System Alert/Spyware Alert! Die Systemmeldung geht nicht weg!

#0
13.05.2008, 12:19
...neu hier

Beiträge: 3
#1 Hallo!

bei meinem PC kommt dauernd die im Screenshot dargestellte Meldung und danach öffnen sich bis zu 30 Inet Explorer Fenster. Muss ich jetzt Angst haben das alle meine Kennwörter einem Hacker in die Hände gefallen sind und kann ich diese Meldung auch irgendwie löschen? Bitte gebt mir eine Antwort die auch für einen PC Anfänger verständlich sind. Manchmal kommt auch die Meldung Windows Security. Ich hab zwar keine Ahnung ob ihr das braucht aber ich hab mal diese Txt Datei mit dem HijackThis erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:52, on 13.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=369&client_id=5A81FE4001C7
AF5800876243&
version=4.5.3&it=1181917241&loc=&qry=&url=http://www.google.de/ (obfuscated)

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: Shell=explorer.exe,wtmwd.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O3 - Toolbar: Starware Musik Toolbar - {3a66f4e9-50da-4939-b459-2a5968ee5c6f} - C:\Programme\Starware369\bin\Starware369.dll (file missing)
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O3 - Toolbar: pvnsmfor - {C1F49C47-813A-479D-BDCF-4B9BF8B0B48E} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [24fb194e] rundll32.exe "C:\WINDOWS\system32\ddhqgwsn.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video ActiveX Access\imsmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Softwareprofi Database Engine\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\SOFTWA~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} (AldiActiveFormX Element) - https://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://uploadsoft.de/uploader/ImageUploader4.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.de/clients/uploader_v2.2.0.6.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: vbksrofa - {58AE7657-23AA-417D-96AF-6B35131A2DA2} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: mpfanvqg - {C88EACA4-2721-40BE-9BBE-F60EB47363A2} - C:\WINDOWS\mpfanvqg.dll
O22 - SharedTaskScheduler: crowsteps - {e1d3b05d-4dd9-468d-982e-c342f05436e5} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7033 bytes

Ich hoffe ihr könnt mir weiterhelfen!
Vielen Dank schon mal im Voraus!
MfG
Steffen338

Anhang: xyz.jpg
Seitenanfang Seitenende
13.05.2008, 12:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo steffen338

1.
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral.c/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=369&client_id=5A81
FE4001C7AF5800876243&version=4.5.3&it=1181917241&loc=&qry=&url=http://www.google.de/ (obfuscated)

O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)

O3 - Toolbar: Starware Musik Toolbar - {3a66f4e9-50da-4939-b459-2a5968ee5c6f} - C:\Programme\Starware369\bin\Starware369.dll (file missing)

O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)

O3 - Toolbar: pvnsmfor - {C1F49C47-813A-479D-BDCF-4B9BF8B0B48E} - C:\WINDOWS\pvnsmfor.dll

O4 - HKLM\..\Run: [24fb194e] rundll32.exe "C:\WINDOWS\system32\ddhqgwsn.dll",b

O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe

O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video ActiveX Access\imsmain.exe

O21 - SSODL: vbksrofa - {58AE7657-23AA-417D-96AF-6B35131A2DA2} - C:\WINDOWS\vbksrofa.dll

O21 - SSODL: mpfanvqg - {C88EACA4-2721-40BE-9BBE-F60EB47363A2} - C:\WINDOWS\mpfanvqg.dll

O22 - SharedTaskScheduler: crowsteps - {e1d3b05d-4dd9-468d-982e-c342f05436e5} - (no file)

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

3.
wende smitfraudfix an + Option 2 + poste den report hier
http://virus-protect.org/artikel/tools/smitfrautfix.html

4.
wende rvaxo im abgesicherten Modus an + poste hier den report
http://virus-protect.org/artikel/tools/rvaxo.html

5.
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

6.
wende Combofix an - Warnmeldung wegklicken + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2008, 14:46
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo!

