Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen?

#106 Ok.
SDFix ist entfernt und hier die Log Datei von ComoFix:

ComboFix 08-08-19.06 - winc 2008-08-21 15:10:31.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\winc\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\winc\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-21 bis 2008-08-21 ))))))))))))))))))))))))))))))
.

2008-08-21 11:24 . 2008-08-21 11:24 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-21 11:23 . 2008-08-21 12:57 <DIR> d-------- C:\SDFix
2008-08-21 11:11 . 2008-08-21 11:11 <DIR> d-------- C:\Programme\Sun
2008-08-21 11:11 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-21 11:10 . 2008-08-21 11:11 <DIR> d-------- C:\Programme\Java
2008-08-21 11:10 . 2008-08-21 11:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-08-20 17:38 . 2008-06-21 04:54 269,736 -ra------ C:\WINDOWS\system32\drivers\SbFw.sys
2008-08-20 17:38 . 2008-06-21 04:54 65,576 --a------ C:\WINDOWS\system32\drivers\SbFwIm.sys
2008-08-20 15:19 . 2008-08-20 15:19 <DIR> d-------- C:\Programme\CCleaner
2008-08-20 14:50 . 2008-08-20 14:50 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-20 14:50 . 2008-08-20 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\winc\Anwendungsdaten\Malwarebytes
2008-08-20 14:50 . 2008-08-20 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 14:50 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-20 14:50 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-06 20:03 . 2008-08-06 20:03 <DIR> d-------- C:\Programme\MSECache
2008-08-06 17:56 . 2008-08-06 17:56 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-25 00:08 . 2008-07-25 00:08 <DIR> d-------- C:\Dokumente und Einstellungen\winc\Anwendungsdaten\T-DSL SpeedManager
2008-07-25 00:07 . 2008-07-28 06:09 <DIR> d-------- C:\Programme\T-DSL SpeedManager
2008-07-25 00:07 . 2008-07-25 00:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager
2008-07-24 23:26 . 2008-07-24 23:26 <DIR> d-------- C:\Dokumente und Einstellungen\winc\Anwendungsdaten\T-Online
2008-07-24 23:26 . 2008-07-24 23:26 9,789 --a------ C:\WINDOWS\system32\NULL
2008-07-24 23:23 . 2008-07-24 23:23 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-07-24 23:21 . 2008-07-24 23:21 <DIR> d-------- C:\Programme\T-Online
2008-07-24 23:21 . 2008-07-28 06:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-07-24 23:21 . 2008-07-24 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2008-07-24 12:59 . 2008-07-24 12:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-07-24 12:50 . 2008-07-24 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\winc\Anwendungsdaten\MSN6
2008-07-24 12:50 . 2008-07-24 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-07-24 12:37 . 2008-07-28 06:09 <DIR> d-------- C:\Programme\OnlineControl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-21 13:15 39,880,992 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-21 13:15 1,178,400 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-21 11:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-21 11:01 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-08-21 11:00 546,788 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-21 11:00 119,420 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-20 14:20 292,706 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-08-06 17:30 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-06 16:25 --------- d-----w C:\Programme\VstPlugins
2008-08-06 16:25 --------- d-----w C:\Programme\Image-Line
2008-07-31 14:45 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-24 21:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-09 20:20 --------- d-----w C:\Programme\Veoh Networks
2008-07-09 19:41 --------- d-----w C:\Programme\Opera
2008-07-09 19:40 --------- d-----w C:\Programme\DivX
2008-07-08 19:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-06-21 02:54 66,600 ----a-r C:\WINDOWS\system32\drivers\sbhips.sys
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2003-01-21 01:33 4,450,304 ----a-w C:\Programme\GP4.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Dit"="Dit.exe" [2004-07-20 18:18 90112 C:\WINDOWS\Dit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bootvis.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bootvis.lnk
backup=C:\WINDOWS\pss\Bootvis.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^winc^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\winc\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
--a------ 2008-01-30 18:34 2997984 C:\Programme\Babylon\Babylon-Pro\Babylon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 c:\Programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
--a------ 2004-08-29 12:52 53248 C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-10-21 20:20 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-06-19 15:15 3664944 C:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"x10nets"=3 (0x3)
"Pml Driver HPZ12"=2 (0x2)
"ose"=3 (0x3)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"Macromedia Licensing Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Joost\\xulrunner\\tvprunner.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

