Spyware & Malware Protection, Privacy Protector, Error Cleaner und viele Fenster |
||
---|---|---|
#0
| ||
11.01.2008, 18:17
...neu hier
Beiträge: 4 |
||
|
||
11.01.2008, 21:39
Ehrenmitglied
Beiträge: 1441 |
#2
schampelchen
1. HijackThis Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked + starte den Rechner neu. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=22. wende fixwareout an http://virus-protect.org/artikel/tools/fixwareout.html poste dann das log, was erscheint ------------- + poste das neue Log vom hijackThis « __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
11.01.2008, 22:37
...neu hier
Themenstarter Beiträge: 4 |
#3
Danke sehr schon mal für die schnelle Antwort.
Puhhhh, wat'n Haufen Arbeit !!! Ich hoffe, ich hab das alles richtig gemacht. So, Hijackthis und fixwareout log kommen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:30:54, on 11.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\GtDetectSc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\bmwebcfg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\QuickTime\qttask.exe C:\Programme\TomTom HOME\TomTomHOME.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\vsnp2std.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\FinePixViewerS\QuickDCF2.exe C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2007\KSTART32.EXE C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\HiThisJack\HiThisJack.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s O4 - HKLM\..\Run: [SfWinStartInfo] C:\Programme\Sfirm32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [MobileConnect.EXE] C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2007\KSTART32.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Exif Launcher S.lnk = C:\Programme\FinePixViewerS\QuickDCF2.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: GT Detect (GtDetectSc) - OptionNV - C:\WINDOWS\system32\GtDetectSc.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe -- End of file - 8952 bytes Anhang: report.txt
|
|
|
||
11.01.2008, 23:38
Ehrenmitglied
Beiträge: 1441 |
#4
schampelchen
sieht gut aus scanne noch mit diesem Kasperskytool und poste den Report http://www.virus-protect.org/artikel/tools/kaspersky.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
12.01.2008, 10:57
...neu hier
Themenstarter Beiträge: 4 |
#5
Moin,Moin...
nun noch der Kasperski Report. Das hat aber lange gedauert mit Kasperski, ist das normal ? Scan ---- Scanned: 897040 Detected: 3 Untreated: 0 Start time: 12.01.2008 00:03:50 Duration: 10:50:51 Finish time: 12.01.2008 10:54:41 Detected -------- Status Object ------ ------ deleted: adware not-a-virus:AdWare.Win32.Vapsup.xo File: C:\QooBox\Quarantine\C\WINDOWS\bklgvsf.dll.vir deleted: adware not-a-virus:AdWare.Win32.Vapsup.xs File: C:\QooBox\Quarantine\C\WINDOWS\ensfolr.dll.vir deleted: adware not-a-virus:AdWare.Win32.Vapsup.xl File: C:\QooBox\Quarantine\C\WINDOWS\foxflpd.exe.vir Events ------ Time Name Status Reason ---- ---- ------ ------ Statistics ---------- Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ --------- Settings -------- Parameter Value --------- ----- Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan embedded OLE objects All Skip if object is larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology No Enable iSwift technology No Show detected threats on "Detected" tab Yes Quarantine ---------- Status Object Size Added ------ ------ ---- ----- Backup ------ Status Object Size ------ ------ ---- |
|
|
||
12.01.2008, 11:20
Ehrenmitglied
Beiträge: 1441 |
#6
schampelchen
du kannst noch den gesamten Quarantäneordner löschen, dann ist alles wieder i.o. C:\QooBox\Quarantine __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
12.01.2008, 11:51
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Pinguin,
ich danke Dir von ganzem Herzen. Ihr leistet hier echt super Arbeit und noch dazu schnell. Für Leute wie mich ist das eine tolle Hilfe. Welche Sicherheitssysteme sollten jetzt zusätzlich noch angewendet werden ??? Ich bekomme das Kaspersky Lab Tool nicht mehr runter vom PC ???!!! Dieser Beitrag wurde am 12.01.2008 um 13:08 Uhr von schampelchen editiert.
|
|
|
||
25.03.2008, 16:46
...neu hier
Beiträge: 5 |
#8
Hallo erstmal! Ich bin mittlerweile schon am verzweifeln, hab mir schon hunderte Seiten durchgelesen und mit den diversen Programmen versucht diesen sch... Virus endlich zu besiegen, nur leider klappt es offenbar nicht wenn ich alles selber versuche! Deshalb BITTE ich euch um eure Hilfe!!
Danke im Voraus für eure Unterstützung, ich hoffe ich bekomme meinen PC nochmal sauber mit eurer Hilfe! Ich poste euch hier mal die logfiles von hijackthis und combofix und würde euch dann bitten mir weiterzuhelfen! DANKE! LOFILES: Logfile of HijackThis v1.99.1 Scan saved at 16:35:19, on 25.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\aon\aonInformer\aonInformer.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Stefan\LOKALE~1\Temp\Rar$EX00.235\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\1108\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\1108\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\1108\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M1202] "C:\dokumente und einstellungen\stefan\anwendungsdaten\install_de[1].exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [aonInformer] C:\Programme\aon\aonInformer\aonInformer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Spiele\Poker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Spiele\Poker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.keyzone.at O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://85.96.47.149/plugin/h263ctrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA2660B-44CF-43BF-A256-E2579BA5AFFF}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{1EA2660B-44CF-43BF-A256-E2579BA5AFFF}: NameServer = 195.3.96.67 195.3.96.68 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: bokpkov - {25A7FEC5-E88E-4705-A3BB-30E728999636} - C:\WINDOWS\bokpkov.dll O21 - SSODL: altvxvm - {5F8DAEEE-446A-432E-86E1-713FD369429E} - C:\WINDOWS\altvxvm.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ComboFix 08-03-24.3 - Stefan 2008-03-25 16:36:59.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.215 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Stefan\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . -- Script messages for sUBs -- VFind -td "C:\WINDOWS\system32\baiso*" CF26538.exe /c " VFind.exe -ltf -s-1300000 -d+2007-12-25 C:\WINDOWS\* >Windir.dat" VFind.exe -ltf -s-1300000 -d+2007-12-25 C:\WINDOWS\* CF26538.exe /c " VFind.exe -ltf -s-1000000 -d+2007-12-25 "C:\Programme\*" >progfile.dat" VFind.exe -ltf -s-1000000 -d+2007-12-25 "C:\Programme\*" CF26538.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot" (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Stefan\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\Stefan\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\Stefan\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\Stefan\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\Stefan\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\Stefan\Favoriten\Spyware&Malware Protection.url . ((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 )))))))))))))))))))))))))))))) . 2008-03-21 09:55 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-03-21 09:55 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-03-21 09:55 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-03-21 09:55 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-03-21 09:55 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-03-21 09:55 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-03-21 09:55 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2008-03-21 09:55 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-03-21 09:55 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-03-21 09:54 . 2008-03-21 09:56 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-03-21 09:32 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll 2008-03-21 09:30 . 2008-03-21 09:30 251,920 --a------ C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\install_de[1].exe 2008-03-20 15:55 . 2008-03-20 11:07 249,856 --a------ C:\WINDOWS\altvxvm.dll 2008-03-20 15:55 . 2008-03-20 11:07 221,184 --a------ C:\WINDOWS\etlrlws.dll 2008-03-20 15:55 . 2008-03-20 11:07 217,088 --a------ C:\WINDOWS\bokpkov.dll 2008-03-20 15:36 . 2008-03-20 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\vlc 2008-03-20 15:36 . 2008-03-20 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\dvdcss 2008-03-20 15:34 . 2008-03-20 15:34 <DIR> d-------- C:\Programme\VideoLAN 2008-03-20 15:20 . 2008-03-20 15:20 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-03-20 15:19 . 2008-03-20 15:19 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-03-20 12:14 . 2008-03-20 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\AVS4YOU 2008-03-20 12:13 . 2008-03-20 12:13 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU 2008-03-20 12:12 . 2008-03-20 16:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia 2008-03-20 10:57 . 2008-03-20 10:57 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead 2008-03-20 10:57 . 2007-02-27 19:36 24,576 --------- C:\WINDOWS\system32\msxml3a.dll 2008-03-12 18:24 . 2008-03-20 09:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-12 18:24 . 2008-03-12 18:24 1,409 --a------ C:\WINDOWS\QTFont.for 2008-03-04 18:10 . 2008-03-04 18:12 <DIR> d-------- C:\Programme\ICQ6 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-21 09:18 --------- d-----w C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\ICQ Toolbar 2008-03-20 15:15 --------- d-----w C:\Programme\eMule 2008-03-20 13:17 --------- d-----w C:\Programme\Ahead 2008-03-20 09:58 --------- d-----w C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Ahead 2008-03-12 17:49 --------- d-----w C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\HappyFoto 2008-03-04 17:11 --------- d-----w C:\Programme\ICQToolbar 2008-02-18 16:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-02-16 13:05 --------- dc----w C:\Dokumente und Einstellungen\Johanna\Anwendungsdaten\InstallShield 2008-02-04 17:32 --------- d-----w C:\Programme\Zg cd extractor 2008-01-26 06:52 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-01-26 06:51 --------- d-----w C:\Programme\Easy CD-DA Extractor 6 2007-06-20 20:07 17,222,416 ----a-w C:\Programme\antivir_workstation_win7u_de_h.exe 2006-02-21 18:39 20,808 ----a-w C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-06-10 14:52 18,480 -c--a-w C:\Dokumente und Einstellungen\Johanna\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-03-10 14:58 56 --sh--r C:\WINDOWS\system32\149DC6ABD3.sys 2005-03-10 14:58 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 20:07 68856] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280] "aonInformer"="C:\Programme\aon\aonInformer\aonInformer.exe" [2005-02-25 14:38 1889792] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2004-02-26 09:53 65024 C:\WINDOWS\SOUNDMAN.EXE] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 11:49 188416] "Ptipbmf"="ptipbmf.dll" [2003-06-20 08:06 118784 C:\WINDOWS\system32\ptipbmf.dll] "WinampAgent"="C:\Programme\Winamp3\winampa.exe" [ ] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 16:50 4620288] "nwiz"="nwiz.exe" [2004-10-29 16:50 921600 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 16:50 86016] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2004-12-18 00:20 278528] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 16:05 81920] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-08 19:31 155648] "PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2005-12-13 07:49 217088] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl] "1aonmessagecenter"="C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe" [2005-02-14 17:21 676352] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 13:48 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "NI.UGA6PU_0001_N120M1202"="C:\dokumente und einstellungen\stefan\anwendungsdaten\install_de[1].exe" [2008-03-21 09:30 251920] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\Stefan\Startmen\Programme\Autostart\ PowerReg Scheduler.exe [2005-10-13 15:53:24 256000] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-03-10 16:06:55 167936] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2005-03-10 15:52:50 118784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "bokpkov"= {25A7FEC5-E88E-4705-A3BB-30E728999636} - C:\WINDOWS\bokpkov.dll [2008-03-20 11:07 217088] "altvxvm"= {5F8DAEEE-446A-432E-86E1-713FD369429E} - C:\WINDOWS\altvxvm.dll [2008-03-20 11:07 249856] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\aon\\aonModemkonfigurator\\aonModemkonfigurator.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Dokumente und Einstellungen\\Stefan\\Eigene Dateien\\STEPHAN\\Receiver update\\DBox_Boot.exe"= "C:\\Dokumente und Einstellungen\\Stefan\\Eigene Dateien\\STEPHAN\\Receiver update\\totalcmd\\TOTALCMD.EXE"= "F:\\Spiele\\Battlefield 2\\BF2.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= S3 Fadpu16E;Fadpu16E;C:\DOKUME~1\Johanna\LOKALE~1\Temp\Fadpu16E.sys [] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-25 16:39:23 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\WINDOWS\bokpkov.dll -> C:\WINDOWS\altvxvm.dll . Zeit der Fertigstellung: 2008-03-25 16:39:58 ComboFix-quarantined-files.txt 2008-03-25 15:39:49 ComboFix2.txt 2008-03-25 08:12:12 . 2008-03-22 17:34:06 --- E O F --- |