habe gerade von smitfraudfix den log bekommen, ich hoffe ihr könnt damit etwas anfangen:

SmitFraudFix v2.320

Scan done at 14:00:13,81, 13.05.2008
Run from C:\Dokumente und Einstellungen\dieter\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost



»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
Error while deleting C:\WINDOWS\fvowketqpag.dll.
C:\WINDOWS\vbksrofa.dll deleted.
C:\WINDOWS\mpfanvqg.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\dieter\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\dieter\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\dieter\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Wireless-G PCI Adapter
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{858DF949-0265-4F71-B670-B8E8F03341B1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{858DF949-0265-4F71-B670-B8E8F03341B1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{60A84A76-7A74-4841-ABA7-11550E13EC4E}: NameServer=62.72.64.241,62.72.64.237
HKLM\SYSTEM\CS3\Services\Tcpip\..\{858DF949-0265-4F71-B670-B8E8F03341B1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{858DF949-0265-4F71-B670-B8E8F03341B1}: NameServer=62.72.64.241,62.72.64.237
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

MfG
steffen338
Seitenanfang Seitenende
13.05.2008, 15:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
wende rvaxo im abgesicherten Modus an + poste hier den report
http://virus-protect.org/artikel/tools/rvaxo.html

««
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

««
wende Combofix an - Warnmeldung wegklicken + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2008, 15:51
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo,


Leider klappt es mit dem Programm rvaxo nicht! Brauche ich dieses unbedingt?



so habe nun von ComboFix auch die LogDatei:

ComboFix 08-05-12.1 - dieter 2008-05-13 15:26:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.97 [GMT 2:00]ausgeführt von:: C:\Dokumente und Einstellungen\dieter\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\BrowserSearch\BrowserSearch.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\BrowserSearch\BrowserSearch.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Button_6\Button_6Options.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Button_6\Button_6Options.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Button_7\Button_7Options.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Button_7\Button_7Options.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Button_8\Button_8Options.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Button_8\Button_8Options.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Configurator\Configurator.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Configurator\Configurator.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Download\DownloadOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Download\DownloadOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\ErrorSearch\ErrorSearchOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\ErrorSearch\ErrorSearchOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Layouts\ToolbarLayout.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Layouts\ToolbarLayout.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Manager\ManagerOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Manager\ManagerOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Musiksuche\MusiksucheOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Musiksuche\MusiksucheOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Radio_DE\Radio_DEOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Radio_DE\Radio_DEOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\RelatedSearch\RelatedSearchOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\RelatedSearch\RelatedSearchOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Songtexte\SongtexteOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Songtexte\SongtexteOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Toolbar\TBProductsOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\Toolbar\TBProductsOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\ToolbarLogo\ToolbarLogoOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\ToolbarLogo\ToolbarLogoOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\ToolbarSearch\ToolbarSearchOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\ToolbarSearch\ToolbarSearchOptions.xml.backup
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\TravelSearch\TravelSearchOptions.xml
C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\Starware369\TravelSearch\TravelSearchOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\BrowserSearch\BrowserSearch.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\BrowserSearch\BrowserSearch.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Button_6\Button_6Options.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Button_6\Button_6Options.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Button_7\Button_7Options.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Button_7\Button_7Options.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Button_8\Button_8Options.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Button_8\Button_8Options.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Configurator\Configurator.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Configurator\Configurator.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Download\DownloadOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Download\DownloadOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\ErrorSearch\ErrorSearchOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\ErrorSearch\ErrorSearchOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Layouts\ToolbarLayout.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Layouts\ToolbarLayout.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Manager\ManagerOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Manager\ManagerOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Musiksuche\MusiksucheOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Musiksuche\MusiksucheOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Radio_DE\Radio_DEOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Radio_DE\Radio_DEOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\RelatedSearch\RelatedSearchOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\RelatedSearch\RelatedSearchOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Songtexte\SongtexteOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Songtexte\SongtexteOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Toolbar\TBProductsOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\Toolbar\TBProductsOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\ToolbarLogo\ToolbarLogoOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\ToolbarLogo\ToolbarLogoOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\ToolbarSearch\ToolbarSearchOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\ToolbarSearch\ToolbarSearchOptions.xml.backup
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\TravelSearch\TravelSearchOptions.xml
C:\Dokumente und Einstellungen\Sabrina.XYZ-V26PBD6E1YB\Anwendungsdaten\Starware369\TravelSearch\TravelSearchOptions.xml.backup
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\gifmmdvr.ini
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\LTsvvGgh.ini
C:\WINDOWS\system32\LTsvvGgh.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nswgqhdd.ini
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xIRsAJlm.ini
C:\WINDOWS\system32\xIRsAJlm.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-13 bis 2008-05-13 ))))))))))))))))))))))))))))))
.