R1 SbFw;SbFw;C:\WINDOWS\system32\drivers\SbFw.sys [2008-06-21 04:54]
R1 sbhips;Sunbelt HIPS Driver;C:\WINDOWS\system32\drivers\sbhips.sys [2008-06-21 04:54]
R2 NwSapAgent;SAP-Agent;C:\WINDOWS\system32\svchost.exe [2004-08-04 00:58]
R2 SbPF.Launcher;SbPF.Launcher;C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-07-01 10:51]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 14:39]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;C:\WINDOWS\system32\DRIVERS\sbfwim.sys [2008-06-21 04:54]
S2 SPF4;Sunbelt Personal Firewall 4;C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-07-01 10:51]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-08-21 13:01]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - L:\AutoPlay.exe -auto

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - N:\Autorun.exe

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2007-12-21 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 16:46]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-CloneCDTray - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-PCMService - C:\Programme\Home Cinema\PowerCinema\PCMService.exe
MSConfigStartUp-Steam - C:\Programme\Steam\Steam.exe
MSConfigStartUp-VVSN - C:\Programme\VVSN\VVSN.exe


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\winc\Anwendungsdaten\Mozilla\Firefox\Profiles\9g1qqu6p.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 15:15:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-21 15:17:39
ComboFix-quarantined-files.txt 2008-08-21 13:17:33

Pre-Run: 11 Verzeichnis(se), 13,481,369,600 Bytes frei
Post-Run: 15 Verzeichnis(se), 13,446,529,024 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

199

Danke!
winc

#107 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Happy Surfing
__________
MfG Argus

#108 Der Avenger läuft nur auf Win XP 32Bit, ich habe aber 64Bit, wird nicht unterstützt, hoffe da gibt es was anderes, und ja ich hab gemerkt das 64Bit Sch*** ist

#109 Tausend Dank !!!

#110 Hallo Neo7193

dann entferne alles manuell.... + wende cleaner noch mal korrekt an...

C:\Program Files\webHancer

C:\Documents and Settings\Administrator\Local Settings\Temp\nsa2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsf2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsf3.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsy7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsz2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\Set12.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\setB.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\setup95.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt11.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1B.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1D.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt20.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt22.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt24.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt28.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt29.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt2A.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt2C.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt2E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt30.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt31.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt32.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt34.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt36.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt38.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt39.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt3A.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt3D.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt3F.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt40.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt41.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt43.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt45.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt46.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt47.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt49.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\rvs~.ini

und vergiss nicht, mit counterspy zu scannen..............
__________
MfG Sabina

rund um die PC-Sicherheit

#111 unter dem pfad steht nichts, nur der ordner "Programs" und darin ist auch nichts, ich schau mal über "Suchen" und lösche sie von dort aus

ach quatsch, habs falsch verstanden, bin etwas blöd^^

die ersten 6 zeilen sind gelöscht, hab zuvor nochmal geschaut Webhdll.dll war raus! die restlichen daten finde ich unter dem pfad nicht

#112 Hi, also ih hab auch dieses "Warning - Spyware detected on your computer" mit blauem hintergrund.
hab ein bißchen hier gelesen und einen quickscan mit malwarebytes gemacht. wäre für weitere hilfe dankbar! grüße
hier der log:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1077
Windows 5.1.2600 Service Pack 3

15:45:18 22.08.2008
mbam-log-08-22-2008 (15-45-18).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44418
Laufzeit: 3 minute(s), 45 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
C:\WINDOWS\Config\csrss.exe (Trojan.Agent) -> Failed to unload process.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Trojan.Agent) -> Data: c:\windows\config\csrss.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Documents and Settings\P-Man\Local Settings\Temp\.tt14A.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\Config\csrss.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcjoej0etbl.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcjoej0etbl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcjoej0etbl.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\P-Man\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\P-Man\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\P-Man\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\P-Man\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\P-Man\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

#113 hanno1410

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schließen und combofix.exe starten
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert, ignorieren !

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#114 hi, also eigentlich hatte ich von dem virus schon nichts mehr gesehen, aber ich hab trotzdem mal das gemacht, was du mir gesagt hast:

ComboFix 08-08-21.02 - P-Man 2008-08-22 23:27:01.1 - NTFSx86
Running from: C:\Documents and Settings\P-Man\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((((( Files Created from 2008-07-22 to 2008-08-22 )))))))))))))))))))))))))))))))
.

2008-08-22 15:39 . 2008-08-22 15:39 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-22 15:39 . 2008-08-22 15:39 <DIR> d-------- C:\Documents and Settings\P-Man\Application Data\Malwarebytes
2008-08-22 15:39 . 2008-08-22 15:39 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-22 15:39 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-22 15:39 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-21 22:42 . 2008-08-21 22:42 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-21 22:42 . 2008-08-21 22:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-21 16:46 . 2008-08-21 16:46 <DIR> d-------- C:\Program Files\Zone Labs
2008-08-07 15:41 . 2008-08-07 15:45 <DIR> d-------- C:\Program Files\Subtitle Workshop
2008-08-05 23:27 . 2008-08-05 23:29 <DIR> d-------- C:\Program Files\DAEMON Tools Pro
2008-08-05 23:27 . 2008-08-05 23:27 <DIR> d-------- C:\Documents and Settings\P-Man\Application Data\DAEMON Tools Pro
2008-08-05 23:27 . 2008-08-05 23:29 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\DAEMON Tools Pro
2008-08-05 23:02 . 2008-08-05 23:02 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-08-05 23:01 . 2008-08-05 23:01 <DIR> d-------- C:\Documents and Settings\P-Man\Application Data\DAEMON Tools
2008-08-04 13:01 . 2008-08-04 13:01 <DIR> d-------- C:\Documents and Settings\P-Man\Application Data\Teleca
2008-08-04 12:54 . 2007-04-23 15:54 108,680 -ra------ C:\WINDOWS\system32\drivers\s115mdm.sys
2008-08-04 12:54 . 2007-04-23 15:54 100,488 -ra------ C:\WINDOWS\system32\drivers\s115mgmt.sys
2008-08-04 12:54 . 2007-04-23 15:54 98,568 -ra------ C:\WINDOWS\system32\drivers\s115obex.sys
2008-08-04 12:54 . 2007-04-23 15:54 83,208 -ra------ C:\WINDOWS\system32\drivers\s115bus.sys
2008-08-04 12:54 . 2007-04-23 15:54 15,112 -ra------ C:\WINDOWS\system32\drivers\s115mdfl.sys
2008-08-04 12:54 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115whnt.sys
2008-08-04 12:54 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115wh.sys
2008-08-04 12:54 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cmnt.sys
2008-08-04 12:54 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cm.sys
2008-08-04 12:51 . 2008-08-04 12:51 <DIR> d-------- C:\Program Files\Sony Ericsson
2008-08-04 12:51 . 2008-08-04 12:53 <DIR> d-------- C:\Program Files\Common Files\Teleca Shared
2008-08-04 12:51 . 2008-08-04 12:51 <DIR> d-------- C:\Program Files\Common Files\Sony Ericsson Shared
2008-08-04 12:51 . 2008-08-04 12:51 <DIR> d-------- C:\Documents and Settings\P-Man\Application Data\Sony Ericsson
2008-08-04 12:50 . 2008-08-04 12:50 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-08-04 12:46 . 2008-08-04 12:51 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Teleca
2008-08-04 12:46 . 2008-08-04 12:51 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-07-24 13:06 . 2008-07-24 13:06 <DIR> d-------- C:\Program Files\Windows Commander
2008-07-24 13:06 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF
2008-07-24 13:06 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF
2008-07-24 13:06 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-07-24 13:06 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-07-24 13:06 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-07-24 13:06 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF
2008-07-24 13:06 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF
2008-07-24 13:06 . 2008-07-24 13:56 508 --a------ C:\WINDOWS\wincmd.ini

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-22 13:19 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-21 21:43 --------- d-----w C:\Documents and Settings\P-Man\Application Data\ChessBase
2008-08-20 23:54 --------- d-----w C:\Documents and Settings\P-Man\Application Data\uTorrent
2008-08-18 11:01 --------- d-----w C:\Program Files\eMule
2008-08-07 19:37 127,255 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_07_14_30_46_small.dmp.zip
2008-08-06 19:53 19,526,441 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_21_46_57_full.dmp.zip
2008-08-06 19:53 122,908 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_21_37_23_small.dmp.zip
2008-08-06 19:53 121,433 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_21_48_04_small.dmp.zip
2008-08-06 19:53 120,849 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_21_48_22_small.dmp.zip
2008-08-06 19:53 119,147 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_21_46_24_small.dmp.zip
2008-08-06 19:53 106,871 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_21_37_50_small.dmp.zip
2008-07-19 22:58 --------- d-----w C:\Documents and Settings\P-Man\Application Data\vlc
2008-07-19 12:35 --------- d-----w C:\Program Files\Opera
2008-07-16 22:45 --------- d-----w C:\Documents and Settings\P-Man\Application Data\Skype
2008-07-16 22:44 --------- d-----w C:\Documents and Settings\P-Man\Application Data\skypePM
2008-07-13 01:36 --------- d-----w C:\Program Files\Java
2008-07-13 01:35 --------- d-----w C:\Program Files\Common Files\Java
2008-07-11 22:29 --------- d-----w C:\Documents and Settings\P-Man\Application Data\CyberLink
2008-07-11 22:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-07-11 22:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 22:27 --------- d-----w C:\Program Files\CyberLink
2008-07-11 14:05 --------- d-----w C:\Documents and Settings\P-Man\Application Data\Canon
2008-07-11 14:04 --------- d-----w C:\Program Files\Canon
2008-07-10 12:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-07-10 12:11 --------- d-----w C:\Program Files\Common Files\Adobe
2008-07-10 12:11 --------- d-----w C:\Program Files\Bonjour
2008-07-10 12:01 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-07-09 23:57 --------- d-----w C:\Documents and Settings\P-Man\Application Data\AdobeUM
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-07-08 21:31 --------- d-----w C:\Program Files\Skype
2008-07-08 21:31 --------- d-----w C:\Program Files\Common Files\Skype
2008-07-08 21:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-07-04 22:53 --------- d-----w C:\Program Files\Futuremark
2008-07-04 20:44 --------- d-----w C:\Program Files\Motherboard Monitor 5
2008-07-04 01:12 --------- d-----w C:\Program Files\ChessBase
2008-07-03 12:59 --------- d-----w C:\Program Files\Google
2008-07-02 20:42 --------- d-----w C:\Documents and Settings\P-Man\Application Data\Media Player Classic
2008-07-02 20:41 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-07-02 20:38 --------- d-----w C:\Program Files\VideoLAN
2008-07-02 05:07 --------- d--h--w C:\Program Files\CanonBJ
2008-07-02 05:07 --------- d--h--w C:\Documents and Settings\All Users\Application Data\CanonBJ
2008-07-02 02:28 --------- d-----w C:\Program Files\BSplayer
2008-07-02 01:29 --------- d-----w C:\Program Files\Pegasus Mail
2008-07-01 23:50 --------- d-----w C:\Program Files\Common Files\Ahead
2008-07-01 23:50 --------- d-----w C:\Program Files\Ahead
2008-07-01 23:37 --------- d-----w C:\Program Files\Windows Live
2008-07-01 23:29 --------- d-----w C:\Program Files\microsoft frontpage
2008-07-01 23:29 --------- d-----w C:\Documents and Settings\P-Man\Application Data\Microsoft Web Folders
2008-07-01 23:16 --------- d-----w C:\Program Files\uTorrent
2008-07-01 23:15 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-07-01 23:15 --------- d-----w C:\Program Files\Realtek AC97
2008-07-01 23:15 --------- d-----w C:\Program Files\AvRack
2008-07-01 23:03 --------- d-----w C:\Program Files\Dr. Hardware 2008
2008-07-01 23:02 --------- d-----w C:\Program Files\Winamp
2008-07-01 22:58 --------- d-----w C:\Program Files\xp-AntiSpy
2008-07-01 22:39 --------- d-----w C:\Program Files\Logitech
2008-07-01 22:39 --------- d-----w C:\Program Files\Common Files\Logitech
2008-07-01 22:39 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-07-01 22:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles
2008-07-01 22:17 --------- d-----w C:\Program Files\NVidia 175.19
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 13:42 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 86016]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 20992 C:\WINDOWS\LOGI_MWX.EXE]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 14:12 90112 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 13:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2007-06-13 08:16 528384 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\ChessBase\\ChessProgram8\\ChessProgram8.exe"=
"C:\\Program Files\\eMule\\emule.exe"=

R2 drhard;drhard;C:\WINDOWS\system32\drivers\drhard.sys [2005-12-01 10:49]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-DAEMON Tools Pro Agent - C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
MSConfigStartUp-lphcjoej0etbl - C:\WINDOWS\system32\lphcjoej0etbl.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.at/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O17 -: HKLM\CCS\Interface\{ED9800BE-C6C6-482B-AF7D-3E8FD4C52CD8}: NameServer = 10.0.0.2,10.0.0.11

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215787665
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 23:40:53
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-08-22 23:43:26
ComboFix-quarantined-files.txt 2008-08-22 21:42:56

Pre-Run: 6,230,614,016 bytes free
Post-Run: 6,576,652,288 bytes free

197



---------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:48, on 22.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215787665
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED9800BE-C6C6-482B-AF7D-3E8FD4C52CD8}: NameServer = 10.0.0.2,10.0.0.11
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5002 bytes


Grüße

#115 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Wenn ich sowas sehe C:\Program Files\Sony Ericsson
wird mir immer warm ums Herz
__________
MfG Argus

#116 Hallo Neo7193

dann klicke noch mal die listen.bat und poste das log.
es wird alles angezeigt, also alles doppelt, mich interessiert nur der letzte (aktuelle) Teil.

und wenn du zeit hast, scanne auch mit counterspy und poste den Report
__________
MfG Sabina

rund um die PC-Sicherheit

#117 ok mach ich, zur info, seit ich die paar daten gelöscht habe spinnen 2 spiele bei mir, woran könnte das liegen?

Directory of C:\Program Files

22.08.2008 15:21 <DIR> .
22.08.2008 15:21 <DIR> ..
25.07.2008 15:37 <DIR> Common Files
25.07.2008 15:36 <DIR> ComPlus Applications
04.08.2008 23:22 <DIR> Groove Games
25.07.2008 22:44 <DIR> ICQLite
14.08.2008 19:11 <DIR> Internet Explorer
16.08.2008 09:45 <DIR> Messenger
25.07.2008 15:36 <DIR> Online Services
14.08.2008 19:11 <DIR> Outlook Express
25.07.2008 15:36 <DIR> Windows NT
0 File(s) 0 bytes
11 Dir(s) 15.619.780.608 bytes free
Volume in drive C has no label.
Volume Serial Number is E429-3BE2

Directory of C:\Documents and Settings\Administrator\Local Settings\Temp

23.08.2008 10:02 <DIR> .
23.08.2008 10:02 <DIR> ..
21.08.2008 18:30 136.852 6d51_appcompat.txt
28.07.2005 14:05 4.922 basic.html
28.07.2005 14:05 3.926 contributors.html
19.08.2008 20:38 46.592 drm_dialogs.dll
19.08.2008 20:38 196.608 drm_dyndata_7270014.dll
28.07.2005 14:05 1.705 examples.html
25.07.2008 17:26 25.753 German.bin
24.09.2006 16:43 79.628 history.html
23.08.2008 06:58 <DIR> hsperfdata_Administrator
28.07.2005 14:05 7.668 id3.html
24.09.2006 16:43 2.217 index.html
21.08.2008 16:22 6.347 jusched.log
04.12.2000 00:00 732 lame.css
24.09.2006 17:08 520.192 lame.exe
22.08.2008 20:59 524.953 lame3.97.zip
24.09.2006 17:08 462.848 lame_enc.dll
19.08.2004 20:36 2.288 modes.html
24.10.2001 13:44 6.967 node6.html
27.07.2005 22:49 3.102 presets.html
14.08.2008 17:45 27.369 rvs~.ini
16.08.2008 10:52 40.452 setup95.exe
20.08.2008 19:46 962.540 SunbeltVIPREInstaller.log
20.08.2005 18:48 49.511 switchs.html
08.08.2008 12:50 32.768 swt-awt-win32-3346.dll
08.08.2008 12:50 307.200 swt-win32-3346.dll
24 File(s) 3.453.140 bytes
3 Dir(s) 15.619.780.608 bytes free

frage: wo finde ich den Logfile von Counterspy (Vipre)?

#118 Hallo Neo7193

also von meiner Seite aus finde ich nichts mehr, es sollte wieder alles sauber sein.
Falls die zwei Spiele nicht korrekt funktionieren, installiere sie neu (falls du die cD hast) ... oder übers Internet, keine Ahnung welche Spiele es sind (hast du nicht geschrieben)
__________
MfG Sabina

rund um die PC-Sicherheit

#119 Der Scan hat nichts gefunden.

Das Spiel ist Original und heißt Emergency 4, Eine Neuinstallation hat nichts gebracht, habe versucht an der Grafikeinstellung im Spiel zu arbeiten. branchte auch nichts. Die Figuren werden plötzlich (immer nur einzelne) 2-dimensional und verändern ihre Form.

Soll ich über Screen oder Videos davon machen und reinsetzen oder gehört das in ein anderes Forum?

#120 Hi, ich habe das selbe problem mit dem Hintergrundfenster. Hier sind mein combofix und mein hijackthis log. danke im vorraus

ComboFix 08-08-21.02 - Herbert Lahm 2008-08-23 14:40:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.611 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Herbert Lahm\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\blphc97ej0ev6n.scr
C:\WINDOWS\system32\lphc97ej0ev6n.exe
C:\WINDOWS\system32\phc97ej0ev6n.bmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-23 bis 2008-08-23 ))))))))))))))))))))))))))))))
.

2008-08-23 14:45 . 2007-03-19 19:50 15,920 --a------ C:\WINDOWS\system32\pfdnnt.exe
2008-08-23 14:28 . 2008-08-23 14:28 <DIR> d-------- C:\Programme\CCleaner
2008-08-23 14:20 . 2008-08-23 14:20 <DIR> d-------- C:\SDFix
2008-08-23 14:13 . 2008-08-23 14:13 <DIR> d-------- C:\Programme\Trend Micro
2008-08-21 17:52 . 2008-08-21 17:52 23,574 --a------ C:\WINDOWS\Microsoft Outlook.FAV
2008-08-21 10:28 . 2008-08-23 11:41 262,144 --a------ C:\WINDOWS\outlook.pst
2008-08-21 10:28 . 2008-08-21 10:28 10,250 --a------ C:\WINDOWS\extend.dat
2008-08-15 19:18 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-15 19:17 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-08 19:24 . 2008-08-08 19:25 <DIR> d-------- C:\Programme\Google
2008-08-08 19:24 . 2008-08-10 10:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-08 19:15 . 2008-08-23 14:19 1,224 --a------ C:\WINDOWS\system32\drivers\APPFLTR.CFG.bck
2008-08-08 19:14 . 2008-08-23 14:38 234,476 --a------ C:\WINDOWS\system32\drivers\APPFCONT.DAT.bck
2008-08-08 19:08 . 2008-08-08 19:08 <DIR> d-------- C:\Programme\Panda Software
2008-08-08 19:08 . 2008-08-08 19:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Panda Software
2008-08-08 19:08 . 2007-02-19 14:21 170,800 -ra------ C:\WINDOWS\system32\drivers\PavProc.sys
2008-08-08 19:08 . 2007-02-28 18:04 63,024 --a------ C:\WINDOWS\system32\pavipc.dll
2008-08-08 19:08 . 2007-02-15 20:02 50,736 --a------ C:\WINDOWS\system32\avldr.dll
2008-08-08 19:08 . 2007-03-12 17:27 31,104 -ra------ C:\WINDOWS\system32\drivers\ShlDrv51.sys
2008-08-08 18:38 . 2007-05-04 14:40 215,040 -ra------ C:\WINDOWS\system32\drivers\RTL8187B.sys
2008-08-08 11:20 . 2008-08-08 11:20 <DIR> d-------- C:\WINDOWS\Profiles
2008-08-08 11:20 . 2008-08-08 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\Herbert Lahm\Anwendungsdaten\InterTrust
2008-08-08 10:55 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-08-08 09:50 . 2008-08-08 09:50 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-08-08 09:49 . 2008-08-08 09:49 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-08-08 09:49 . 2008-08-08 09:49 <DIR> d-------- C:\Programme\802.11 Wireless LAN
2008-08-07 15:05 . 2008-08-07 15:05 0 --a------ C:\ss_router.cfg
2008-08-07 15:01 . 2008-08-07 10:08 89,830 --a------ C:\WINDOWS\hpdj3840.hi1
2008-08-07 15:01 . 2008-08-07 10:08 9,072 --a------ C:\WINDOWS\hpdj3840.bu1
2008-08-07 14:58 . 2008-04-14 00:17 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-07 14:58 . 2008-04-14 00:17 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-07 12:58 . 2008-08-07 12:58 <DIR> d-------- C:\WINDOWS\Provisioning
2008-08-07 12:58 . 2008-08-07 11:52 <DIR> d-------- C:\WINDOWS\PeerNet
2008-08-07 12:58 . 2008-08-07 11:52 <DIR> d-------- C:\WINDOWS\ehome
2008-08-07 12:48 . 2008-08-07 12:48 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-08-07 12:15 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-08-07 12:15 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-08-07 12:15 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-08-07 12:15 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-08-07 12:15 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-08-07 12:13 . 2008-08-07 12:13 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-08-07 12:13 . 2006-10-18 22:47 1,661,440 --------- C:\WINDOWS\system32\wmpencen.dll
2008-08-07 12:13 . 2006-10-18 22:47 613,376 --------- C:\WINDOWS\system32\wmpmde.dll
2008-08-07 12:13 . 2006-10-18 22:47 295,936 --------- C:\WINDOWS\system32\wmpeffects.dll
2008-08-07 12:13 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-07 12:13 . 2006-10-18 21:05 232,448 --------- C:\WINDOWS\system32\l3codecp.acm
2008-08-07 12:13 . 2006-10-18 22:47 204,288 --------- C:\WINDOWS\system32\wmpsrcwp.dll
2008-08-07 12:13 . 2006-10-18 22:47 130,048 --------- C:\WINDOWS\system32\wmpps.dll
2008-08-07 12:09 . 2008-08-15 19:24 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-08-07 12:08 . 2008-08-08 19:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-08-07 11:50 . 2008-08-07 11:50 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-07 11:50 . 2008-04-14 07:52 294,912 -----c--- C:\WINDOWS\system32\dllcache\dlimport.exe
2008-08-07 11:48 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002838_.tmp
2008-08-07 11:47 . 2007-08-10 20:44 26,488 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-07 11:37 . 2008-08-07 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Herbert Lahm\WINDOWS
2008-08-07 11:37 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe
2008-08-07 11:37 . 2004-11-12 11:45 184,320 --------- C:\WINDOWS\system32\SiSApCom.dll
2008-08-07 11:37 . 2004-11-12 11:48 110,592 --------- C:\WINDOWS\system32\TVMode.dll
2008-08-07 11:37 . 2002-07-12 18:15 106,496 --a------ C:\WINDOWS\SiSUSBrg.exe
2008-08-07 11:37 . 2002-01-02 15:40 32,768 --a------ C:\WINDOWS\SIS_LIB.DLL
2008-08-07 11:37 . 2004-11-12 11:49 28,672 --------- C:\WINDOWS\system32\SiSHook.dll
2008-08-07 11:37 . 2001-12-07 10:11 3,583 --a------ C:\WINDOWS\SiSport.sys
2008-08-07 11:36 . 2008-08-07 11:37 <DIR> d-------- C:\Programme\SiS VGA Utilities V3.64
2008-08-07 11:36 . 2008-08-08 19:08 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-08-07 11:36 . 2008-08-07 15:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-07 11:22 . 2008-08-07 11:22 <DIR> d-------- C:\Programme\SpeedProject
2008-08-07 11:22 . 2008-08-07 11:22 <DIR> d-------- C:\Dokumente und Einstellungen\Herbert Lahm\Anwendungsdaten\SpeedProject
2008-08-07 11:14 . 2008-08-07 11:14 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-08-07 11:12 . 2008-04-14 07:50 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-08-07 11:11 . 2001-08-18 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-08-07 11:10 . 2008-08-07 12:05 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-08-07 11:06 . 2004-08-03 22:41 1,041,536 --a------ C:\WINDOWS\system32\drivers\HSFDPSP2.sys
2008-08-07 11:06 . 2004-08-03 22:41 685,056 --a------ C:\WINDOWS\system32\drivers\HSFCXTS2.sys
2008-08-07 11:06 . 2004-08-03 22:41 220,032 --a------ C:\WINDOWS\system32\drivers\HSFBS2S2.sys
2008-08-07 11:06 . 2004-07-17 22:55 129,045 --a------ C:\WINDOWS\system32\drivers\cxthsfS2.cty
2008-08-07 11:06 . 2008-04-14 07:52 86,016 --a------ C:\WINDOWS\system32\mdmxsdk.dll
2008-08-07 11:06 . 2008-04-14 07:52 32,285 --a------ C:\WINDOWS\system32\hsfcisp2.dll
2008-08-07 11:06 . 2004-08-03 22:41 11,868 --a------ C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-07 11:03 . 2004-08-04 01:53 1,086,058 -ra------ C:\WINDOWS\SET17.tmp
2008-08-07 11:03 . 2004-08-04 01:59 1,014,663 -ra------ C:\WINDOWS\SET16.tmp
2008-08-07 11:03 . 2004-08-04 01:55 14,043 -ra------ C:\WINDOWS\SET23.tmp
2008-08-07 09:55 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-08-07 09:53 . 2008-08-23 14:28 <DIR> dr------- C:\Programme
2008-08-07 09:53 . 2008-08-07 08:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-08-07 09:53 . 2008-08-07 09:53 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-08-07 09:53 . 2008-08-07 09:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-07 09:53 . 2008-08-07 09:53 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-08-07 09:53 . 2008-08-07 09:53 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-08-07 09:53 . 2008-08-07 09:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-08-07 09:53 . 2008-08-07 09:53 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-08-07 09:53 . 2008-08-07 11:53 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-08-07 09:53 . 2008-08-07 09:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-08-07 09:53 . 2008-08-07 11:07 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-08-07 09:52 . 2008-08-23 14:19 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-08-07 09:52 . 2008-08-15 19:23 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2008-08-07 09:52 . 2008-08-07 09:53 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-08-07 09:52 . 2008-08-07 12:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-08-07 09:52 . 2008-08-08 19:24 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-08-07 09:52 . 2008-08-07 09:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-08-07 09:52 . 2008-08-07 09:15 <DIR> d-------- C:\Dokumente und Einstellungen
2008-08-07 09:52 . 2008-08-07 09:21 144,460 --a------ C:\WINDOWS\setupapi.old
2008-08-07 09:17 . 2008-08-07 09:17 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-08-07 09:15 . 2008-08-08 19:25 <DIR> d--hs---- C:\WINDOWS\Installer
2008-08-07 09:15 . 2008-08-07 10:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Herbert Lahm\Vorlagen
2008-08-07 09:15 . 2008-08-07 10:02 <DIR> dr------- C:\Dokumente und Einstellungen\Herbert Lahm\Startmenü
2008-08-07 09:15 . 2008-08-07 09:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Herbert Lahm\Netzwerkumgebung
2008-08-07 09:15 . 2008-08-07 09:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Herbert Lahm\Lokale Einstellungen
2008-08-07 09:15 . 2008-08-13 09:47 <DIR> dr------- C:\Dokumente und Einstellungen\Herbert Lahm\Favoriten
2008-08-07 09:15 . 2008-08-23 14:17 <DIR> dr------- C:\Dokumente und Einstellungen\Herbert Lahm\Eigene Dateien
2008-08-07 09:15 . 2008-08-07 09:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Herbert Lahm\Druckumgebung
2008-08-07 09:15 . 2008-08-08 11:20 <DIR> dr-h----- C:\Dokumente und Einstellungen\Herbert Lahm\Anwendungsdaten
2008-08-07 09:15 . 2008-08-23 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Herbert Lahm
2008-08-07 09:11 . 2008-08-23 14:45 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-08-07 09:11 . 2008-08-07 09:11 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-08-07 09:11 . 2008-08-07 09:11 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-08-07 09:11 . 2008-08-23 14:45 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-08-07 09:11 . 2008-08-07 09:11 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-08-07 09:11 . 2008-08-07 09:11 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-08-07 09:05 . 2008-08-07 09:05 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-08-07 09:04 . 2008-08-07 08:58 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Vorlagen
2008-08-07 09:04 . 2008-08-07 09:53 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü
2008-08-07 09:04 . 2008-08-07 09:53 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Netzwerkumgebung
2008-08-07 09:04 . 2008-08-23 14:45 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen
2008-08-07 09:04 . 2008-08-07 09:53 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoriten
2008-08-07 09:04 . 2008-08-07 09:53 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Druckumgebung

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-23 12:38 234,476 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT
2008-08-23 12:19 1,224 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG
2008-08-07 08:53 --------- d-----w C:\Programme\7-Zip
2008-08-07 08:01 --------- d-----w C:\Programme\Windows Messaging
2008-08-07 06:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 07:52 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 18:15 106496]
"APVXDWIN"="C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" [2007-03-30 15:52 329264]
"SiSPower"="SiSPower.dll" [2004-11-12 11:49 49152 C:\WINDOWS\system32\SiSPower.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2007-02-15 20:02 50736 C:\WINDOWS\system32\avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 APPFLT;App Filter Plugin;C:\WINDOWS\system32\Drivers\APPFLT.SYS [2007-04-02 19:43]
R1 DSAFLT;DSA Filter Plugin;C:\WINDOWS\system32\Drivers\DSAFLT.SYS [2007-04-02 19:43]
R1 FNETMON;NetMon Filter Plugin;C:\WINDOWS\system32\Drivers\fnetmon.SYS [2007-03-12 17:45]
R1 IDSFLT;Ids Filter Plugin;C:\WINDOWS\system32\Drivers\IDSFLT.SYS [2007-04-02 19:43]
R1 NETFLTDI;Panda Net Driver [TDI Layer];C:\WINDOWS\system32\Drivers\NETFLTDI.SYS [2007-03-22 18:12]
R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-03-12 17:27]
R1 SMSFLT;SMS Filter Plugin;C:\WINDOWS\system32\Drivers\SMSFLT.SYS [2007-04-02 19:43]
R1 WNMFLT;Wifi Monitor Filter Plugin;C:\WINDOWS\system32\Drivers\WNMFLT.SYS [2007-04-02 19:43]
R2 cpoint;Panda CPoint Driver;C:\WINDOWS\system32\Drivers\cpoint.sys [2006-10-27 13:27]
R2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-02-19 14:21]
R3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys []
R3 ComFiltr;Panda Anti-Dialer;C:\WINDOWS\system32\DRIVERS\COMFiltr.sys []
R3 NETIMFLT;PANDA NDIS IM Filter Miniport;C:\WINDOWS\system32\DRIVERS\netimflt.sys [2007-04-02 19:43]
R3 PavSRK.sys;PavSRK.sys;C:\WINDOWS\system32\PavSRK.sys []
R3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys []
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-05-04 14:40]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
*Newly Created Service* - PSEXESVC
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AdobeUpdater - C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe


.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.maxblue.de/
.
.
------- File Associations (Beta) -------
.
JSEFile=C:\PROGRA~1\PANDAS~1\PANDAA~1\PavScrip.exe "%1" %*
VBEFile=C:\PROGRA~1\PANDAS~1\PANDAA~1\PavScrip.exe "%1" %*
VBSFile=C:\PROGRA~1\PANDAS~1\PANDAA~1\PavScrip.exe "%1" %*
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 14:46:01
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-23 14:48:59
ComboFix-quarantined-files.txt 2008-08-23 12:48:52

Pre-Run: 8 Verzeichnis(se), 73,686,994,944 Bytes frei
Post-Run: 10 Verzeichnis(se), 74,022,268,928 Bytes frei

228 --- E O F --- 2008-08-20 11:06:10


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49:51, on 23.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
c:\programme\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\ApvxdWin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\WebProxy.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\avciman.exe
C:\WINDOWS\explorer.exe
C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\psimreal.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maxblue.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.509.6972\swg.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

--
End of file - 4929 bytes