68,c2,16,10,89,7c,62,42,e0,4f,91,fb,0c,ab,e9,61,6e,..
"khjeh"=hex:a0,d0,e0,ec,0d,34,a5,5f,f3,d2,59,d4,fc,09,2d,fa,e1,99,a2,74,d6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d5,53,0c,ff,de,72,68,6c,cf,ac,eb,05,b9,6b,9b,98,fc,55,ec,4a,b8,..
Seitenanfang Seitenende
01.01.2008, 18:45
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 CNGVR

»
mit sophos scanst du, indem du sdfix im Normalmodus anklickst - und dann Sophos waehlst... -
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien
poste das Log hier
http://www.virus-protect.org/artikel/tools/sdfix.html

«
mache einen Onlinescan mit kaspersky und poste das log
http://board.protecus.de/t8642.htm
+
poste das neue Log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
03.01.2008, 18:03
Member

Beiträge: 31
#12 Oh, Mann.. Nachdem ich Sophos angewandt habe, wollte ich mich Kaspersky scannen lassen. War im Firefox nicht möglich..
Habe den IE geöffnet und den Link eingefügt. Der TeaTimer von S&D sprang hervor und gab wieder in der Winlogon-Registry eine kd.....exe an. Habe aus Gewohnheit versehentlich auf 'erlauben' geklickt (, weil in den letzten Checks diese von comboFix etc. gelöscht wurde und auch um Erlaubnis gefragt wurde..)
Mann, Mann.....Fange von vorne an..
(Der Kaspersky-Scan (z.B. Arbeitsplatz) dauert mehrere Stunden...)
Die Logs werden also etwas auf sich warten lassen.
Seitenanfang Seitenende
03.01.2008, 18:27
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 nun denn ... HijackThis, sdfix, Combofix und fixwareout noch mal anwenden .. und poste die logs....
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
03.01.2008, 22:52
Member

Beiträge: 31
#14 SOPHOS:
Vermerk: Die A001xxxxx.exe im 'System Volume Information' Verzeichnis hatte Sophos beim ersten Anwenden gelöscht. Beim 2. Mal griff Anti-Vir ein und löschte sie. (sind immer unterschiedliche Nummer)

Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 332274 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 18:22:18, System date 03 January 2008
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Could not check C:\Dokumente und Einstellungen\H A\Eigene Dateien\N73 Von M\sys\bin\NTorchLite.exe (format not supported)
Could not check C:\Dokumente und Einstellungen\H A\Eigene Dateien\N73 Von M\sys\bin\TTMOBILE.exe (format not supported)
Could not open C:\System Volume Information\_restore{BA6A8260-8EE6-4AAA-A04F-A39CDDF7C992}\RP134\A0013852.exe
Could not open C:\WINDOWS\system32\drivers\sptd.sys

1 boot sector swept.
21397 files swept in 1 hour, 27 minutes and 27 seconds.
4 errors were encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.



KASPERSKY:
Während Kaspersky die "wichtigen Objekte" scannte, fand AntiVir im Windows-Verzeichnis eine "NirCmd"; ich ignorierte. (fixwareout-Datei)

wichtige Objekte: KEINE infizierten Objekte
Memory: KEINE infizierten Objekte
eMail: KEINE infizierten Objekte
Ordner:

C:\QooBox\Quarantine\C\WINDOWS\msacm32.drv.vir Infizierte Objekte: Trojan.Win32.Agent.drt übersprungen

C:\System Volume Information\_restore{BA6A8260-8EE6-4AAA-A04F-A39CDDF7C992}\RP134\A0013822.drv Infizierte Objekte: Trojan.Win32.Agent.drt übersprungen

Arbeitsplatz: siehe "Ordner"!


HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 22:50:58, on 03.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Virenschutz\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Virenschutz\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Virenschutz\hjt.com

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRENS~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Virenschutz\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{79301FC3-608A-469B-A773-06D47ACED902}: NameServer = 85.255.114.2 85.255.112.168
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Virenschutz\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



wieder dieser 17er :\
Seitenanfang Seitenende
04.01.2008, 14:08
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 CNGVR

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt
««
wende catchme an und poste den report
http://www.virus-protect.org/catchme.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende