Tr/drop.agent.cwd

#1 Habe mir diesen og. Trojaner eingefangen. Was kann ich machen??


ComboFix 07-12-21.4 - Normal 2007-12-22 20:45:59.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.597 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Normal\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\inst.exe
C:\Programme\WinAble
C:\Programme\WinAble\winable.exe
C:\WINDOWS\mrofinu880.exe
C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\oqtwa.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-22 bis 2007-12-22 ))))))))))))))))))))))))))))))
.

2007-12-22 20:51 . 2007-12-22 20:51 323,072 --------- C:\WINDOWS\system32\awtqo.dll
2007-12-22 20:34 . 2007-12-22 20:34 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-22 20:16 . 2007-12-22 20:16 <DIR> d-------- C:\Programme\Trend Micro
2007-12-22 19:56 . 2007-11-08 23:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-12-22 19:56 . 2007-12-22 20:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-12-22 19:56 . 2007-12-22 19:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-22 19:46 . 2007-12-22 19:46 1 --a------ C:\Dokumente und Einstellungen\Normal\SI.bin
2007-12-22 19:25 . 2007-12-22 20:52 326,656 --a------ C:\WINDOWS\system32\awtqo.exe
2007-12-22 19:22 . 2007-12-22 19:22 37,376 --a------ C:\WINDOWS\system32\byxxwxv.dll
2007-12-22 19:21 . 2007-12-22 19:21 37,376 --a------ C:\WINDOWS\system32\xxyvvsp.dll
2007-12-22 19:20 . 2007-12-22 19:20 37,376 --a------ C:\WINDOWS\system32\pmnmllm.VIR
2007-12-22 19:20 . 2007-12-22 19:20 37,376 --a------ C:\WINDOWS\system32\jkkkjgd.dll
2007-12-22 17:02 . 2007-12-22 17:02 111 --a------ C:\WINDOWS\telephon.ini
2007-12-22 16:00 . 2007-12-22 16:04 <DIR> d-------- C:\Programme\18 Wheels of Steel Haulin
2007-12-22 15:58 . 2007-12-22 20:10 <DIR> d-------- C:\Programme\AdVantage
2007-12-22 15:53 . 2007-12-22 15:53 <DIR> d-------- C:\Programme\18.Wheels.Of.Steel.Haulin.GERMAN-SiLENTGATE
2007-12-21 20:05 . 2007-12-22 19:20 39,936 --a------ C:\WINDOWS\mrofinu2000382.exe.tmp
2007-12-20 16:20 . 2007-12-21 18:43 <DIR> d-------- C:\Programme\games
2007-12-20 16:20 . 2007-12-20 16:20 29 --a------ C:\WINDOWS\games.INI
2007-12-20 15:01 . 2007-12-22 19:24 <DIR> d-------- C:\Programme\eMule
2007-12-20 14:40 . 2007-12-21 18:43 <DIR> d-------- C:\Programme\18 Wheels of Steel American Long Haul
2007-12-17 16:55 . 2007-12-21 18:48 <DIR> d-------- C:\Programme\Bus Driver
2007-12-17 16:48 . 2007-12-22 19:05 <DIR> d-------- C:\Downloads
2007-12-17 15:16 . 2007-12-17 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2007-12-10 17:05 . 2007-12-10 17:05 <DIR> d-------- C:\Programme\Lavasoft
2007-12-10 17:05 . 2007-12-10 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-11-28 19:10 . 2007-11-28 19:10 <DIR> d-------- C:\Programme\tewi
2007-11-28 18:11 . 2007-11-28 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RTL Winter Sports 2008
2007-11-28 18:06 . 2007-11-28 18:09 <DIR> d-------- C:\Programme\RTL Winter Sports 2008
2007-11-27 16:21 . 2007-12-04 11:42 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI
2007-11-23 14:47 . 2007-11-23 14:56 <DIR> d-------- C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Mp3tag
2007-11-23 14:33 . 2007-11-23 14:47 <DIR> d-------- C:\Programme\Mp3tag

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-22 19:52 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2007-12-22 19:52 --------- d-----w C:\Programme\Microsoft IntelliPoint
2007-12-22 19:52 --------- d-----w C:\Programme\DAEMON Tools Pro
2007-12-22 19:52 --------- d-----w C:\Programme\avmwlanstick
2007-12-22 19:51 343,552 ----a-w C:\WINDOWS\system32\ctfmon.exe
2007-12-22 19:29 185,344 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
2007-12-22 18:56 538,624 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\MSConfig.exe
2007-12-22 15:59 --------- d-----w C:\Programme\Trillian
2007-12-22 15:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2007-12-21 16:33 --------- d-----w C:\Programme\Soulseek
2007-12-10 16:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-01 15:14 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\AdobeUM
2007-11-28 17:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-28 17:17 --------- d-----w C:\Programme\Activision
2007-11-21 15:48 --------- d-----w C:\Programme\Call of Duty
2007-11-21 14:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2007-11-21 14:23 --------- d-----w C:\Programme\HDCleaner
2007-11-20 19:36 --------- d-----w C:\Programme\EA GAMES
2007-11-20 18:41 --------- d-----w C:\Programme\Electronic Arts
2007-11-20 18:40 --------- d-----w C:\Programme\AGEIA Technologies
2007-11-20 17:37 --------- d-----w C:\Programme\Curling 2006
2007-11-20 17:11 --------- d-----w C:\Programme\SoWhat!
2007-11-20 16:56 --------- d-----w C:\Programme\Skispringen 2007
2007-11-20 16:46 101,376 ----a-w C:\WINDOWS\system32\drivers\ACEDRV07.sys
2007-11-20 15:34 --------- d-----w C:\Programme\MSXML 4.0
2007-11-20 15:30 --------- d-----w C:\Programme\Microsoft Games
2007-11-20 15:24 11,973 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-20 14:30 --------- d-----w C:\Programme\Codemasters
2007-11-20 14:24 --------- d-----w C:\Programme\ASCARON
2007-11-20 14:05 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Ascaron Entertainment
2007-11-20 14:00 --------- d-----w C:\Programme\Ascaron Entertainment
2007-11-20 13:47 --------- d-----w C:\Programme\Atari
2007-11-20 13:24 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\temp
2007-11-18 15:53 --------- d-----w C:\Programme\OO Software
2007-11-16 15:20 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-16 15:20 22,328 ----a-w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\PnkBstrK.sys
2007-11-16 15:20 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-16 15:19 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-11-15 23:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2007-11-15 22:03 47,360 ----a-w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\pcouffin.sys
2007-11-15 22:03 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Vso
2007-11-15 21:58 94,208 ----a-w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\ezplay.sys
2007-11-15 21:58 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2007-11-15 19:13 --------- d-----w C:\Programme\Spellbound
2007-11-15 18:46 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\DAEMON Tools Pro
2007-11-15 17:38 --------- d-----w C:\Programme\DAEMON Tools
2007-11-15 16:51 --------- d-----w C:\Programme\SlySoft
2007-11-15 15:53 --------- d-----w C:\Programme\Copy Profiler
2007-11-15 15:21 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2007-11-15 15:21 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2007-11-15 15:01 94,208 ----a-w C:\WINDOWS\system32\drivers\rmadelql.sys
2007-11-15 14:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-11-14 22:14 55,296 ----a-w C:\WINDOWS\system32\disable.exe
2007-11-14 17:21 --------- d-----w C:\Programme\EA SPORTS
2007-11-14 17:08 --------- d-----w C:\Programme\Alcohol Soft
2007-11-14 16:43 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-14 16:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-13 15:45 --------- d-----w C:\Programme\Windows Live
2007-11-12 17:15 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2007-11-12 17:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2007-11-11 12:29 --------- d-----w C:\Programme\Real
2007-11-11 12:29 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-11-11 12:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-09 19:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-11-09 19:32 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Ahead
2007-11-09 19:30 --------- d-----w C:\Programme\Nero
2007-11-09 19:08 --------- d-----w C:\Programme\7-Zip
2007-11-09 13:44 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-09 13:44 --------- d--h--r C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\SecuROM
2007-11-09 01:33 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Software4u
2007-11-09 01:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Software4u
2007-11-09 01:27 --------- d-----w C:\Programme\DVD Shrink
2007-11-09 01:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2007-11-09 01:18 --------- d-----w C:\Programme\MSI
2007-11-09 01:17 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2007-11-09 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-09 01:09 --------- d-----w C:\Programme\Realtek AC97
2007-11-09 00:47 --------- d-----w C:\Programme\Tinypic
2007-11-09 00:10 --------- d-----w C:\Programme\Winamp
2007-11-09 00:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2007-11-09 00:03 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Winamp
2007-11-08 23:46 --------- d-----w C:\Programme\Avira
2007-11-08 23:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-08 23:24 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2007-11-08 23:01 --------- d-----w C:\Programme\microsoft frontpage
2007-11-08 23:00 --------- d-----w C:\Programme\Online-Dienste
2007-11-08 22:59 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-08 22:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-08 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-11-08 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-10-26 10:20 4,124,352 ----a-r C:\WINDOWS\system32\drivers\alcxwdm.sys
2007-10-04 17:16 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-10-04 17:16 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7BB7A075-23F1-4023-B965-140EFC7E8816}]
2007-12-22 20:51 323072 --------- C:\WINDOWS\system32\awtqo.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-12-22 20:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-22 20:34]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-22 20:52]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2007-12-22 20:34]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2007-12-22 20:34]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsHistory"= 0 (0x0)
"NoTrayItemsDisplay"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnmllm]
pmnmllm.dll

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\awtqo.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\awtqo

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\games-frm.exe]

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2005-02-01 16:30]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2005-02-01 16:30]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
R3 rmadelql;UErgMZTjXHHVxeZr rmadelql;C:\WINDOWS\system32\Drivers\rmadelql.sys [2007-11-15 16:01]
R3 SaiH5F0D;SaiH5F0D;C:\WINDOWS\system32\DRIVERS\SaiH5F0D.sys [2006-02-28 11:52]
R3 SaiU5F0D;SaiU5F0D;C:\WINDOWS\system32\DRIVERS\SaiU5F0D.sys [2006-02-28 11:52]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys []
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys []
S3 RushTopDevice;RushTopDevice;C:\Programme\MSI\Core Center\RushTop.sys []

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-22 20:52:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\WINDOWS\system32\awtqo.dll
.
Zeit der Fertigstellung: 2007-12-22 20:53:19 - machine was rebooted [Normal]

HJT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:59, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\avmwlanstick\wlangui .exe
C:\Programme\Microsoft IntelliPoint\point32 .exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft IntelliType Pro\type32 .exe
C:\Programme\games\games.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Normal\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7BB7A075-23F1-4023-B965-140EFC7E8816} - C:\WINDOWS\system32\awtqo.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice.lnk = ?
O4 - Global Startup: games.lnk = C:\Programme\games\games-frm.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194887088921
O17 - HKLM\System\CCS\Services\Tcpip\..\{516E7558-9498-4D4B-AA61-05D8FB4DB906}: NameServer = 62.109.123.196 213.191.74.18
O20 - Winlogon Notify: pmnmllm - pmnmllm.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 4835 bytes


datfind:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 74B0-FF01

Verzeichnis von C:\WINDOWS\system32

22.12.2007 21:11 6.819 oqtwa.ini
22.12.2007 21:11 6.819 oqtwa.ini2
22.12.2007 21:05 326.656 awtqo.exe
22.12.2007 20:51 323.072 awtqo.dll
22.12.2007 20:34 15.360 ctfmon .exe
22.12.2007 20:34 343.552 ctfmon.exe.tmp
22.12.2007 19:22 37.376 byxxwxv.dll
22.12.2007 19:21 37.376 xxyvvsp.dll
22.12.2007 19:20 37.376 jkkkjgd.dll
22.12.2007 19:20 37.376 pmnmllm.VIR
16.12.2007 11:32 2.206 wpa.dbl
13.12.2007 21:26 156.160 swreg.exe
10.12.2007 17:05 14.620 dummy019file
04.12.2007 01:00 136.704 swsc.exe
29.11.2007 15:34 265 oeminfo.ini
29.11.2007 15:34 26.278 oemlogo.bmp
20.11.2007 20:40 123.728 FNTCACHE.DAT
16.11.2007 16:20 103.736 PnkBstrB.exe
16.11.2007 16:19 66.872 PnkBstrA.exe
14.11.2007 23:14 55.296 disable.exe
14.11.2007 23:14 117 disabledvd.vbs
11.11.2007 16:16 392.296 perfh009.dat
11.11.2007 16:16 405.118 perfh007.dat
11.11.2007 16:16 58.596 perfc009.dat
11.11.2007 16:16 70.580 perfc007.dat
11.11.2007 16:16 935.870 PerfStringBackup.INI
11.11.2007 13:29 185.688 rmoc3260.dll
11.11.2007 13:29 6.656 pndx5016.dll
11.11.2007 13:29 5.632 pndx5032.dll
11.11.2007 13:29 278.528 pncrt.dll
09.11.2007 21:25 2.066 SaiC5F0D-9B8A45D9-DE98-4DC2-A358-706BA495A97F.pr0
09.11.2007 14:44 107.888 CmdLineExt.dll
09.11.2007 02:17 146.650 BuzzingBee.wav
09.11.2007 02:17 940.794 LoopyMusic.wav
09.11.2007 02:17 30.827 nvapps.xml
09.11.2007 00:24 219.648 uxtheme.dll
09.11.2007 00:03 261 $winnt$.inf
09.11.2007 00:01 2.951 CONFIG.NT
09.11.2007 00:01 16.832 amcompat.tlb
09.11.2007 00:01 23.392 nscompat.tlb
09.11.2007 00:00 488 logonui.exe.manifest
09.11.2007 00:00 488 WindowsLogon.manifest
09.11.2007 00:00 749 wuaucpl.cpl.manifest
09.11.2007 00:00 749 nwc.cpl.manifest
09.11.2007 00:00 749 ncpa.cpl.manifest
09.11.2007 00:00 749 sapi.cpl.manifest
09.11.2007 00:00 749 cdplayer.exe.manifest
08.11.2007 23:58 21.740 emptyregdb.dat
08.11.2007 23:56 0 h323log.txt
04.10.2007 18:16 356.352 NVUNINST.EXE
04.10.2007 18:16 356.352 nvudisp.exe
04.10.2007 17:14 196.608 nvwrsko.dll
04.10.2007 17:14 319.488 nvwrsnl.dll
04.10.2007 17:14 212.992 nvwrsja.dll
04.10.2007 17:14 323.584 nvwrsit.dll
04.10.2007 17:14 315.392 nvwrshu.dll
04.10.2007 17:14 278.528 nvwrshe.dll
04.10.2007 17:14 299.008 nvwrsno.dll
04.10.2007 17:14 294.912 nvwrspl.dll
04.10.2007 17:14 327.680 nvwrsfr.dll
04.10.2007 17:14 303.104 nvwrsfi.dll
04.10.2007 17:14 323.584 nvwrspt.dll
04.10.2007 17:14 327.680 nvwrsesm.dll
04.10.2007 17:14 335.872 nvwrses.dll
04.10.2007 17:14 286.720 nvwrseng.dll
04.10.2007 17:14 5.783.424 nv4_disp.dll
04.10.2007 17:14 364.544 nvapi.dll
04.10.2007 17:14 442.368 nvappbar.exe
04.10.2007 17:14 136.260 nvapps.nvb
04.10.2007 17:14 319.488 nvwrsptb.dll
04.10.2007 17:14 36.864 nvcod.dll
04.10.2007 17:14 425.984 keystone.exe
04.10.2007 17:14 315.392 nvwrsru.dll
04.10.2007 17:14 147.456 nvcolor.exe
04.10.2007 17:14 413.696 nvcpl.cpl
04.10.2007 17:14 8.491.008 nvcpl.dll
04.10.2007 17:14 753.664 nvcplui.exe
04.10.2007 17:14 1.073.152 nvcpluir.dll
04.10.2007 17:14 17.525 nvdisp.nvu
04.10.2007 17:14 6.344.704 nvdisps.dll
04.10.2007 17:14 335.872 nvwrsel.dll
04.10.2007 17:14 5.509.120 nvdispsr.dll
04.10.2007 17:14 1.339.392 nvdspsch.exe
04.10.2007 17:14 307.200 nvexpbar.dll
04.10.2007 17:14 299.008 nvwrssk.dll
04.10.2007 17:14 303.104 nvwrssl.dll
04.10.2007 17:14 3.334.144 nvgames.dll
04.10.2007 17:14 294.912 nvwrssv.dll
04.10.2007 17:14 3.166.208 nvgamesr.dll
04.10.2007 17:14 290.816 nvwrsth.dll
04.10.2007 17:14 311.296 nvwrsde.dll
04.10.2007 17:14 1.478.656 nview.dll
04.10.2007 17:14 229.376 nvmccs.dll
04.10.2007 17:14 45.056 nvmccsrs.dll
04.10.2007 17:14 188.416 nvmccss.dll
04.10.2007 17:14 458.752 nvmccssr.dll
04.10.2007 17:14 81.920 nvmctray.dll
04.10.2007 17:14 1.150.976 nvmobls.dll
04.10.2007 17:14 2.854.912 nvmoblsr.dll
04.10.2007 17:14 286.720 nvnt4cpl.dll
04.10.2007 17:14 6.750.208 nvoglnt.dll
04.10.2007 17:14 327.680 nvrsar.dll
04.10.2007 17:14 249.856 nvrscs.dll
04.10.2007 17:14 253.952 nvrsda.dll
04.10.2007 17:14 278.528 nvrsde.dll
04.10.2007 17:14 282.624 nvrsel.dll
04.10.2007 17:14 245.760 nvrseng.dll
04.10.2007 17:14 282.624 nvrses.dll
04.10.2007 17:14 274.432 nvrsesm.dll
04.10.2007 17:14 249.856 nvrsfi.dll
04.10.2007 17:14 282.624 nvrsfr.dll
04.10.2007 17:14 303.104 nvwrstr.dll
04.10.2007 17:14 163.840 nvwrszhc.dll
04.10.2007 17:14 327.680 nvrshe.dll
04.10.2007 17:14 258.048 nvrshu.dll
04.10.2007 17:14 278.528 nvrsit.dll
04.10.2007 17:14 266.240 nvrsja.dll
04.10.2007 17:14 258.048 nvrsko.dll
04.10.2007 17:14 167.936 nvwrszht.dll
04.10.2007 17:14 294.912 nvwrsda.dll
04.10.2007 17:14 274.432 nvrsnl.dll
04.10.2007 17:14 253.952 nvrsno.dll
04.10.2007 17:14 253.952 nvrspl.dll
04.10.2007 17:14 274.432 nvrspt.dll
04.10.2007 17:14 266.240 nvrsptb.dll
04.10.2007 17:14 286.720 nvwrscs.dll
04.10.2007 17:14 282.624 nvwrsar.dll
04.10.2007 17:14 270.336 nvrsru.dll
04.10.2007 17:14 258.048 nvrssk.dll
04.10.2007 17:14 2.371.584 nvwss.dll
04.10.2007 17:14 258.048 nvrssl.dll
04.10.2007 17:14 1.019.904 nvwimg.dll
04.10.2007 17:14 253.952 nvrssv.dll
04.10.2007 17:14 253.952 nvrsth.dll
04.10.2007 17:14 258.048 nvrstr.dll
04.10.2007 17:14 2.441.216 nvwssr.dll
04.10.2007 17:14 225.280 nvrszhc.dll
04.10.2007 17:14 126.976 nvrszht.dll
04.10.2007 17:14 466.944 nvshell.dll
04.10.2007 17:14 1.703.936 nvwdmcpl.dll
04.10.2007 17:14 155.716 nvsvc32.exe
04.10.2007 17:14 73.728 nvtuicpl.cpl
04.10.2007 17:14 1.626.112 nwiz.exe
04.10.2007 17:14 36.864 nvcodins.dll
04.10.2007 17:14 3.551.232 nvvitvs.dll
04.10.2007 17:14 3.629.056 nvvitvsr.dll
04.10.2007 17:14 81.920 nvwddi.dll

