ieexpolrer 3-4mal in Taskmanager

#1 Hallo,

habe den IEExplorer tlw.3-4 mal im Taskmanager.
hier mein Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:06:30, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\TBPanel.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\SECURE~1\sseagent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dvbskystar.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - c:\programme\steganos internet anonym 2006\sia2006iep.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe r
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\ETcall.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EFA35B3-DDDF-4616-BFAF-51E4BFFD9586}: NameServer = 195.34.133.21,195.34.133.22
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\RpcSandraSrv.exe

Danke im vorraus

Joka312

#2 Hallo,
wende bitte Combofix an + poste den report hier
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,
Combofix hat folgendes ausgespuckt:

ComboFix 08-03-30.2 - Josy 2008-03-30 23:33:46.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Josy\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-30 ))))))))))))))))))))))))))))))
.

2008-03-30 23:27 . 2008-03-30 23:27 <DIR> d-------- C:\Logs
2008-03-30 20:28 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-03-30 20:28 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-03-30 20:23 . 2008-03-30 20:23 <DIR> d-------- C:\WINDOWS\LastGood
2008-03-30 20:23 . 2008-03-30 20:23 <DIR> d-------- C:\Games
2008-03-30 17:22 . 2008-03-30 17:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Elecard
2008-03-30 17:22 . 2008-03-30 17:22 <DIR> d-------- C:\Programme\Elecard
2008-03-30 17:20 . 2008-03-30 17:35 <DIR> d-------- C:\ProgDVB
2008-03-30 16:13 . 2008-03-30 16:13 209,715,200 --a------ C:\timeshift.dat_0
2008-03-30 15:58 . 2008-03-30 15:58 <DIR> d-------- C:\Programme\TechniSat DVB
2008-03-30 15:58 . 2008-03-30 15:58 <DIR> d-------- C:\Programme\DVBViewerTE
2008-03-30 15:58 . 1998-11-06 15:33 244,417 --a------ C:\WINDOWS\system32\odbcjet.hlp
2008-03-30 15:58 . 1998-11-06 15:38 8,198 --a------ C:\WINDOWS\system32\odbcjet.cnt
2008-03-30 15:50 . 2008-03-30 16:17 33 --a------ C:\ProgDVB.ini
2008-03-30 15:49 . 2008-03-30 16:23 <DIR> d-------- C:\ProgDVB5
2008-03-30 15:47 . 2008-03-30 15:47 <DIR> d-------- C:\Programme\MSI
2008-03-30 15:45 . 2006-03-14 03:22 349,184 --a------ C:\WINDOWS\system32\drivers\SkyNET.sys
2008-03-26 21:28 . 2008-03-26 21:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-25 23:31 . 2008-03-25 23:31 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-03-25 23:31 . 2008-03-25 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-25 23:31 . 2008-03-25 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-25 22:21 . 2008-03-25 22:21 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-25 22:21 . 2008-03-25 22:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-24 21:42 . 2008-03-24 21:42 <DIR> d-------- C:\Programme\Biet-O-Matic
2008-03-24 21:42 . 1998-06-24 00:00 209,192 --a------ C:\WINDOWS\system32\Tabctl32.ocx
2008-03-24 21:42 . 1998-07-06 00:00 158,208 --a------ C:\WINDOWS\system32\Mscmcde.dll
2008-03-24 21:42 . 2000-05-22 16:58 115,920 --a------ C:\WINDOWS\system32\msinet.ocx
2008-03-24 21:42 . 2000-12-06 00:00 109,248 --a------ C:\WINDOWS\system32\Mswinsck.ocx
2008-03-24 21:42 . 1998-07-06 00:00 22,528 --a------ C:\WINDOWS\system32\Tabctde.dll
2008-03-24 21:42 . 2000-04-03 20:06 16,896 --a------ C:\WINDOWS\system32\winskde.dll
2008-03-24 21:42 . 2003-01-07 03:22 15,873 --a------ C:\WINDOWS\system32\Inetde.dll
2008-03-24 21:42 . 1999-07-14 14:07 6,656 --a------ C:\WINDOWS\system32\stdftde.dll
2008-03-24 21:38 . 2008-03-23 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\BOM
2008-03-24 12:18 . 2008-03-24 12:18 48 --a------ C:\plug_in.ini
2008-03-24 11:47 . 2008-03-24 12:06 <DIR> d-------- C:\Programme\VirtualDJ
2008-03-24 09:39 . 2008-03-24 09:39 <DIR> d-------- C:\Programme\Convar
2008-03-24 09:39 . 2003-07-18 14:58 516,784 -ra------ C:\WINDOWS\system32\XceedCry.dll
2008-03-24 09:39 . 2002-02-28 10:46 217,088 --a------ C:\WINDOWS\system32\DartSock.dll
2008-03-24 09:39 . 2000-05-22 01:00 140,488 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-03-24 09:39 . 2002-02-21 11:12 118,784 --a------ C:\WINDOWS\system32\DartWeb.dll
2008-03-24 09:39 . 1998-06-18 01:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-03-24 09:39 . 1998-06-13 23:53 44,544 --a------ C:\WINDOWS\system32\Gif89.dll
2008-03-24 09:39 . 2002-04-12 14:19 28,672 --a------ C:\WINDOWS\system32\DartWeb.oca
2008-03-24 09:15 . 2008-03-28 01:26 <DIR> d-------- C:\Programme\Digital Image Recovery
2008-03-20 22:20 . 2008-03-20 22:20 <DIR> d-------- C:\Programme\Mp3tag
2008-03-20 22:20 . 2008-03-20 23:37 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\Mp3tag
2008-03-20 21:55 . 2008-03-20 21:55 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-03-20 21:41 . 2008-03-20 21:41 <DIR> d-------- C:\totalcmd
2008-03-20 21:41 . 2007-09-14 08:02 545 --a------ C:\WINDOWS\UC.PIF
2008-03-20 21:41 . 2007-09-14 08:02 545 --a------ C:\WINDOWS\RAR.PIF
2008-03-20 21:41 . 2007-09-14 08:02 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-03-20 21:41 . 2007-09-14 08:02 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-03-20 21:41 . 2007-09-14 08:02 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-03-20 21:41 . 2007-09-14 08:02 545 --a------ C:\WINDOWS\LHA.PIF
2008-03-20 21:41 . 2007-09-14 08:02 545 --a------ C:\WINDOWS\ARJ.PIF
2008-03-20 21:41 . 2008-03-20 21:42 128 --a------ C:\WINDOWS\wincmd.ini
2008-03-20 21:37 . 2008-03-20 21:37 <DIR> d-------- C:\Programme\Idoswin Pro
2008-03-17 22:45 . 2008-03-17 22:45 <DIR> d-------- C:\pwrcmdr
2008-03-17 22:44 . 2008-03-17 22:50 <DIR> d-------- C:\dynojet fz6
2008-03-09 11:33 . 2008-03-09 11:33 <DIR> d-------- C:\Programme\foobar2000
2008-03-09 11:33 . 2008-03-30 14:18 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\foobar2000
2008-03-07 01:22 . 2008-03-07 01:22 <DIR> d-------- C:\Programme\Eraser
2008-03-07 01:22 . 2008-03-07 01:22 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
2008-03-07 01:19 . 2008-03-07 01:19 <DIR> d-------- C:\~SSDFS
2008-03-07 00:19 . 2008-03-07 00:19 <DIR> d-------- C:\Programme\mpegjoin
2008-03-05 23:57 . 2008-03-28 01:12 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\Firstload
2008-03-05 23:56 . 2008-03-06 00:17 <DIR> d-------- C:\Programme\Firstload
2008-03-03 17:27 . 2008-03-02 12:10 3,076,123 --------- C:\WINDOWS\Dbox2db.CAB
2008-03-03 17:27 . 2000-10-02 13:27 125,712 --a------ C:\WINDOWS\system32\VB6DE.DLL
2008-03-03 17:27 . 1999-06-01 00:00 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-03-03 17:27 . 2008-03-03 17:27 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2008-03-03 17:27 . 2008-03-03 17:27 1,573 --a------ C:\WINDOWS\ST6UNST.000
2008-03-03 11:08 . 2008-03-03 11:08 <DIR> d-------- C:\Programme\Lavasoft
2008-03-03 10:53 . 2008-03-03 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-03 10:52 . 2008-03-25 23:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-02 16:09 . 2008-03-02 16:09 <DIR> d-------- C:\Programme\Macromedia
2008-03-02 16:09 . 2008-03-02 16:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2008-03-02 16:08 . 2008-03-25 00:14 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-03-02 15:04 . 2008-03-02 15:04 <DIR> d-------- C:\Programme\Microsoft Works
2008-03-02 13:08 . 2008-03-03 10:43 <DIR> d-------- C:\Programme\Steam
2008-03-01 22:30 . 2008-03-01 22:30 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\AdobeUM
2008-03-01 21:53 . 2001-08-18 05:53 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2008-03-01 21:52 . 2008-03-01 21:52 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-03-01 18:51 . 2008-03-02 20:52 597 --a------ C:\WINDOWS\pos.ini
2008-03-01 18:50 . 2008-03-01 18:50 <DIR> d-------- C:\Programme\Bagusoft Password Safe 3
2008-02-29 23:05 . 2008-02-29 23:05 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\vlc
2008-02-29 23:04 . 2008-02-29 23:04 <DIR> d-------- C:\Programme\VideoLAN
2008-02-29 22:45 . 2008-03-27 23:51 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-29 22:03 . 2008-02-29 22:03 <DIR> d-------- C:\Programme\Steganos Internet Anonym 2006
2008-02-29 22:03 . 2008-02-29 22:03 <DIR> d-------- C:\Programme\Secure Surfing Engine
2008-02-28 22:07 . 2008-02-28 22:07 <DIR> d-------- C:\WINDOWS\Sun
2008-02-26 21:42 . 2008-03-09 14:00 <DIR> d-------- C:\Firstload
2008-02-26 21:38 . 2008-02-26 21:38 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\Verimount
2008-02-26 21:37 . 2008-02-26 21:37 <DIR> d-------- C:\Programme\Verimount
2008-02-25 16:51 . 2008-02-25 16:51 <DIR> d-------- C:\DG_Mangos_v5.4_PSDB_X7
2008-02-25 16:50 . 2008-02-25 16:50 <DIR> d-------- C:\Programme\PremiumSoft
2008-02-25 16:45 . 2008-02-25 16:45 <DIR> d-------- C:\Programme\MySQL
2008-02-25 16:28 . 2008-02-25 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\IDMComp
2008-02-25 16:27 . 2008-02-25 16:28 <DIR> d-------- C:\Programme\IDM Computer Solutions
2008-02-25 16:24 . 2008-02-29 22:12 <DIR> d-------- C:\Stick