2008-05-13 14:00 . 2008-05-13 14:00 1,296 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-13 13:59 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-13 13:59 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-13 13:59 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-13 13:59 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-13 13:59 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-13 13:59 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-13 13:59 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-13 13:59 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-13 13:35 . 2008-05-13 13:35 <DIR> d-------- C:\Programme\CCleaner
2008-05-13 13:16 . 2005-10-13 12:06 151,552 --a------ C:\WINDOWS\_detmp.2
2008-05-13 13:16 . 2007-04-26 21:06 105,511 --a------ C:\WINDOWS\_detmp.1
2008-05-13 13:13 . 2008-05-13 13:14 91,328 --a------ C:\WINDOWS\system32\rvdmmfig.dll
2008-05-13 13:12 . 2008-05-13 13:12 318,080 --a------ C:\WINDOWS\system32\hgGvvsTL.dll
2008-05-13 12:34 . 2008-05-13 12:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-13 12:33 . 2008-05-13 13:41 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-05-13 12:00 . 2008-05-13 12:00 <DIR> d-------- C:\Programme\Trend Micro
2008-05-13 11:56 . 2008-05-13 11:56 <DIR> d-------- C:\!KillBox
2008-05-12 17:35 . 2008-05-13 13:07 <DIR> d-------- C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\TmpRecentIcons
2008-05-12 17:15 . 2008-05-12 17:15 91,328 --a------ C:\WINDOWS\system32\ddhqgwsn.dll
2008-05-12 15:42 . 2008-05-12 15:42 29,312 --a------ C:\WINDOWS\system32\wvUkICRj.dll
2008-05-12 15:41 . 2008-05-12 06:12 258,048 --a------ C:\WINDOWS\fvowketqpag.dll
2008-05-12 15:41 . 2008-05-12 06:13 155,648 --a------ C:\WINDOWS\pvnsmfor.dll
2008-05-12 15:41 . 2008-05-12 06:13 94,208 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-12 15:41 . 2008-05-12 15:41 29,312 --a------ C:\WINDOWS\system32\efcYQJdb.dll
2008-05-11 01:01 . 2008-05-11 01:09 <DIR> d-------- C:\Programme\UltraStar Deluxe
2008-05-10 12:29 . 2008-05-10 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-05-10 12:24 . 2008-05-12 15:10 <DIR> d-------- C:\Programme\SlySoft
2008-05-10 12:19 . 2008-05-10 12:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-05-10 12:08 . 2008-05-10 12:11 67 --a------ C:\WINDOWS\DVDRegionFree.INI
2008-05-10 12:03 . 2008-05-12 13:45 125 ---hs---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