#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: (no name) - {7BB7A075-23F1-4023-B965-140EFC7E8816} - C:\WINDOWS\system32\awtqo.dll
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: pmnmllm - pmnmllm.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\oqtwa.ini2
C:\WINDOWS\system32\awtqo.exe
C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\byxxwxv.dll
C:\WINDOWS\system32\xxyvvsp.dll
C:\WINDOWS\system32\jkkkjgd.dll
C:\WINDOWS\system32\pmnmllm.VIR
C:\WINDOWS\mrofinu2000382.exe.tmp

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Scanne mit SuperAntiSpyware http://board.protecus.de/t31252-1.htm
Und ein log von Hijack Yhis
__________
MfG Argus

#3 Der Rechner meckert,das er eine RUNDLL datei nicht finden kann. ist das normal???

ComboFix 07-12-21.4 - Normal 2007-12-22 21:44:58.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.624 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Normal\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Normal\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\mrofinu2000382.exe.tmp
C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\awtqo.exe
C:\WINDOWS\system32\byxxwxv.dll
C:\WINDOWS\system32\jkkkjgd.dll
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\oqtwa.ini2
C:\WINDOWS\system32\pmnmllm.VIR
C:\WINDOWS\system32\xxyvvsp.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\mrofinu2000382.exe.tmp
C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\awtqo.exe
C:\WINDOWS\system32\byxxwxv.dll
C:\WINDOWS\system32\jkkkjgd.dll
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\oqtwa.ini2
C:\WINDOWS\system32\pmnmllm.VIR
C:\WINDOWS\system32\xxyvvsp.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-22 bis 2007-12-22 ))))))))))))))))))))))))))))))
.