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-30 13:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-29 12:46 --------- d-----w C:\Programme\microsoft frontpage
2008-03-03 08:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-02 14:08 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-21 21:37 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-02-20 21:51 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-02-20 21:51 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-02-20 21:49 --------- d-----w C:\Programme\Futuremark
2008-02-20 21:42 --------- d-----w C:\Programme\Avira
2008-02-20 21:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-20 21:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
2008-02-20 21:24 --------- d-----w C:\Programme\Realtek
2008-02-20 21:23 --------- d-----w C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\InstallShield
2008-02-20 21:21 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-02-20 21:20 --------- d-----w C:\Programme\Intel
2008-02-20 21:07 --------- d-----w C:\Programme\Online-Dienste
2008-02-20 21:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-22 23:03 91,472 ----a-w C:\WINDOWS\system32\Erasext.dll
2007-12-22 23:03 41,296 ----a-w C:\WINDOWS\system32\Eraserl.exe
2007-12-22 23:03 316,752 ----a-w C:\WINDOWS\system32\Eraser.dll
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-05 01:53 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 11:21 153136]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 15:54 486856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 10:08 16380416 C:\WINDOWS\RTHDCPL.exe]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-05-25 08:07 1953792]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2007-11-27 08:34 2189864]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-20 23:44 249896]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872]
"EasyTuneV"="C:\Programme\Gigabyte\ET5\ETcall.exe" [2007-08-14 15:10 20480]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SIA2006"="C:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" [2005-11-09 12:35 3063808]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Server4PC.lnk - C:\Programme\TechniSat DVB\bin\Server4PC.exe [2008-03-30 15:58:40 344064]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\sandra.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\RpcSandraSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\ASUS\\Wireless Router Utilities\\PRNWizard.exe"=
"C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"=
"C:\\Programme\\IDM Computer Solutions\\UltraEdit-32\\uedit32.exe"=
"C:\\DG_Mangos_v5.4_PSDB_X7\\DG_Mangos_v5.4_PSDB_X7\\Mangos Server 2.3.3\\realmd.exe"=
"C:\\DG_Mangos_v5.4_PSDB_X7\\DG_Mangos_v5.4_PSDB_X7\\Mangos Server 2.3.3\\mangosd.exe"=
"C:\\Programme\\Firstload\\firstload.exe"=

R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-02-21 23:37]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 23:35:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Secure Surfing Engine\sselsp.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\Unlocker\UnlockerHook.dll
.
Zeit der Fertigstellung: 2008-03-30 23:36:02
ComboFix-quarantined-files.txt 2008-03-30 21:35:54
25 Verzeichnis(se), 130,983,256,064 Bytes frei
28 Verzeichnis(se), 130,972,164,096 Bytes frei


Danke für deine Hilfe

#4 Hallo,
ich finde nichts... kommen auch Popups ?
Ich dachte an den Swizzor-Trojaner, aber es ist nichts davon zu sehen.
Scanne mit Panda-Online + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

habe panda online scan nicht zum laufen bekommen.
habe aber nun eine software gefunden die einen reg eintrag gefunden hat, weis aber nicht wie ich diesen entfernen kann, bzw ob dieser eine gefahr darstellt.
Hier der log eintrag:

Sophos Anti-Rootkit Version 1.3.1 (data 1.08) (c) 2006 Sophos Plc
Started logging on 30.04.2008 at 20:57:15
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Stopped logging on 30.04.2008 at 20:58:20

Danke

joka312

nachtrag: habe vergessen, wenn ich pc neustarte ist kein ie explorer im taskmanager.
dieser verschwindet nur nicht wenn ich einen ie explorer schließe!
wenn ich das dann öfters mache, bin ich draufgekommen, werden die ie einträge im taskmanager immer mehr und sind eben auch dann vorhanden, wenn kein ie-fenster mehr angezeigt wird.