|
|
||
26.03.2008, 00:57
Ehrenmitglied
Beiträge: 29434 |
#9
Schwemmlandla
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten »» poste das neue Log von Combofix « gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein «« poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 02:01
Moderator
Beiträge: 5694 |
#10
@schampelchen
Entfernungstool Der zusätzliche Einsatz des Entfernungstools kiskav6remove.zip(http://support.kaspersky.com/downloads/kis6/kiskav6remove.zip) ist nicht generell erforderlich. Es muss verwendet werden, wenn sich eine beliebige Version KAV/KIS 6.0 über "Start > Programme" oder aus der Systemsteuerung nicht entfernen lässt. Auch bei Verdacht auf eine unvollständige Entfernung, z.B. weil die neu istallierte Version unerklärliche Funktionsstörungen zeigt, ist sein Einsatz zweckmässig. Das Tool kann unter den Betriebssystemen Windows NT, 2000, XP und Vista alle Versionen 6.0 entfernen, sofern sie auf der Systempartition C:\ im vorgeschlagenen Ordner \Programme\Kaspersky Lab\ installiert wurden. Es entfernt auch alle für KAV/KIS gespeicherten Daten mit Ausnahme des Lizenzschlüssels. Anwendung: ZIP-Archiv in einen Ordner auspacken. Computer in den abgesicherten Modus starten und die Datei KisKav6Remove.exe ausführen. Anschliessend den Computer wieder in den Desktop-Modus starten und die neue Version von KAV/KIS installieren. Gruss Swiss |
|
|
||
26.03.2008, 09:54
...neu hier
Beiträge: 5 |
#11
@ Sabina
Habe alle von dir angegeben Einstellungen durchgeführt. Vielen Dank für die riesengroße Unterstützung! Hier das neue log von combofix: ComboFix 08-03-24.3 - Stefan 2008-03-26 9:42:33.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.238 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Stefan\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Stefan\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\dokumente und einstellungen\stefan\anwendungsdaten\install_de[1].exe C:\WINDOWS\altvxvm.dll C:\WINDOWS\bokpkov.dll C:\WINDOWS\etlrlws.dll . -- Script messages for sUBs -- pv -kf -l"* pid.bat *" CF30897.exe /c " VFind.exe -ltf -s-1000000 -d+2007-12-26 "C:\Programme\*" >progfile.dat" VFind.exe -ltf -s-1000000 -d+2007-12-26 "C:\Programme\*" CF30897.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot" (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\dokumente und einstellungen\stefan\anwendungsdaten\install_de[1].exe C:\WINDOWS\altvxvm.dll C:\WINDOWS\bokpkov.dll C:\WINDOWS\etlrlws.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 )))))))))))))))))))))))))))))) . 2008-03-21 09:55 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-03-21 09:55 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-03-21 09:55 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-03-21 09:55 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-03-21 09:55 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-03-21 09:55 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-03-21 09:55 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2008-03-21 09:55 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-03-21 09:55 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-03-21 09:54 . 2008-03-21 09:56 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-03-21 09:32 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll 2008-03-20 15:36 . 2008-03-20 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\vlc 2008-03-20 15:36 . 2008-03-20 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\dvdcss 2008-03-20 15:34 . 2008-03-20 15:34 <DIR> d-------- C:\Programme\VideoLAN 2008-03-20 15:20 . 2008-03-20 15:20 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-03-20 15:19 . 2008-03-20 15:19 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-03-20 12:14 . 2008-03-20 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\AVS4YOU 2008-03-20 12:13 . 2008-03-20 12:13 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU 2008-03-20 12:12 . 2008-03-20 16:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia 2008-03-20 10:57 . 2008-03-20 10:57 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead 2008-03-20 10:57 . 2007-02-27 19:36 24,576 --------- C:\WINDOWS\system32\msxml3a.dll 2008-03-12 18:24 . 2008-03-20 09:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-12 18:24 . 2008-03-12 18:24 1,409 --a------ C:\WINDOWS\QTFont.for 2008-03-04 18:10 . 2008-03-04 18:12 <DIR> d-------- C:\Programme\ICQ6 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-21 09:18 --------- d-----w C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\ICQ Toolbar 2008-03-20 15:15 --------- d-----w C:\Programme\eMule 2008-03-20 13:17 --------- d-----w C:\Programme\Ahead 2008-03-20 09:58 --------- d-----w C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Ahead 2008-03-12 17:49 --------- d-----w C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\HappyFoto 2008-03-04 17:11 --------- d-----w C:\Programme\ICQToolbar 2008-02-18 16:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-02-16 13:05 --------- dc----w C:\Dokumente und Einstellungen\Johanna\Anwendungsdaten\InstallShield 2008-02-04 17:32 --------- d-----w C:\Programme\Zg cd extractor 2008-01-26 06:52 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-01-26 06:51 --------- d-----w C:\Programme\Easy CD-DA Extractor 6 2007-06-20 20:07 17,222,416 ----a-w C:\Programme\antivir_workstation_win7u_de_h.exe 2006-02-21 18:39 20,808 ----a-w C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-06-10 14:52 18,480 -c--a-w C:\Dokumente und Einstellungen\Johanna\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-03-10 14:58 56 --sh--r C:\WINDOWS\system32\149DC6ABD3.sys 2005-03-10 14:58 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 20:07 68856] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280] "aonInformer"="C:\Programme\aon\aonInformer\aonInformer.exe" [2005-02-25 14:38 1889792] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2004-02-26 09:53 65024 C:\WINDOWS\SOUNDMAN.EXE] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 11:49 188416] "Ptipbmf"="ptipbmf.dll" [2003-06-20 08:06 118784 C:\WINDOWS\system32\ptipbmf.dll] "WinampAgent"="C:\Programme\Winamp3\winampa.exe" [ ] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 16:50 4620288] "nwiz"="nwiz.exe" [2004-10-29 16:50 921600 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 16:50 86016] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2004-12-18 00:20 278528] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 16:05 81920] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-08 19:31 155648] "PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2005-12-13 07:49 217088] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl] "1aonmessagecenter"="C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe" [2005-02-14 17:21 676352] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 13:48 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\aon\\aonModemkonfigurator\\aonModemkonfigurator.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Dokumente und Einstellungen\\Stefan\\Eigene Dateien\\STEPHAN\\Receiver update\\DBox_Boot.exe"= "C:\\Dokumente und Einstellungen\\Stefan\\Eigene Dateien\\STEPHAN\\Receiver update\\totalcmd\\TOTALCMD.EXE"= "F:\\Spiele\\Battlefield 2\\BF2.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= S3 Fadpu16E;Fadpu16E;C:\DOKUME~1\Johanna\LOKALE~1\Temp\Fadpu16E.sys [] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-26 09:46:30 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\WinZip\WZQKPICK.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-03-26 9:49:44 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-26 08:49:40 ComboFix2.txt 2008-03-25 15:39:59 ComboFix3.txt 2008-03-25 08:12:12 . 2008-03-22 17:34:06 --- E O F --- Hier noch das log von hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 10:07:51, on 26.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\aon\aonInformer\aonInformer.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Stefan\LOKALE~1\Temp\Rar$EX00.718\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laola1.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\1108\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\1108\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [aonInformer] C:\Programme\aon\aonInformer\aonInformer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Spiele\Poker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Spiele\Poker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.keyzone.at O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://85.96.47.149/plugin/h263ctrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA2660B-44CF-43BF-A256-E2579BA5AFFF}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{1EA2660B-44CF-43BF-A256-E2579BA5AFFF}: NameServer = 195.3.96.67 195.3.96.68 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Dieser Beitrag wurde am 26.03.2008 um 10:13 Uhr von Schwemmlandla editiert.
|
|
|
||
26.03.2008, 10:54
Ehrenmitglied
Beiträge: 29434 |
#12
Schwemmlandla
1. gehe in die Registry Start-Ausführen - regedit [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 - in 0 ändern PC neustarten 2. scanne + poste den report http://www.virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 11:57
...neu hier
Beiträge: 5 |
#13
Hier der Report:
Malwarebytes' Anti-Malware 1.09 Datenbank Version: 547 Scan Art: Komplett Scan (A:\|C:\|F:\|) Objekte gescannt: 106291 Scan Dauer: 25 minute(s), 50 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{6EA0F7AE-A540-4549-A5BB-1A75A0BA4A62}\RP231\A0081540.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EA0F7AE-A540-4549-A5BB-1A75A0BA4A62}\RP231\A0081550.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EA0F7AE-A540-4549-A5BB-1A75A0BA4A62}\RP231\A0081551.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EA0F7AE-A540-4549-A5BB-1A75A0BA4A62}\RP231\A0081552.exe (Rogue.Multiple) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EA0F7AE-A540-4549-A5BB-1A75A0BA4A62}\RP231\A0081553.exe (Rogue.PCSecureSystem) -> Quarantined and deleted successfully. |
|
|
||
26.03.2008, 12:05
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo
wende option 2 an (im normalmodus) + poste den report http://www.virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2008, 12:21
...neu hier
Beiträge: 5 |
#15
Hier der Report:
SmitFraudFix v2.308 Scan done at 12:08:17,20, 26.03.2008 Run from C:\Dokumente und Einstellungen\Stefan\Desktop\neu\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 195.3.96.67 DNS Server Search Order: 195.3.96.68 Description: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 - Paketplaner-Miniport DNS Server Search Order: 10.0.0.138 HKLM\SYSTEM\CCS\Services\Tcpip\..\{1EA2660B-44CF-43BF-A256-E2579BA5AFFF}: NameServer=195.3.96.67 195.3.96.68 HKLM\SYSTEM\CCS\Services\Tcpip\..\{2D55DAAA-C7C4-42A1-B3CB-779D2BF6D2E9}: DhcpNameServer=10.0.0.138 HKLM\SYSTEM\CS1\Services\Tcpip\..\{1EA2660B-44CF-43BF-A256-E2579BA5AFFF}: NameServer=195.3.96.67 195.3.96.68 HKLM\SYSTEM\CS1\Services\Tcpip\..\{2D55DAAA-C7C4-42A1-B3CB-779D2BF6D2E9}: DhcpNameServer=10.0.0.138 HKLM\SYSTEM\CS3\Services\Tcpip\..\{2D55DAAA-C7C4-42A1-B3CB-779D2BF6D2E9}: DhcpNameServer=10.0.0.138 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
Ich hab mit Hijackthis (umbenannt in HithisJack) und Combofix ein Logfile auf dem PC meines Bruders erstellt, und poste es jetzt hier. Ich hoffe Ihr könnt mir da wirklich helfen, er möchte nicht seine Daten verlieren.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:40:14, on 11.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\GtDetectSc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FinePixViewerS\QuickDCF2.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2007\KSTART32.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiThisJack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: BDEX System - {5085333B-FD15-4754-A571-852F7077C5F2} - C:\WINDOWS\dxpvqlmqng.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: The ensfolr - {A037112F-183D-4E98-8CEA-1A0D93BA9F48} - C:\WINDOWS\ensfolr.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [SfWinStartInfo] C:\Programme\Sfirm32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [MobileConnect.EXE] C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2007\KSTART32.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher S.lnk = C:\Programme\FinePixViewerS\QuickDCF2.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.77 85.255.112.133
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.77 85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.77 85.255.112.133
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O21 - SSODL: ampkfst - {BF5A7230-9ECD-4442-B7C2-ADAE43EE17C2} - C:\WINDOWS\ampkfst.dll
O21 - SSODL: bklgvsf - {4A10B4EB-EBA4-4155-AC73-037C41486446} - C:\WINDOWS\bklgvsf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GT Detect (GtDetectSc) - OptionNV - C:\WINDOWS\system32\GtDetectSc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
--
End of file - 9589 bytes
-------------
ComboFix 08-01-10.2 - Holli 2008-01-11 13:28:07.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.601 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Holli\Desktop\ComboFix.exe
Command switches used :: und Einstellungen\Holli\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Holli\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Holli\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Holli\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Holli\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Holli\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Holli\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\ampkfst.dll
C:\WINDOWS\bklgvsf.dll
C:\WINDOWS\dat.txt
C:\WINDOWS\ensfolr.dll
C:\WINDOWS\foxflpd.exe
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_IPRIP
-------\Iprip
((((((((((((((((((((((( Dateien erstellt von 2007-12-11 bis 2008-01-11 ))))))))))))))))))))))))))))))
.
2008-01-11 13:26 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-10 23:56 . 2008-01-10 23:56 <DIR> d-------- C:\WINDOWS\options
2008-01-10 23:56 . 2008-01-10 23:56 <DIR> d-------- C:\Programme\Belkin
2008-01-10 23:56 . 2004-03-30 12:51 1,085,440 --a------ C:\WINDOWS\system32\AegisE5.dll
2008-01-10 23:56 . 2003-10-13 15:30 94,208 --a------ C:\WINDOWS\system32\GTW32N50.dll
2008-01-10 23:56 . 2004-04-30 15:12 40,960 --a------ C:\WINDOWS\system32\B11gUSB.dll
2008-01-10 23:56 . 2003-09-25 23:28 31,930 --a------ C:\WINDOWS\system32\GTNDIS3.VXD
2008-01-10 23:56 . 2003-09-25 22:15 15,872 --a------ C:\WINDOWS\system32\GTNDIS5.sys
2008-01-10 22:59 . 2008-01-11 13:06 <DIR> d-------- C:\Programme\HiThisJack
2008-01-10 22:49 . 2008-01-10 22:49 <DIR> d-------- C:\Programme\SpeedProject
2008-01-10 22:49 . 2008-01-10 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\Holli\Anwendungsdaten\SpeedProject
2008-01-10 17:59 . 2008-01-10 17:59 <DIR> d-------- C:\Programme\Lavasoft
2008-01-10 17:59 . 2008-01-10 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-10 17:54 . 2008-01-10 17:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-10 15:24 . 2008-01-10 15:24 <DIR> d-------- C:\Programme\Avira
2008-01-10 15:24 . 2008-01-10 15:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-09 21:17 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-09 20:44 . 2008-01-09 20:46 50,195,824 --a------ C:\ATI.rar
2008-01-04 18:04 . 2008-01-04 18:21 253 --a------ C:\WINDOWS\tm.ini
2008-01-04 18:04 . 2008-01-04 18:04 35 --a------ C:\WINDOWS\tdf.dii
2008-01-02 19:19 . 2008-01-05 15:42 3,932,214 --a------ C:\WINDOWS\wallpaper.bmp
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 12:33 --------- d-----w C:\Programme\Sfirm32
2008-01-11 12:33 --------- d-----w C:\Dokumente und Einstellungen\Holli\Anwendungsdaten\OpenOffice.org2
2008-01-10 13:30 --------- d-----w C:\Programme\CA
2008-01-09 19:48 2,006,228 ----a-w C:\Programme\Internet Explorer.rar
2008-01-04 17:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-02 10:24 --------- d-----w C:\Programme\mswt kart 2004
2007-11-19 16:35 --------- d-----w C:\Programme\MUSICMATCH
2007-11-19 06:40 --------- d-----w C:\Programme\Mozilla Firefox 2.0 Web.de
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 04:40 218032]
"MobileConnect.EXE"="C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE" [2007-01-29 15:46 3072000]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-27 19:12 3142236]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 20:10 339968]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-15 05:16 1838592]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-05 00:17 180269]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 19:33 57344]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:23 77824]
"TomTomHOME.exe"="C:\Programme\TomTom HOME\TomTomHOME.exe" [2007-01-29 12:07 3718312]
"SfWinStartInfo"="C:\Programme\Sfirm32\sfWinStartupInfo.exe" [2006-10-17 11:15 98304]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-27 19:12 3142236]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2006-12-04 11:58 675840]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ampkfst"= {BF5A7230-9ECD-4442-B7C2-ADAE43EE17C2} - C:\WINDOWS\ampkfst.dll [ ]
"bklgvsf"= {4A10B4EB-EBA4-4155-AC73-037C41486446} - C:\WINDOWS\bklgvsf.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2004-10-08 10:50 88363 C:\WINDOWS\AGRSMMSG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system\cmicnfg.cpl]
R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2003-03-27 13:55]
R1 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\drivers\moufiltr.sys [2004-10-11 15:28]
R1 MUsbFltr;WayTechUSBFilterDriver;C:\WINDOWS\system32\drivers\MUsbFltr.sys [2005-12-21 21:32]
R1 tcpipBM;Bytemobile Kernel Network Provider;C:\WINDOWS\system32\drivers\tcpipBM.sys [2006-08-01 14:41]
R1 UsbFltr;WayTechUSBFilterDriver;C:\WINDOWS\system32\drivers\UsbFltr.sys [2005-12-21 21:31]
R2 GtDetectSc;GT Detect;C:\WINDOWS\system32\GtDetectSc.exe [2006-11-16 16:16]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 15:29]
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2003-11-18 01:01]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 04:50]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 15:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 15:41]
S3 G3GCUMDM;G3G C USB Modem;C:\WINDOWS\system32\DRIVERS\g3gcumdm.sys [2005-10-03 17:56]
S3 GTFFBUS;GT FF BUS;C:\WINDOWS\system32\DRIVERS\gtffbus.sys [2006-11-16 16:16]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;C:\WINDOWS\system32\DRIVERS\Gtm51Irp.sys [2006-11-16 16:16]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2006-11-16 16:16]
S3 GTUQBUS;GT UQ BUS;C:\WINDOWS\system32\DRIVERS\gtuqbus.sys [2006-11-16 16:16]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2004-08-04 00:58]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2004-08-04 00:58]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2004-08-04 00:58]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2004-08-04 00:58]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-12-08 13:57]
S3 SPR132;SPRx32 Serial Smart Card Reader;C:\WINDOWS\system32\DRIVERS\SPR132.sys [2003-10-10 04:10]
S3 SPRx32 USB Smart Card Reader;SPRx32 USB Smart Card Reader;C:\WINDOWS\system32\DRIVERS\SPR332.sys [2003-10-13 04:20]
S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2136517a-540d-11d9-94f9-000c769e725a}]
\Shell\AutoRun\command - @%systemroot%\explorer.exe /e,.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{442b9c55-54cf-11d9-9505-000c769e725a}]
\Shell\AutoRun\command - @%systemroot%\explorer.exe /e,.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4cceac5b-c8c9-11db-bc01-00110976752f}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f818f5b7-8f66-11dc-bd68-00f1d000f1d0}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
.
**************************************************************************