2008-05-10 12:01 . 2008-05-10 12:29 72 ---hs---- C:\WINDOWS\SAE0A4227.tmp
2008-05-10 11:59 . 2008-05-12 15:10 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-04-30 23:37 . 2008-04-30 23:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-26 10:22 . 2008-05-10 20:13 <DIR> d-------- C:\Programme\PrintAndMail
2008-04-18 18:01 . 2008-04-18 18:01 <DIR> d-------- C:\Programme\Orbitdownloader
2008-04-18 18:01 . 2008-04-18 19:49 <DIR> d-------- C:\Downloads
2008-04-18 17:59 . 2001-08-18 04:54 49,211 --a------ C:\WINDOWS\system32\usrsdpia.dll
2008-04-18 17:59 . 2001-08-18 04:54 49,211 --a--c--- C:\WINDOWS\system32\dllcache\usrsdpia.dll
2008-04-13 20:49 . 2008-04-26 10:26 <DIR> d-------- C:\Programme\Office Vereinsprofi
2008-04-13 20:38 . 2008-04-13 20:38 73,728 --------- C:\WINDOWS\AKDeInstall.exe
2008-04-13 20:37 . 2008-04-26 10:27 <DIR> d-------- C:\Programme\spg-verein
4 Datei(en) . 7,018 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-13 12:52 19,294 ----a-w C:\WINDOWS\Prefetch\RVAXO.EXE-0F2574A2.pf.exe
2008-05-13 11:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-13 11:19 --------- d-----w C:\Programme\Astonsoft
2008-05-13 11:18 --------- d-----w C:\Programme\FRITZ!fax
2008-05-12 14:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-12 11:33 --------- d-----w C:\Programme\ICQToolbar
2008-05-10 18:11 --------- d-----w C:\Programme\Softwareprofi Database Engine
2008-04-30 21:37 --------- d-----w C:\Programme\Google
2008-04-30 17:15 --------- d-----w C:\Programme\Hewlett-Packard
2008-04-26 08:25 --------- d-----w C:\Programme\CHIP Powertool
2008-04-12 19:45 --------- d-----w C:\Programme\Smart MX ToolBox v1.1!
2008-04-12 13:16 --------- d-----w C:\Programme\VB6RT & Komponents
2008-04-07 18:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-27 15:53 --------- d-----w C:\Dokumente und Einstellungen\dieter\Anwendungsdaten\MSN6
2008-03-25 22:13 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-03-25 22:03 --------- d-----w C:\Programme\Gabest
2008-03-25 22:02 --------- d-----w C:\Programme\AviSynth 2.5
2008-03-24 20:21 --------- d-----w C:\Programme\Airline Tycoon - Deluxe
2008-03-20 19:59 0 ----a-r C:\logwmemory.bin
2008-03-16 12:18 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-17 22:23 1,736 ----a-w C:\Programme\tmcalls.log
2007-09-09 18:28 17,611 ----a-w C:\Programme\WinSweephosts.bak
2007-04-01 10:40 18,828,288 ----a-w C:\Programme\FLV PlayerRCSetup.exe
2001-08-18 13:00 0 --sh--r C:\WINDOWS\system32\ws2_94.dll
.

------- Sigcheck -------

2005-05-02 22:58 664576 8c907b730e9cfcfdf0157f3ea20d4424 C:\WINDOWS\$hf_mig$\KB883939\SP2QFE\wininet.dll
2005-03-10 09:47 663552 235d1d42c2d23fa1bc8a9edb267ffe86 C:\WINDOWS\$hf_mig$\KB890923\SP2QFE\wininet.dll
2005-09-03 01:53 666112 c9abc4ae17820bfee9a4307b8a4e6de9 C:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll
2005-07-03 04:11 665088 e992695b2d5628154b65fe8dfb0f3cca C:\WINDOWS\$hf_mig$\KB896727\SP2QFE\wininet.dll
2005-10-21 05:38 667136 f3118df4abd118b11326d1c7a0093867 C:\WINDOWS\$hf_mig$\KB905915\SP2QFE\wininet.dll
2006-03-04 06:00 669184 c91b7839095133064f9c898897f8d64c C:\WINDOWS\$hf_mig$\KB912812\SP2QFE\wininet.dll
2006-05-10 07:26 669184 2e9fffc696613e2e38f2263ade718c67 C:\WINDOWS\$hf_mig$\KB916281\SP2QFE\wininet.dll
2006-06-23 13:25 670208 05e47ea6708bd99df2d8e4abd55df079 C:\WINDOWS\$hf_mig$\KB918899\SP2QFE\wininet.dll
2006-09-14 10:36 670208 c98f3024049aaeafae1340d94c16fdc8 C:\WINDOWS\$hf_mig$\KB922760\SP2QFE\wininet.dll
2006-10-23 17:34 670208 47bbfeb4909d45064a992c3068610b06 C:\WINDOWS\$hf_mig$\KB925454\SP2QFE\wininet.dll
2007-01-04 16:02 670720 04a670155a6d86dfbf562f45544e1908 C:\WINDOWS\$hf_mig$\KB928090\SP2QFE\wininet.dll
2007-02-19 17:22 671232 e2cb4d46ff3638bff234ae4253bc6430 C:\WINDOWS\$hf_mig$\KB931768\SP2QFE\wininet.dll
2002-08-29 03:43 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\$NtServicePackUninstall$\wininet.dll
2005-03-10 10:04 662528 0e2e035170cb6c3e0ad629c45bf3f71b C:\WINDOWS\$NtUninstallKB883939$\wininet.dll
2004-08-04 00:57 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\$NtUninstallKB890923$\wininet.dll
2005-07-03 04:15 664064 9ad1c82368bbec1c1414a3f8820c7cf9 C:\WINDOWS\$NtUninstallKB896688$\wininet.dll
2005-05-02 22:56 663552 4f1584d375060d74dcde920fa51b0a29 C:\WINDOWS\$NtUninstallKB896727$\wininet.dll
2005-09-03 01:53 664064 8266074ce4a6573460559e4db2e6695f C:\WINDOWS\$NtUninstallKB905915$\wininet.dll
2005-10-21 05:40 664064 19625f6f8357c2306ba4b3583c705836 C:\WINDOWS\$NtUninstallKB912812$\wininet.dll
2006-03-04 05:34 664064 b29b257bd34bcf1a754c3f3a3ab98a07 C:\WINDOWS\$NtUninstallKB916281$\wininet.dll
2006-05-10 07:23 664064 a9e5a84a1bdf70a51b568dfdd73395ac C:\WINDOWS\$NtUninstallKB918899$\wininet.dll
2006-06-23 13:10 664576 9a73ca7a43ab311cac76686add9d946f C:\WINDOWS\$NtUninstallKB922760$\wininet.dll
2006-09-14 10:39 664576 792df201f5e3dbe2c91bc40de0f62972 C:\WINDOWS\$NtUninstallKB925454$\wininet.dll
2006-10-23 17:17 664576 0eb2d621dcbc6ed6d5b48867455a165c C:\WINDOWS\$NtUninstallKB928090$\wininet.dll
2007-01-04 15:41 664576 4bb0103a8598f7ff813128956cdac8e6 C:\WINDOWS\$NtUninstallKB931768$\wininet.dll
2007-02-19 17:03 809472 15e7da925d9293269d211e74353ac544 C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2007-02-19 17:03 809472 15e7da925d9293269d211e74353ac544 C:\WINDOWS\system32\wininet.dll
2007-02-19 17:03 809472 15e7da925d9293269d211e74353ac544 C:\WINDOWS\system32\dllcache\wininet.dll

2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2002-08-29 01:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys
2005-05-25 21:04 359808 88763a98a4c26c409741b4aa162720c9 C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys
2006-01-13 04:28 359808 583e063fdc888ca30d05c2724b0d7ef4 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\system32\dllcache\tcpip.sys
2006-04-20 13:51 359808 b4e29943b4b04bd5e7381546848e6669 C:\WINDOWS\system32\drivers\tcpip.sys

2002-08-29 03:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2004-08-04 00:58 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-04 00:58 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\system32\winlogon.exe