#6 Hallo,

«
scanne mit AVZ Antiviral Toolkit + poste den report hier
http://virus-protect.org/artikel/tools/avz.html

«
wende windowsscan an + poste das log
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo, habe diese logs erhalten und auch neuere panda version hat jetzt funktioniert:

AVZ:
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 01.05.2008 08:00:25
Database loaded: signatures - 162051, NN profile(s) - 2, microprograms of healing - 55, signature database released 30.04.2008 08:56
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70774
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=0846E0)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Function NtCreateKey (29) intercepted (806222D2->BA6A80E0), hook spnz.sys
Function NtCreateThread (35) intercepted (805CFA78->BAF626BC), hook not defined
Function NtEnumerateKey (47) intercepted (80622B12->BA6C6CA2), hook spnz.sys
Function NtEnumerateValueKey (49) intercepted (80622D7C->BA6C7030), hook spnz.sys
Function NtOpenKey (77) intercepted (80623668->BA6A80C0), hook spnz.sys
Function NtOpenProcess (7A) intercepted (805C9EBA->BAF626A8), hook not defined
Function NtOpenThread (80) intercepted (805CA146->BAF626AD), hook not defined
Function NtQueryKey (A0) intercepted (8062398C->BA6C7108), hook spnz.sys
Function NtQueryValueKey (B1) intercepted (8062038C->BA6C6F88), hook spnz.sys
Function NtSetValueKey (F7) intercepted (80620992->BA6C719A), hook spnz.sys
Function NtTerminateProcess (101) intercepted (805D13E4->BAF626B7), hook not defined
Function NtWriteVirtualMemory (115) intercepted (805B2F52->BAF626B2), hook not defined
Functions checked: 284, intercepted: 12, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89DE01F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 89DE01F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_CREATE] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_CLOSE] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_WRITE] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_SET_EA] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 892091F8 -> hook not defined
\FileSystem\FastFat[IRP_MJ_PNP] = 892091F8 -> hook not defined
Checking - complete
2. Scanning memory
Number of processes found: 40
Number of modules loaded: 402
Scanning memory - complete
3. Scanning disks
C:\Programme\World of Warcraft\DG - Maps.exe >>> suspicion for AdvWare.Win32.Vapsup.awd ( 00598C3C 08CD5FC5 00263BFD 00195D68 155648)
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> Service termination timeout is out of admissible values
Checking - complete
Files scanned: 160290, extracted from archives: 129806, malicious software found 0, suspicions - 1
Scanning finished at 01.05.2008 08:09:09
Time of scanning: 00:08:44
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Windows scan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

01.05.2008 DFC.INI 08 20:558
30.04.2008 0.log 22 55:0
30.04.2008 WindowsUpdate.log 22 55:732.086
30.04.2008 wiadebug.log 22 55:157
30.04.2008 wiaservc.log 22 55:50
30.04.2008 bootstat.dat 22 54:2.048
30.04.2008 setupapi.log 22 23:40.562
30.04.2008 gmer_uninstall.cmd 21 55:80
30.04.2008 gmer.dll 21 55:819.200
28.04.2008 pos.ini 22 04:722
27.04.2008 NeroDigital.ini 08 46:69
25.04.2008 ODBC.INI 21 27:603
23.04.2008 wincmd.ini 21 45:559
23.04.2008 Thumbs.db 21 44:7.680
23.04.2008 wcx_ftp.ini 21 43:149
18.04.2008 system32CmdLineExt.dll 21 41:98.304
18.04.2008 ST6UNST.003 17 54:343
18.04.2008 ST6UNST.EXE 17 54:74.752
18.04.2008 ST6UNST.002 17 54:343
18.04.2008 ST6UNST.001 17 43:343
30.03.2008 system.ini 23 35:227
30.03.2008 Sti_Trace.log 17 02:0
25.03.2008 win.ini 00 02:624
03.03.2008 gmer.exe 20 29:761.856
03.03.2008 ST6UNST.000 17 27:1.573
02.03.2008 Dbox2db.CAB 11 10:3.076.123
23.02.2008 EventSystem.log 00 06:9.808


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

30.04.2008 perfh009.dat 23 00:404.778
30.04.2008 perfh007.dat 23 00:420.976
30.04.2008 perfc009.dat 23 00:63.998
30.04.2008 perfc007.dat 23 00:76.934
30.04.2008 PerfStringBackup.INI 23 00:974.848
29.04.2008 wpa.dbl 20 26:2.206
20.04.2008 mlfcache.dat 09 28:42.816
07.04.2008 FNTCACHE.DAT 10 49:199.344
06.04.2008 jupdate-1.6.0_05-b13.log 09 30:6.583
01.04.2008 Uninstall.ico 23 08:2.550
01.04.2008 Help.ico 23 08:1.406
01.04.2008 pavas.ico 23 08:30.590
31.03.2008 PnkBstrB.exe 22 11:103.736
03.03.2008 lsdelete.exe 10 55:12.632
25.02.2008 jupdate-1.6.0_03-b05.log 00 05:5.686
22.02.2008 javaws.exe 02 33:139.264
22.02.2008 javacpl.cpl 02 33:69.632
22.02.2008 javaw.exe 01 23:135.168
22.02.2008 java.exe 01 23:135.168
21.02.2008 pbsvc.exe 01 05:669.184
21.02.2008 EUupdate.installed 00 24:3
21.02.2008 amcompat.tlb 00 24:16.832
21.02.2008 nscompat.tlb 00 24:23.392
21.02.2008 TZLog.log 00 15:3.530
21.02.2008 vbrun60sp6.installed 00 13:3
21.02.2008 Wordpad-Converter-ZLib-update.installed 00 10:3
20.02.2008 wrap_oal.dll 23 51:262.144
20.02.2008 OpenAL32.dll 23 51:86.016
20.02.2008 nvapps.xml 23 45:165.473
20.02.2008 BuzzingBee.wav 23 23:146.650
20.02.2008 LoopyMusic.wav 23 23:940.794
20.02.2008 $winnt$.inf 23 14:977
20.02.2008 CONFIG.NT 23 08:2.951
20.02.2008 logonui.exe.manifest 23 08:488
20.02.2008 WindowsLogon.manifest 23 08:488
20.02.2008 nwc.cpl.manifest 23 08:749
20.02.2008 cdplayer.exe.manifest 23 08:749
20.02.2008 sapi.cpl.manifest 23 08:749
20.02.2008 ncpa.cpl.manifest 23 08:749
20.02.2008 wuaucpl.cpl.manifest 23 08:749
20.02.2008 emptyregdb.dat 23 06:21.740
20.02.2008 h323log.txt 23 04:0
04.02.2008 MRT.exe 16 09:18.214.008
11.01.2008 pngfilt.dll 07 32:44.544
23.12.2007 Erasext.dll 01 03:91.472
23.12.2007 Eraser.dll 01 03:316.752
23.12.2007 Eraserl.exe 01 03:41.296


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.255.255.255 serial.alcohol-soft.com


***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 240 K
smss.exe 1440 Console 0 416 K
csrss.exe 1496 Console 0 5.152 K
winlogon.exe 1524 Console 0 4.940 K
services.exe 1568 Console 0 3.588 K
lsass.exe 1580 Console 0 2.300 K
svchost.exe 1764 Console 0 5.032 K
svchost.exe 1844 Console 0 4.748 K
svchost.exe 272 Console 0 24.640 K
svchost.exe 772 Console 0 3.824 K
svchost.exe 960 Console 0 5.088 K
aawservice.exe 1228 Console 0 1.616 K
spoolsv.exe 1752 Console 0 6.924 K
avguard.exe 1904 Console 0 1.740 K
sched.exe 908 Console 0 892 K
mysqld-nt.exe 980 Console 0 52.648 K
NBService.exe 1020 Console 0 5.988 K
nvsvc32.exe 1172 Console 0 4.400 K
PnkBstrA.exe 1196 Console 0 3.044 K
svchost.exe 1284 Console 0 4.392 K
alg.exe 1420 Console 0 4.052 K
explorer.exe 1828 Console 0 40.040 K
RTHDCPL.exe 2096 Console 0 23.428 K
TBPanel.exe 2340 Console 0 5.568 K
avgnt.exe 2436 Console 0 1.496 K
rundll32.exe 2488 Console 0 3.700 K
UnlockerAssistant.exe 2500 Console 0 2.592 K
jusched.exe 2592 Console 0 2.656 K
Acrotray.exe 2696 Console 0 9.360 K
ctfmon.exe 2872 Console 0 3.496 K
TeaTimer.exe 3012 Console 0 40.056 K
daemon.exe 3180 Console 0 8.336 K
Server4PC.exe 2428 Console 0 12.796 K
AP Launch.exe 2248 Console 0 3.856 K
Server4PC.exe 692 Console 0 13.168 K
FNPLicensingService.exe 2276 Console 0 2.692 K
iexplore.exe 1060 Console 0 137.752 K
sseagent.exe 4000 Console 0 3.708 K
iexplore.exe 1128 Console 0 38.252 K
wscntfy.exe 3296 Console 0 2.576 K
cmd.exe 3656 Console 0 2.052 K
tasklist.exe 828 Console 0 4.652 K
wmiprvse.exe 520 Console 0 5.860 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 01.05.2008 um 8:21:38,51 ***


Panda:
;************************************
ANALYSIS: 2008-05-01 07:53:46
PROTECTIONS: 1
MALWARE: 16
SUSPECTS: 0


PROTECTIONS
Description Version Active Updated


MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location

Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@atdmt[1].txt
00139535 Application/Processor HackTools No 0 Yes No C:\HaxFix\process.exe
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@tradedoubler[1].txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@fastclick[2].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@tribalfusion[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@mediaplex[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@adverserve[2].txt
00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@toplist[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@apmebf[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@bs.serving-sys[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@adtech[1].txt
00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@fe.lea.lycos[1].txt
00171633 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Josy\Cookies\josy@www5.addfreestats[2].txt
01176994 Bck/VB.XB Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\Josy\Desktop\ComboFix.exe[327882R2FWJFW\NirCmdC.cfexe]

SUSPECTS
Sent Location

VULNERABILITIES
Id Severity Description

184380 MEDIUM MS08-002
184379 MEDIUM MS08-001
182046 HIGH MS07-067
182043 HIGH MS07-064

Danke für die Hilfe und schöne Grüße

Joka312

#8 hallo,
scanne mit sdfix im abgesicherten modus - poste dann hier nach Neustart den Report
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo,

das sieht dann so aus:


SDFix: Version 1.177
Run by Administrator on 01.05.2008 at 16:27

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-01 16:39:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:e8,d4,35,b0,f2,38,2b,99,ec,7c,b4,75,5c,19,f8,49,61,27,99,e9,01,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:95,f6,c6,09,55,92,14,e7,59,73,f7,d5,b1,04,d2,dc,1c,2f,e3,d6,29,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:0f,28,45,69,2b,29,d0,d9,6b,ae,0d,26,af,4f,47,f0,31,42,cd,b7,27,..
"a0"=hex:20,01,00,00,ca,e0,42,d5,92,51,b4,2b,96,11,8a,ca,ba,2e,d3,92,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:03,2e,b3,e1,b8,ef,36,ca,a5,74,e5,08,3f,16,a3,a3,d0,9c,70,53,81,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:e8,d4,35,b0,f2,38,2b,99,ec,7c,b4,75,5c,19,f8,49,61,27,99,e9,01,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:95,f6,c6,09,55,92,14,e7,59,73,f7,d5,b1,04,d2,dc,1c,2f,e3,d6,29,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:0f,28,45,69,2b,29,d0,d9,6b,ae,0d,26,af,4f,47,f0,31,42,cd,b7,27,..
"a0"=hex:20,01,00,00,ca,e0,42,d5,92,51,b4,2b,96,11,8a,ca,ba,2e,d3,92,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:03,2e,b3,e1,b8,ef,36,ca,a5,74,e5,08,3f,16,a3,a3,d0,9c,70,53,81,..

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D405419E-67D2-C1DC-81F2-442D2ECC82A3}]
"falgbgfcfdgl"=hex:6f,62,70,66,69,66,6b,6c,6c,62,70,66,65,63,61,70,69,6d,62,70,64,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:EnablednkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:EnablednkBstrB"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\sandra.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\sandra.exe:*:Enabled:SiSoftware Sandra Pro Home"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Pro Home"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\Win32\\RpcDataSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\Win32\\RpcDataSrv.exe:*:Enabled:SiSoftware Sandra Pro Home"
"C:\\Programme\\ASUS\\Wireless Router Utilities\\PRNWizard.exe"="C:\\Programme\\ASUS\\Wireless Router Utilities\\PRNWizard.exe:*:Enabled:ASUS Printer Wizard Application"
"C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"="C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe:*:Enabled:gwflash"
"C:\\Programme\\IDM Computer Solutions\\UltraEdit-32\\uedit32.exe"="C:\\Programme\\IDM Computer Solutions\\UltraEdit-32\\uedit32.exe:*:Enabled:UltraEdit-32 Professional Text/Hex Editor"
"C:\\DG_Mangos_v5.4_PSDB_X7\\DG_Mangos_v5.4_PSDB_X7\\Mangos Server 2.3.3\\realmd.exe"="C:\\DG_Mangos_v5.4_PSDB_X7\\DG_Mangos_v5.4_PSDB_X7\\Mangos Server 2.3.3\\realmd.exe:*:Enabled:realmd"
"C:\\DG_Mangos_v5.4_PSDB_X7\\DG_Mangos_v5.4_PSDB_X7\\Mangos Server 2.3.3\\mangosd.exe"="C:\\DG_Mangos_v5.4_PSDB_X7\\DG_Mangos_v5.4_PSDB_X7\\Mangos Server 2.3.3\\mangosd.exe:*:Enabled:mangosd"
"C:\\Programme\\Firstload\\firstload.exe"="C:\\Programme\\Firstload\\firstload.exe:*:Enabled:firstload"
"C:\\Sat\\Dbox2\\dboxwinsvr.exe"="C:\\Sat\\Dbox2\\dboxwinsvr.exe:*:Enabled:dboxwinsvr"
"C:\\Sat\\Dbox2\\Dbox winserver\\dboxwinsvr.exe"="C:\\Sat\\Dbox2\\Dbox winserver\\dboxwinsvr.exe:*:Enabled:dboxwinsvr"
"C:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"
"C:\\Dokumente und Einstellungen\\Josy\\Lokale Einstellungen\\Temp\\Rar$EX00.328\\IPSetup.exe"="C:\\Dokumente und Einstellungen\\Josy\\Lokale Einstellungen\\Temp\\Rar$EX00.328\\IPSetup.exe:*:Enabled:IPSetup"
"C:\\totalcmd\\TOTALCMD.EXE"="C:\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\sandra.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\sandra.exe:*:Enabled:SiSoftware Sandra Pro Home"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Pro Home"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\Win32\\RpcDataSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Pro Home 2007.SP1\\Win32\\RpcDataSrv.exe:*:Enabled:SiSoftware Sandra Pro Home"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 20 Apr 2008 6,104,632 A..H. --- "C:\Programme\Picasa2\setup.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 27 Apr 2008 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 20 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1465040073c1369a804d4781c6028d16\BIT9.tmp"
Fri 22 Feb 2008 1,123,880 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\44e979936d19a4e833746e7d6f8e194d\BIT62.tmp"
Wed 20 Feb 2008 616,688 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\646a106ea1b5512a6b99c54dde4ab86a\BITC.tmp"
Wed 20 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\965222022b8748e4a3a02d1faa748a3c\BIT4.tmp"
Wed 20 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a2227fef651bfa21a0191cb3e04d7c4e\BITA.tmp"
Wed 20 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d264ad84fd134f0fc34873d6bdf222f6\BITD.tmp"
Wed 20 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\da14bb0847bdcfe4ac5504c842552241\BIT8.tmp"
Wed 20 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fe76c2d490a6529c824567e30bfbab08\BIT6.tmp"
Fri 25 Apr 2008 165,232 A..H. --- "C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll"
Fri 18 Apr 2008 444 ...HR --- "C:\Dokumente und Einstellungen\Josy\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!



danke

#10 ich bin mir nicht sicher, aber eventuell kommen die Probleme vom C:\Programme\Alcohol Soft
deaktiviere das mal, dann berichte, wie es läuft.

was ist das ???
C:\\Dokumente und Einstellungen\\Josy\\Lokale Einstellungen\\Temp\\Rar$EX00.328\\IPSetup.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo,

habe nun Alcohol deinstalliert und diesen temp ordner geleert.
dann Rechner neu gestartet, hatt aber an meinem Problem nichts geändert.

danke nochmals für deine hilfe.

joka312

#12 Hallo,

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\HideWin.exe

C:\WINDOWS\gdrv.sys


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

--------------------------------------------------------------

2.
deinstalliere
2008-02-29 22:03 . 2008-02-29 22:03 <DIR> d-------- C:\Programme\Steganos Internet Anonym 2006
2008-02-29 22:03 . 2008-02-29 22:03 <DIR> d-------- C:\Programme\Secure Surfing Engine

3.
wende completbat an + poste das log
http://virus-protect.org/completbat.html

4.
wende gmer an + poste den kompletten report
http://virus-protect.org/artikel/tools/gmer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Edit:

Hallo,

ich glaube Du hast mein Problem gelöst, es war die Steganos Software!
Werde weiter testen, aber seit der deinstallation, läuft kein IE nach dem
schließen weiter.
Gebe in ein paar Tagen bescheid ob alles läuft.

1000 Dank

Joka312



Zu 1:
Hidewin;

MD5: 2d65f8db74c36819896cf809e4375f0a
First received: 2007.04.06 16:36:22 (CET)
Datum 2008.05.02 01:18:46 (CET) [<1D]
Ergebnisse 0/31
Permalink: analisis/0bf8724920db4e428fe2fd55bccf2b72

gdrv;

MD5: 54789f9ba0d59072cdd4e7c200e122c4
First received: -
Datum 2008.02.26 15:47:02 (CET) [>66D]
Ergebnisse 0/32
Permalink: analisis/cecd24d2ec510b85839a8773b5104584

zu3:

Hallo;

zu Nr.:3

DC.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9451-5D71

Verzeichnis von C:\

20.02.2008 23:08 0 AUTOEXEC.BAT
30.04.2008 22:54 2.214 avenger.txt
20.02.2008 23:04 211 boot.ini
23.08.2001 14:00 4.952 bootfont.bin
01.05.2008 17:10 40.413 ComboFix.txt
20.02.2008 23:08 0 CONFIG.SYS
20.02.2008 23:24 143 csb.log
02.05.2008 18:04 0 DC.txt
20.03.2008 22:10 122.413 dirdat.txt
02.05.2008 18:03 281 DP.txt
23.02.2008 20:23 14.726 drwtsn32.log
02.05.2008 18:04 110.018 DSYS32.txt
02.05.2008 18:04 1.773 Dsystemp.txt
02.05.2008 18:03 11.077 DW.txt
01.05.2008 17:18 234 gromozon_removal.log
20.02.2008 23:08 0 IO.SYS
20.02.2008 23:08 0 MSDOS.SYS
25.04.2008 23:11 7.385.910.272 Neuer virtueller Computer3 Hard Disk.vhd
03.08.2004 23:38 47.564 NTDETECT.COM
03.08.2004 23:59 251.184 ntldr
02.05.2008 18:03 2.190 OC.txt
02.05.2008 18:03 4.672 OP.txt
02.05.2008 18:04 8.035 OW.txt
02.05.2008 17:39 2.145.386.496 pagefile.sys
24.03.2008 12:18 48 plug_in.ini
02.05.2008 18:04 121 prefetch.txt
30.03.2008 16:17 33 ProgDVB.ini
20.02.2008 23:22 419 RHDSetup.log
30.03.2008 16:13 209.715.200 timeshift.dat_0
29 Datei(en) 9.741.634.689 Bytes
0 Verzeichnis(se), 113.062.121.472 Bytes frei

DP.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9451-5D71

Verzeichnis von C:\Programme

24.05.2000 19:43 37.888 DAMN_NFOViewer.exe
1 Datei(en) 37.888 Bytes
0 Verzeichnis(se), 113.062.264.832 Bytes frei

DSYS32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9451-5D71

Verzeichnis von C:\WINDOWS\system32

02.05.2008 17:43 404.778 perfh009.dat
02.05.2008 17:43 420.976 perfh007.dat
02.05.2008 17:43 63.998 perfc009.dat
02.05.2008 17:43 76.934 perfc007.dat
02.05.2008 17:43 974.848 PerfStringBackup.INI
29.04.2008 20:26 2.206 wpa.dbl
20.04.2008 09:28 42.816 mlfcache.dat
07.04.2008 10:49 199.344 FNTCACHE.DAT
06.04.2008 09:30 6.583 jupdate-1.6.0_05-b13.log
01.04.2008 23:08 2.550 Uninstall.ico
01.04.2008 23:08 1.406 Help.ico
01.04.2008 23:08 30.590 pavas.ico
31.03.2008 22:11 103.736 PnkBstrB.exe
03.03.2008 10:55 12.632 lsdelete.exe
25.02.2008 00:05 5.686 jupdate-1.6.0_03-b05.log
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe
21.02.2008 01:05 669.184 pbsvc.exe
21.02.2008 00:24 3 EUupdate.installed
21.02.2008 00:24 23.392 nscompat.tlb
21.02.2008 00:24 16.832 amcompat.tlb
21.02.2008 00:15 3.530 TZLog.log
21.02.2008 00:13 3 vbrun60sp6.installed
21.02.2008 00:10 3 Wordpad-Converter-ZLib-update.installed
20.02.2008 23:51 262.144 wrap_oal.dll
20.02.2008 23:51 86.016 OpenAL32.dll
20.02.2008 23:45 165.473 nvapps.xml
20.02.2008 23:23 146.650 BuzzingBee.wav
20.02.2008 23:23 940.794 LoopyMusic.wav
20.02.2008 23:14 977 $winnt$.inf
20.02.2008 23:08 2.951 CONFIG.NT
20.02.2008 23:08 488 WindowsLogon.manifest
20.02.2008 23:08 488 logonui.exe.manifest
20.02.2008 23:08 749 cdplayer.exe.manifest
20.02.2008 23:08 749 ncpa.cpl.manifest
20.02.2008 23:08 749 wuaucpl.cpl.manifest
20.02.2008 23:08 749 nwc.cpl.manifest
20.02.2008 23:08 749 sapi.cpl.manifest
20.02.2008 23:06 21.740 emptyregdb.dat
20.02.2008 23:04 0 h323log.txt
04.02.2008 16:09 18.214.008 MRT.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9451-5D71

Verzeichnis von C:\DOKUME~1\Josy\LOKALE~1\Temp

02.05.2008 17:58 16.384 Perflib_Perfdata_860.dat
02.05.2008 17:47 510 jusched.log
02.05.2008 17:42 0 JET9D1C.tmp
02.05.2008 17:42 0 JET5.tmp
02.05.2008 17:42 0 JET4.tmp
02.05.2008 17:42 0 JET8BC6.tmp
01.05.2008 20:52 22.253 Turkish.bin
01.05.2008 20:52 21.964 Norwegian.bin
01.05.2008 20:52 26.080 Hungarian.bin
01.05.2008 20:52 19.553 Hebrew.bin
01.05.2008 20:52 22.857 Finnish.bin
01.05.2008 20:52 24.312 Czech.bin
01.05.2008 20:52 25.071 Portuguese(Brazil).bin
01.05.2008 20:52 24.221 Polish.bin
01.05.2008 20:52 25.082 Greek.bin
01.05.2008 20:52 21.976 Thai.bin
01.05.2008 20:52 20.972 Arabic.bin
01.05.2008 20:52 16.408 SimChin.bin
01.05.2008 20:52 21.933 English.bin
01.05.2008 20:52 26.260 Portuguese.bin
01.05.2008 20:52 24.082 SWEDISH.bin
01.05.2008 20:52 27.753 Spanish.bin
01.05.2008 20:52 26.126 Russian.bin
01.05.2008 20:52 27.410 Italian.bin
01.05.2008 20:52 25.753 German.bin
01.05.2008 20:52 27.235 French.bin
01.05.2008 20:52 16.949 TradChin.bin
01.05.2008 20:52 25.747 Dutch.bin
01.05.2008 20:52 22.783 Danish.bin
01.05.2008 20:52 20.135 Korean.bin
01.05.2008 20:52 24.297 Japanese.bin
31 Datei(en) 604.106 Bytes
0 Verzeichnis(se), 113.062.121.472 Bytes frei


DW.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9451-5D71

Verzeichnis von C:\WINDOWS

02.05.2008 18:01 558 DFC.INI
02.05.2008 17:59 797.262 WindowsUpdate.log
02.05.2008 17:40 0 0.log
02.05.2008 17:39 157 wiadebug.log
02.05.2008 17:39 50 wiaservc.log
02.05.2008 17:39 2.048 bootstat.dat
01.05.2008 21:23 69 NeroDigital.ini
01.05.2008 20:44 40.788 setupapi.log
01.05.2008 17:10 227 system.ini
01.05.2008 16:53 365.142 ntbtlog.txt
30.04.2008 21:55 80 gmer_uninstall.cmd
30.04.2008 21:55 819.200 gmer.dll
28.04.2008 22:04 722 pos.ini
25.04.2008 21:27 603 ODBC.INI
23.04.2008 21:45 559 wincmd.ini
23.04.2008 21:44 7.680 Thumbs.db
23.04.2008 21:43 149 wcx_ftp.ini
18.04.2008 21:41 98.304 system32CmdLineExt.dll
18.04.2008 17:54 343 ST6UNST.003
18.04.2008 17:54 74.752 ST6UNST.EXE
18.04.2008 17:54 343 ST6UNST.002
18.04.2008 17:43 343 ST6UNST.001
30.03.2008 17:02 0 Sti_Trace.log
25.03.2008 00:02 624 win.ini
03.03.2008 20:29 761.856 gmer.exe
03.03.2008 17:27 1.573 ST6UNST.000
02.03.2008 11:10 3.076.123 Dbox2db.CAB
23.02.2008 00:06 9.808 EventSystem.log
21.02.2008 23:37 15.600 gdrv.sys
21.02.2008 20:34 10.776 spupdsvc.log
21.02.2008 00:31 25.776 KB939653-IE7.log
21.02.2008 00:30 22.046 KB938127-IE7.log
21.02.2008 00:30 24.459 KB937143-IE7.log
21.02.2008 00:29 292.660 msxml4-KB936181-deu.LOG
21.02.2008 00:26 12.758 KB928090-IE7.log

OP.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9451-5D71

Verzeichnis von C:\Programme

02.05.2008 17:59 <DIR> .
02.05.2008 17:59 <DIR> ..
23.02.2008 20:49 <DIR> ABC Amber Audio Converter
06.04.2008 10:46 <DIR> Adobe
06.04.2008 10:32 <DIR> Alcohol Soft
21.02.2008 22:59 <DIR> ASUS
20.02.2008 23:42 <DIR> Avira
01.03.2008 18:50 <DIR> Bagusoft Password Safe 3
24.03.2008 21:42 <DIR> Biet-O-Matic
21.02.2008 22:58 <DIR> CanonBJ
26.04.2008 21:46 <DIR> CommView
20.02.2008 23:06 <DIR> ComPlus Applications
24.03.2008 09:39 <DIR> Convar
18.04.2008 16:48 <DIR> DAEMON Tools Lite
12.04.2008 21:50 <DIR> Dbox2 Bootmanager
28.03.2008 01:26 <DIR> Digital Image Recovery
30.03.2008 15:58 <DIR> DVBViewerTE
30.03.2008 17:22 <DIR> Elecard
18.04.2008 21:35 <DIR> Electronic Arts
29.04.2008 03:29 <DIR> eMule
30.04.2008 21:49 <DIR> Enigma Software Group
07.03.2008 01:22 <DIR> Eraser
09.03.2008 20:57 <DIR> FileZilla
06.03.2008 00:17 <DIR> Firstload
24.04.2008 22:21 <DIR> Flobo Hard Disk Repair
09.03.2008 11:33 <DIR> foobar2000
20.02.2008 23:49 <DIR> Futuremark
29.04.2008 20:48 <DIR> Gemeinsame Dateien
23.02.2008 20:19 <DIR> GIGABYTE
03.03.2008 11:24 <DIR> Google
30.04.2008 23:00 <DIR> Hijackthis
25.02.2008 16:28 <DIR> IDM Computer Solutions
20.03.2008 21:37 <DIR> Idoswin Pro
30.03.2008 15:58 <DIR> InstallShield Installation Information
20.02.2008 23:20 <DIR> Intel
25.02.2008 16:43 <DIR> Internet Explorer
06.04.2008 09:30 <DIR> Java
03.03.2008 11:08 <DIR> Lavasoft
02.03.2008 16:09 <DIR> Macromedia
23.02.2008 18:23 <DIR> Messenger
29.03.2008 14:46 <DIR> microsoft frontpage
22.02.2008 22:28 <DIR> Microsoft Office
24.04.2008 20:36 <DIR> Microsoft Virtual PC
02.03.2008 15:04 <DIR> Microsoft Visual Studio
02.03.2008 15:04 <DIR> Microsoft Works
22.02.2008 22:28 <DIR> Microsoft.NET
20.02.2008 23:07 <DIR> Movie Maker
20.03.2008 22:20 <DIR> Mp3tag
07.03.2008 00:19 <DIR> mpegjoin
30.03.2008 15:47 <DIR> MSI
20.02.2008 23:05 <DIR> MSN
20.02.2008 23:05 <DIR> MSN Gaming Zone
21.02.2008 00:29 <DIR> MSXML 4.0
21.02.2008 00:29 <DIR> MSXML 6.0
25.02.2008 16:45 <DIR> MySQL
29.04.2008 20:48 <DIR> Nero
20.02.2008 23:07 <DIR> NetMeeting
20.02.2008 23:06 <DIR> Online Services
20.02.2008 23:07 <DIR> Online-Dienste
21.02.2008 00:28 <DIR> Outlook Express
30.04.2008 22:23 <DIR> Panda Security
24.02.2008 23:18 <DIR> PC Inspector File Recovery
20.04.2008 08:57 <DIR> Picasa2
25.02.2008 16:50 <DIR> PremiumSoft
01.05.2008 21:04 <DIR> QuickPar
20.02.2008 23:24 <DIR> Realtek
24.04.2008 20:10 <DIR> SBS Development
21.02.2008 22:47 <DIR> SiSoftware
30.04.2008 20:42 <DIR> Sophos
25.03.2008 22:21 <DIR> Spybot - Search & Destroy
03.03.2008 10:43 <DIR> Steam
30.04.2008 22:17 <DIR> SUPERAntiSpyware
30.03.2008 15:58 <DIR> TechniSat DVB
20.04.2008 09:36 <DIR> Tools&More
20.02.2008 23:17 <DIR> Uninstall Information
18.03.2008 03:56 <DIR> Unlocker
29.02.2008 23:04 <DIR> VideoLAN
24.03.2008 12:06 <DIR> VirtualDJ
29.02.2008 22:08 <DIR> Winamp
21.02.2008 00:24 <DIR> Windows Media Connect 2
21.02.2008 00:24 <DIR> Windows Media Player
20.02.2008 23:05 <DIR> Windows NT
20.02.2008 23:07 <DIR> WindowsUpdate
21.02.2008 00:57 <DIR> WinRAR
01.05.2008 18:29 <DIR> World of Warcraft
24.04.2008 20:12 <DIR> www.MSDE.BIZ
20.02.2008 23:13 <DIR> xerox
18.04.2008 18:11 <DIR> XMediaGrabber
23.02.2008 18:20 <DIR> xp-AntiSpy
0 Datei(en) 0 Bytes
89 Verzeichnis(se), 113.062.256.640 Bytes frei


OW.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9451-5D71

Verzeichnis von C:\WINDOWS

20.02.2008 23:55 <DIR> addins
20.02.2008 23:33 <DIR> AppPatch
02.03.2008 15:04 <DIR> assembly
20.02.2008 23:55 <DIR> Config
20.02.2008 23:55 <DIR> Connection Wizard
20.02.2008 23:05 <DIR> Cursors
29.02.2008 22:06 <DIR> Debug
20.04.2008 09:35 <DIR> Downloaded Installations
30.04.2008 22:22 <DIR> Downloaded Program Files
20.02.2008 23:55 <DIR> Driver Cache
21.02.2008 00:00 <DIR> ehome
30.03.2008 23:33 <DIR> erdnt
01.05.2008 16:24 <DIR> ERUNT
06.04.2008 10:46 <DIR> Fonts
01.03.2008 21:54 <DIR> Help
21.02.2008 00:19 <DIR> ie7
21.02.2008 00:26 <DIR> ie7updates
20.02.2008 23:13 <DIR> ime
30.04.2008 22:23 <DIR> inf
02.05.2008 17:59 <DIR> Installer
20.02.2008 23:55 <DIR> java
31.03.2008 11:11 <DIR> Media
25.02.2008 16:56 <DIR> Microsoft.NET
20.02.2008 23:33 <DIR> msagent
29.03.2008 14:46 <DIR> msapps
20.02.2008 23:55 <DIR> mui
21.02.2008 00:17 <DIR> network diagnostic
20.02.2008 23:46 <DIR> NV23841780.TMP
20.02.2008 23:46 <DIR> nview
29.02.2008 22:08 <DIR> Offline Web Pages
20.02.2008 23:24 <DIR> OPTIONS
22.02.2008 22:28 <DIR> pchealth
21.02.2008 00:00 <DIR> PeerNet
29.02.2008 22:07 <DIR> Prefetch
20.02.2008 23:55 <DIR> Provisioning
20.02.2008 23:24 <DIR> RaidTool
21.02.2008 00:23 <DIR> RegisteredPackages
03.03.2008 10:58 <DIR> Registration
20.02.2008 23:55 <DIR> repair
20.02.2008 23:55 <DIR> Resources
20.02.2008 23:57 <DIR> security
21.02.2008 00:06 <DIR> ServicePackFiles
22.02.2008 22:29 <DIR> SHELLNEW
22.02.2008 22:31 <DIR> SoftwareDistribution
20.02.2008 23:07 <DIR> srchasst
28.02.2008 22:07 <DIR> Sun
24.04.2008 20:04 <DIR> system
02.05.2008 17:43 <DIR> system32
20.02.2008 23:16 <DIR> Tasks
02.05.2008 17:42 <DIR> Temp
21.02.2008 22:58 <DIR> twain_32
20.02.2008 23:32 <DIR> UI
21.02.2008 00:19 <DIR> WBEM
20.02.2008 23:08 <DIR> Web
29.04.2008 20:50 <DIR> WinSxS
0 Datei(en) 0 Bytes
144 Verzeichnis(se), 113.062.236.160 Bytes frei


zu4.:

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-02 18:20:49
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT spci.sys ZwCreateKey [0xBA6A80E0]
SSDT BAFB23D4 ZwCreateThread
SSDT spci.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spci.sys ZwEnumerateValueKey [0xBA6C7030]
SSDT spci.sys ZwOpenKey [0xBA6A80C0]
SSDT BAFB23C0 ZwOpenProcess
SSDT BAFB23C5 ZwOpenThread
SSDT spci.sys ZwQueryKey [0xBA6C7108]
SSDT spci.sys ZwQueryValueKey [0xBA6C6F88]
SSDT spci.sys ZwSetValueKey [0xBA6C719A]
SSDT BAFB23CF ZwTerminateProcess
SSDT BAFB23CA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? spci.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B9D5580C 5 Bytes JMP 89C7D4E0
.text asrg0atx.SYS B9B96384 1 Byte [ 20 ]
.text asrg0atx.SYS B9B96386 35 Bytes [ 00, 68, 00, 00, 00, 00, 00, ... ]
.text asrg0atx.SYS B9B963AA 24 Bytes [ 00, 00, 20, 00, 00, E0, 00, ... ]
.text asrg0atx.SYS B9B963C4 3 Bytes [ 00, 00, 00 ]
.text asrg0atx.SYS B9B963C9 1 Byte [ 00 ]
.text ...

---- User code sections - GMER 1.0.14 ----

.text C:\WINDOWS\Explorer.EXE[1252] SHELL32.dll!SHFileOperationW 7E72067C 5 Bytes JMP 00DF1102 C:\Programme\Unlocker\UnlockerHook.dll

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spci.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spci.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spci.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spci.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spci.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spci.sys
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!KfRaiseIrql] 1879CE14
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!KfLowerIrql] 3248ED2B
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!HalGetInterruptVector] 3C43E022
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!READ_PORT_USHORT] F017AD88
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC
IAT \SystemRoot\System32\Drivers\asrg0atx.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89E511F8

AttachedDevice \Driver\Tcpip \Device\Ip ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)

Device \Driver\usbuhci \Device\USBPDO-0 89D3F500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89E531F8
Device \Driver\dmio \Device\DmControl\DmConfig 89E531F8
Device \Driver\dmio \Device\DmControl\DmPnP 89E531F8
Device \Driver\dmio \Device\DmControl\DmInfo 89E531F8
Device \Driver\usbuhci \Device\USBPDO-1 89D3F500
Device \Driver\usbuhci \Device\USBPDO-2 89D3F500
Device \Driver\PCI_PNP8766 \Device\00000053 spci.sys
Device \Driver\usbehci \Device\USBPDO-3 89C7E500
Device \Driver\usbuhci \Device\USBPDO-4 89D3F500

AttachedDevice \Driver\Tcpip \Device\Tcp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)

Device \Driver\usbuhci \Device\USBPDO-5 89D3F500
Device \Driver\usbuhci \Device\USBPDO-6 89D3F500
Device \Driver\Ftdisk \Device\HarddiskVolume1 89DE21F8
Device \Driver\usbehci \Device\USBPDO-7 89C7E500
Device \Driver\Ftdisk \Device\HarddiskVolume2 89DE21F8
Device \Driver\atapi \Device\Ide\IdePort0 89DE11F8
Device \Driver\atapi \Device\Ide\IdePort1 89DE11F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89DE11F8
Device \Driver\atapi \Device\Ide\IdePort2 89DE11F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89DE11F8
Device \Driver\atapi \Device\Ide\IdePort3 89DE11F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1b 89DE11F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89311398
Device \Driver\NetBT \Device\NetbiosSmb 89311398
Device \Driver\NetBT \Device\NetBT_Tcpip_{6EFA35B3-DDDF-4616-BFAF-51E4BFFD9586} 89311398
Device \Driver\sptd \Device\2622648766 spci.sys

AttachedDevice \Driver\Tcpip \Device\Udp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice \Driver\Tcpip \Device\RawIp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)

Device \Driver\NetBT \Device\NetBT_Tcpip_{C61A9C44-95EF-4C93-AC32-0B0BEF55A141} 89311398
Device \Driver\usbuhci \Device\USBFDO-0 89D3F500
Device \Driver\usbuhci \Device\USBFDO-1 89D3F500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 892EC1F8
Device \Driver\usbuhci \Device\USBFDO-2 89D3F500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 892EC1F8
Device \Driver\usbehci \Device\USBFDO-3 89C7E500
Device \Driver\NetBT \Device\NetBT_Tcpip_{BAADCC92-114A-4C19-8D7D-A56955212683} 89311398
Device \Driver\usbuhci \Device\USBFDO-4 89D3F500
Device \Driver\Ftdisk \Device\FtControl 89DE21F8
Device \Driver\usbuhci \Device\USBFDO-5 89D3F500
Device \Driver\usbuhci \Device\USBFDO-6 89D3F500
Device \Driver\usbehci \Device\USBFDO-7 89C7E500
Device \Driver\asrg0atx \Device\Scsi\asrg0atx1 89BC21F8
Device \Driver\asrg0atx \Device\Scsi\asrg0atx1Port5Path0Target0Lun0 89BC21F8
Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 89E521F8
Device \Driver\JRAID \Device\Scsi\JRAID1 89E521F8
Device \FileSystem\Cdfs \Cdfs 892BF1F8
---- Processes - GMER 1.0.14 ----

Library C:\Programme\Secure (*** hidden *** ) @ C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe [604] 0x17FC0000
Library C:\Programme\Secure (*** hidden *** ) @ C:\WINDOWS\System32\alg.exe [812] 0x10000000
Library C:\Programme\Secure (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [948] 0x10000000
Library C:\Programme\Secure (*** hidden *** ) @ C:\WINDOWS\system32\PnkBstrA.exe [1040] 0x10000000
Library C:\Programme\Secure (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [1572] 0x10000000
Library C:\Programme\Secure (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [1576] 0x01350000
Library C:\Programme\Secure (*** hidden *** ) @ C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [3128] 0x01740000

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x57 0x73 0xA1 0x31 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0xF6 0xC6 0x09 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x0F 0x28 0x45 0x69 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x03 0x2E 0xB3 0xE1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x57 0x73 0xA1 0x31 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0xF6 0xC6 0x09 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x0F 0x28 0x45 0x69 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x03 0x2E 0xB3 0xE1 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Electronic Arts\Need for Speed\x2122 ProStreet\
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Electronic Arts\Command & Conquer 3 Tiberium Wars\x2122\Kundendienst\
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Electronic Arts\Command & Conquer 3 Tiberium Wars\x2122\
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D405419E-67D2-C1DC-81F2-442D2ECC82A3}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D405419E-67D2-C1DC-81F2-442D2ECC82A3}@falgbgfcfdgl 0x6F 0x62 0x70 0x66 ...

---- EOF - GMER 1.0.14 ----


Danke für die Mühe

Joka312

#14 fein problem also ganz leicht gelöst...
ist nicht so einfach manchmal ...uff.....
Wenn noch was sein sollte, melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit

#15

Zitat

Sabina postete
fein problem also ganz leicht gelöst...
ist nicht so einfach manchmal ...uff.....
Wenn noch was sein sollte, melde dich.

Hallo,

danke nochmals.
Ja bin immer von Virus oder tgl. ausgegegangen.
Machmal ist das Einfache so nah nur will man es nicht wahrhaben.

Mfg

Joka312