2007-12-22 21:49 . 2007-12-22 21:49 319 --ahs---- C:\WINDOWS\system32\oqtwa.ini2
2007-12-22 21:49 . 2007-12-22 21:49 319 --ahs---- C:\WINDOWS\system32\oqtwa.ini
2007-12-22 21:49 . 2007-12-22 21:49 15 --a------ C:\WINDOWS\system32\74b0ed20
2007-12-22 20:34 . 2007-12-22 20:34 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-22 20:16 . 2007-12-22 20:58 <DIR> d-------- C:\Programme\Trend Micro
2007-12-22 19:56 . 2007-11-08 23:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-12-22 19:56 . 2007-12-22 20:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-12-22 19:56 . 2007-12-22 19:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-12-22 19:56 . 2007-11-08 23:51 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-22 19:46 . 2007-12-22 19:46 1 --a------ C:\Dokumente und Einstellungen\Normal\SI.bin
2007-12-22 17:02 . 2007-12-22 17:02 111 --a------ C:\WINDOWS\telephon.ini
2007-12-22 16:00 . 2007-12-22 16:04 <DIR> d-------- C:\Programme\18 Wheels of Steel Haulin
2007-12-22 15:58 . 2007-12-22 20:10 <DIR> d-------- C:\Programme\AdVantage
2007-12-22 15:53 . 2007-12-22 15:53 <DIR> d-------- C:\Programme\18.Wheels.Of.Steel.Haulin.GERMAN-SiLENTGATE
2007-12-20 16:20 . 2007-12-21 18:43 <DIR> d-------- C:\Programme\games
2007-12-20 16:20 . 2007-12-20 16:20 29 --a------ C:\WINDOWS\games.INI
2007-12-20 15:01 . 2007-12-22 21:04 <DIR> d-------- C:\Programme\eMule
2007-12-20 14:40 . 2007-12-21 18:43 <DIR> d-------- C:\Programme\18 Wheels of Steel American Long Haul
2007-12-17 16:55 . 2007-12-21 18:48 <DIR> d-------- C:\Programme\Bus Driver
2007-12-17 16:48 . 2007-12-22 19:05 <DIR> d-------- C:\Downloads
2007-12-17 15:16 . 2007-12-17 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2007-12-10 17:05 . 2007-12-10 17:05 <DIR> d-------- C:\Programme\Lavasoft
2007-12-10 17:05 . 2007-12-10 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-11-28 19:10 . 2007-11-28 19:10 <DIR> d-------- C:\Programme\tewi
2007-11-28 18:11 . 2007-11-28 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RTL Winter Sports 2008
2007-11-28 18:06 . 2007-11-28 18:09 <DIR> d-------- C:\Programme\RTL Winter Sports 2008
2007-11-27 16:21 . 2007-12-04 11:42 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI
2007-11-23 14:47 . 2007-11-23 14:56 <DIR> d-------- C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Mp3tag
2007-11-23 14:33 . 2007-11-23 14:47 <DIR> d-------- C:\Programme\Mp3tag

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-22 20:49 20,480 ----a-w C:\WINDOWS\system32\ctfmon.exe
2007-12-22 20:49 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2007-12-22 20:49 --------- d-----w C:\Programme\Microsoft IntelliPoint
2007-12-22 20:49 --------- d-----w C:\Programme\DAEMON Tools Pro
2007-12-22 20:49 --------- d-----w C:\Programme\avmwlanstick
2007-12-22 19:29 185,344 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
2007-12-22 18:56 538,624 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\MSConfig.exe
2007-12-22 15:59 --------- d-----w C:\Programme\Trillian
2007-12-22 15:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2007-12-21 16:33 --------- d-----w C:\Programme\Soulseek
2007-12-10 16:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-01 15:14 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\AdobeUM
2007-11-28 17:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-28 17:17 --------- d-----w C:\Programme\Activision
2007-11-21 15:48 --------- d-----w C:\Programme\Call of Duty
2007-11-21 14:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2007-11-21 14:23 --------- d-----w C:\Programme\HDCleaner
2007-11-20 19:36 --------- d-----w C:\Programme\EA GAMES
2007-11-20 18:41 --------- d-----w C:\Programme\Electronic Arts
2007-11-20 18:40 --------- d-----w C:\Programme\AGEIA Technologies
2007-11-20 17:37 --------- d-----w C:\Programme\Curling 2006
2007-11-20 17:11 --------- d-----w C:\Programme\SoWhat!
2007-11-20 16:56 --------- d-----w C:\Programme\Skispringen 2007
2007-11-20 16:46 101,376 ----a-w C:\WINDOWS\system32\drivers\ACEDRV07.sys
2007-11-20 15:34 --------- d-----w C:\Programme\MSXML 4.0
2007-11-20 15:30 --------- d-----w C:\Programme\Microsoft Games
2007-11-20 15:24 11,973 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-20 14:30 --------- d-----w C:\Programme\Codemasters
2007-11-20 14:24 --------- d-----w C:\Programme\ASCARON
2007-11-20 14:05 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Ascaron Entertainment
2007-11-20 14:00 --------- d-----w C:\Programme\Ascaron Entertainment
2007-11-20 13:47 --------- d-----w C:\Programme\Atari
2007-11-20 13:24 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\temp
2007-11-18 15:53 --------- d-----w C:\Programme\OO Software
2007-11-16 15:20 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-16 15:20 22,328 ----a-w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\PnkBstrK.sys
2007-11-16 15:20 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-16 15:19 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-11-15 23:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2007-11-15 22:03 47,360 ----a-w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\pcouffin.sys
2007-11-15 22:03 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Vso
2007-11-15 21:58 94,208 ----a-w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\ezplay.sys
2007-11-15 21:58 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2007-11-15 19:13 --------- d-----w C:\Programme\Spellbound
2007-11-15 18:46 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\DAEMON Tools Pro
2007-11-15 17:38 --------- d-----w C:\Programme\DAEMON Tools
2007-11-15 16:51 --------- d-----w C:\Programme\SlySoft
2007-11-15 15:53 --------- d-----w C:\Programme\Copy Profiler
2007-11-15 15:21 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2007-11-15 15:21 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2007-11-15 15:01 94,208 ----a-w C:\WINDOWS\system32\drivers\rmadelql.sys
2007-11-15 14:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-11-14 22:14 55,296 ----a-w C:\WINDOWS\system32\disable.exe
2007-11-14 17:21 --------- d-----w C:\Programme\EA SPORTS
2007-11-14 17:08 --------- d-----w C:\Programme\Alcohol Soft
2007-11-14 16:43 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-14 16:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-13 15:45 --------- d-----w C:\Programme\Windows Live
2007-11-12 17:15 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2007-11-12 17:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2007-11-11 12:29 --------- d-----w C:\Programme\Real
2007-11-11 12:29 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-11-11 12:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-09 19:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-11-09 19:32 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Ahead
2007-11-09 19:30 --------- d-----w C:\Programme\Nero
2007-11-09 19:08 --------- d-----w C:\Programme\7-Zip
2007-11-09 13:44 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-09 13:44 --------- d--h--r C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\SecuROM
2007-11-09 01:33 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Software4u
2007-11-09 01:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Software4u
2007-11-09 01:27 --------- d-----w C:\Programme\DVD Shrink
2007-11-09 01:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2007-11-09 01:18 --------- d-----w C:\Programme\MSI
2007-11-09 01:17 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2007-11-09 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-09 01:09 --------- d-----w C:\Programme\Realtek AC97
2007-11-09 00:47 --------- d-----w C:\Programme\Tinypic
2007-11-09 00:10 --------- d-----w C:\Programme\Winamp
2007-11-09 00:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2007-11-09 00:03 --------- d-----w C:\Dokumente und Einstellungen\Normal\Anwendungsdaten\Winamp
2007-11-08 23:46 --------- d-----w C:\Programme\Avira
2007-11-08 23:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-08 23:24 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2007-11-08 23:01 --------- d-----w C:\Programme\microsoft frontpage
2007-11-08 23:00 --------- d-----w C:\Programme\Online-Dienste
2007-11-08 22:59 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-08 22:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-08 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-11-08 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-10-26 10:20 4,124,352 ----a-r C:\WINDOWS\system32\drivers\alcxwdm.sys
2007-10-04 17:16 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-10-04 17:16 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-12-22 21:45]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-22 20:34]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-22 21:49]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2007-12-22 20:34]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2007-12-22 20:34]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsHistory"= 0 (0x0)
"NoTrayItemsDisplay"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\\WINDOWS\\system32\\awtqo

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\games-frm.exe]

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2005-02-01 16:30]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2005-02-01 16:30]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
R3 rmadelql;UErgMZTjXHHVxeZr rmadelql;C:\WINDOWS\system32\Drivers\rmadelql.sys [2007-11-15 16:01]
R3 SaiH5F0D;SaiH5F0D;C:\WINDOWS\system32\DRIVERS\SaiH5F0D.sys [2006-02-28 11:52]
R3 SaiU5F0D;SaiU5F0D;C:\WINDOWS\system32\DRIVERS\SaiU5F0D.sys [2006-02-28 11:52]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys []
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys []
S3 RushTopDevice;RushTopDevice;C:\Programme\MSI\Core Center\RushTop.sys []

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-22 21:49:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\awtqo.exe 3584 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\WINDOWS\system32\awtqo.dll
.
Zeit der Fertigstellung: 2007-12-22 21:50:22 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-22 20:53




SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/22/2007 at 10:12 PM

Application Version : 3.9.1008

Core Rules Database Version : 3366
Trace Rules Database Version: 1365

Scan type : Complete Scan
Total Scan Time : 00:16:41

Memory items scanned : 326
Memory threats detected : 1
Registry items scanned : 5123
Registry threats detected : 2
File items scanned : 12706
File threats detected : 7

Adware.Vundo Variant
C:\WINDOWS\SYSTEM32\AWTQO.DLL
C:\WINDOWS\SYSTEM32\AWTQO.DLL

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Normal\Cookies\normal@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Normal\Cookies\normal@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Normal\Cookies\normal@ad.zanox[1].txt

Adware.IST/ISTBar (Slotch Bar)
HKU\S-1-5-21-583907252-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main#BandRest [ Never ]
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main#BandRest [ Never ]

Adware.Vundo-Variant
C:\DOKUMENTE UND EINSTELLUNGEN\NORMAL\DESKTOP\BACKUPS\BACKUP-20071222-214236-787.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5A28EF63-D20A-4470-9CE9-5E5470288480}\RP110\A0016651.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5A28EF63-D20A-4470-9CE9-5E5470288480}\RP114\A0017662.DLL



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:06, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Microsoft IntelliType Pro\type32 .exe
C:\Programme\Microsoft IntelliPoint\point32 .exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\avmwlanstick\wlangui .exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Dokumente und Einstellungen\Normal\Desktop\HJT.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\games\games.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {49491308-379E-4E0F-A718-B69DC064C392} - C:\WINDOWS\system32\awtqo.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice.lnk = ?
O4 - Global Startup: games.lnk = C:\Programme\games\games-frm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194887088921
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 4574 bytes

#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

ViruTotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\ctfmon .exe

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
Stand alone DrWeb
Stand alone Kaspersky

Es gibt auch ein C:\WINDOWS\system32\ctfmon.exe die musst
du nicht haben!
__________
MfG Argus

#5 ich finde diese Option Papierkorb leeren nicht...

und was meinst du mit stand alone..?
Sry, aber bin ein relativer computerlaie..

#6 Dein Papierkorb stet auf dein desktop

Wenn die Wartezeiten bei Jotti oder VirusTotal zu lange sind kann man ausweichen nach DrWeb oder Kaspersky
__________
MfG Argus

#7 Achso....
Mich hat diese Qoobox irritiert

Und nun müsste der "Fehler" behoben sein??

#8 Nein,du musst noch nach VirusTotal und berichten was in ctfmon .exe
steckt
__________
MfG Argus

#9 Es wurde nichts gefunden. (0%)

#10 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: (no name) - {49491308-379E-4E0F-A718-B69DC064C392} - C:\WINDOWS\system32\awtqo.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\oqtwa.ini2
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\74b0ed20
C:\WINDOWS\system32\ctfmon .exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

DrWeb CureIt!
Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus

#11 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vdscvoci

*******************

Script file located at: \??\C:\cknnrash.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\oqtwa.ini2 deleted successfully.
File C:\WINDOWS\system32\oqtwa.ini deleted successfully.
File C:\WINDOWS\system32\74b0ed20 deleted successfully.
File C:\WINDOWS\system32\ctfmon .exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#12 Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren
__________
MfG Argus

#13 esamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 7898
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 6610 Kb/s
Dauer:: 00:05:24

#14 Poste nochmal ein log von HJ
__________
MfG Argus

#15 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:25, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\avmwlanstick\wlangui .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft IntelliType Pro\type32 .exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Microsoft IntelliPoint\point32 .exe
C:\WINDOWS\system32\ctfmon .exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware .exe
C:\Programme\games\games.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Normal\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {324E68ED-EA93-41D9-8558-6BF4C9BA7B2D} - C:\WINDOWS\system32\awtqo.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice.lnk = ?
O4 - Global Startup: games.lnk = C:\Programme\games\games-frm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194887088921
O17 - HKLM\System\CCS\Services\Tcpip\..\{516E7558-9498-4D4B-AA61-05D8FB4DB906}: NameServer = 62.109.123.196 213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 4881 bytes