2004-08-04 00:57 1553920 e74dd582df778b6b4725f09815109749 C:\WINDOWS\explorer.exe
2002-08-29 03:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 00:57 1553920 e74dd582df778b6b4725f09815109749 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2002-08-29 03:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2004-08-04 00:57 25088 99203e789da6e756ea34a8f836f4e99e C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2004-08-04 00:57 25088 99203e789da6e756ea34a8f836f4e99e C:\WINDOWS\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97F7302A-147C-4435-901C-184375993BE6}]
2008-05-12 15:41 29312 --a------ C:\WINDOWS\system32\efcYQJdb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b390c0d1-a909-49a8-9d4c-622863b8fb6f}]
C:\Programme\Starware369\bin\Starware369.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E71878D1-E549-489A-92BA-C16F9048E249}]
2008-05-12 06:12 258048 --a------ C:\WINDOWS\fvowketqpag.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E82447EC-09D3-4D52-B1C5-09E359DAA978}]
2008-05-13 13:12 318080 --a------ C:\WINDOWS\system32\hgGvvsTL.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 25088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 16:54 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 25088]
"Windows Update System Shell"="svhostcs32.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"RestrictRun"= 0 (0x0)
"NoFileUrl"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{97F7302A-147C-4435-901C-184375993BE6}"= C:\WINDOWS\system32\efcYQJdb.dll [2008-05-12 15:41 29312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcYQJdb]
efcYQJdb.dll 2008-05-12 15:41 29312 C:\WINDOWS\system32\efcYQJdb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"VIDC.IV41"= IR41_32.DLL
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=C:\WINDOWS\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_NORD_FotoSuite_Download]
C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1825792 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSSelectorReinstall]
C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-03-30 13:34 25263144 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-07-12 04:00 132496 C:\Programme\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-09-27 20:25 185632 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Update System Shell]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSweep]
C:\Programme\WinSweep\WinSweep.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSweep Popupblocker]
C:\Programme\WinSweep\WSPopup.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINSWEEP Reklameblockierung]
C:\Programme\WinSweep\winjam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hpqste08.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hpofxm08.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hposfx08.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hposid01.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hpqscnvw.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hpqkygrp.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hpzwiz01.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\Hewlett-Packard\\Digital Imaging\\Bin\\hpoews01.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2005-06-06 19:04]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-10-13 17:30]
S2 hwclock;Hardware Clock Driver;C:\WINDOWS\System32\hwclock.exe []
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 SBKUPNT;SBKUPNT;C:\WINDOWS\system32\Drivers\SBKUPNT.SYS [2001-07-13 13:56]
S3 SFC4;SFC4;C:\WINDOWS\system32\drivers\SFC4.sys []
S3 zlportio;zlportio;C:\Programme\UltraStar Deluxe\zlportio.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{631516c2-3ce7-11db-acfe-806d6172696f}]
\Shell\AutoRun\command - D:\AUTORUN\AUTORUN.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-02 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-13 15:37:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\efcYQJdb.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\WgaTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-13 15:47:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-13 13:47:14

40 Verzeichnis(se), 37,097,758,720 Bytes frei
44 Verzeichnis(se), 37,517,471,744 Bytes frei

348
Seitenanfang Seitenende
13.05.2008, 17:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

Driver::
hwclock

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E71878D1-E549-489A-92BA-C16F9048E249}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E82447EC-09D3-4D52-B1C5-09E359DAA978}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97F7302A-147C-4435-901C-184375993BE6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b390c0d1-a909-49a8-9d4c-622863b8fb6f}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{97F7302A-147C-4435-901C-184375993BE6}"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Update System Shell"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcYQJdb]

File::
C:\WINDOWS\System32\hwclock.exe
C:\WINDOWS\system32\efcYQJdb.dll
C:\WINDOWS\system32\rvdmmfig.dll
C:\WINDOWS\system32\hgGvvsTL.dll
C:\WINDOWS\system32\ddhqgwsn.dll
C:\WINDOWS\system32\wvUkICRj.dll
C:\WINDOWS\fvowketqpag.dll
C:\WINDOWS\pvnsmfor.dll
C:\WINDOWS\oadkxrts.exe

Folder::
C:\Programme\Starware369
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

poste das neue log von combofix

neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende