SysKontroller verweist auf nicht vollständige Systemsicherheit

#1 Hallo,

Folgendes Problem:
auf meinem Rechner hat sich ein SysKontroller eingeschlichen, der bei Nutzung von Webbrosern (IE7 & FF 2) immer auf ein "nicht vollständige Systemsicherheit".
Zudem wird aller sehr langsam. Der Prozessor ist meistens zu 100% ausgelastet und es gibt meist mehrere rundll32 Prozesse, die die Systemleistung "fressen".

Habe die Logs nach eurer Anleitung http://board.protecus.de/t23187.htm erstellt:

Antivir hat folgende befunde gemeldet:
C:\WINDOWS\system32\ivkvpfyb.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
(wurde 4 mal in einem Durchlauf gemeldet !?)

C:\Dokumente und Einstellungen\...\kb713501[1]
---> Trojanisches Pferd TR/Lowzones.SG

C:\QooBox\Quarantine\C\...\bxqblkuw.dll.vir
---> Trojanisches Pferd TR/Crypt.XPACK.Gen

C:\QooBox\Quarantine\C\...\gitrwqdg.dll.vir
---> Trojanisches Pferd TR/Crypt.XPACK.Gen

C:\QooBox\Quarantine\C\...\ojjjsbyb.dll.vir
---> Trojanisches Pferd TR/Crypt.XPACK.Gen

C:\System Volume Information\...\A0026878.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen

C:\System Volume Information\...\A0027657.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen

C:\System Volume Information\...\A0027660.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen

C:\WINDOWS\system32\kmlyliiv.exe
---> Trojanisches Pferd TR/Lowzones.SG

D:\Download\sdsetup.exe
---> Dropper DR/KeyLogger.DQ

C:\System Volume Information\...\A0027717.exe
---> Dropper DR/KeyLogger.DQ


Combofix-Report:
ComboFix 08-05-29.1 - Ivan Pljevljak 2008-05-30 21:23:27.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.680 [GMT 2:00]
ausgeführt von:: N:\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM6fb7cd87.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\erquswol.ini
C:\WINDOWS\system32\gitrwqdg.dll
C:\WINDOWS\system32\hQBHRqss.ini
C:\WINDOWS\system32\hQBHRqss.ini2
C:\WINDOWS\system32\lowsuqre.dll
C:\WINDOWS\system32\mfpnnter.dll
C:\WINDOWS\system32\ojjjsbyb.dll
C:\WINDOWS\system32\ssqRHBQh.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-30 ))))))))))))))))))))))))))))))
.

2008-05-30 20:11 . 2008-05-30 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Grisoft
2008-05-30 20:11 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-30 20:10 . 2008-05-30 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax f�r FRITZ!Box
2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
2008-05-30 06:35 . 2002-01-05 12:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-05-30 06:35 . 1999-09-09 11:28 446,464 --a------ C:\WINDOWS\system32\HHActiveX.dll
2008-05-30 06:35 . 2003-11-26 11:18 49,152 --a------ C:\WINDOWS\system32\FritzPort.dll
2008-05-30 06:35 . 2004-12-03 13:46 49,152 --a------ C:\WINDOWS\system32\FritzColorPort.dll
2008-05-30 06:35 . 2003-11-27 15:36 36,864 --a------ C:\WINDOWS\system32\Fridru32.dll
2008-05-29 21:53 . 2008-05-29 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3
2008-05-29 19:52 . 2008-05-29 19:52 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-05-29 19:51 . 2008-05-30 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\U3
2008-05-29 18:47 . 2008-05-29 18:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-29 18:43 . 2008-05-01 16:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-29 18:43 . 2008-05-29 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-29 18:43 . 2008-05-29 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-29 18:43 . 2008-05-29 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-29 06:49 . 2008-05-29 06:49 58,368 --a------ C:\WINDOWS\system32\vtUNGYqQ.dll
2008-05-28 05:58 . 2008-05-28 05:58 <DIR> d-------- C:\Programme\HP
2008-05-28 05:58 . 2008-05-28 05:58 214 --a------ C:\WINDOWS\HP_48BitScanUpdatePatch.ini
2008-05-27 06:07 . 2008-05-27 06:12 19,554 --a------ C:\WINDOWS\hpoins01.dat
2008-05-27 06:07 . 2003-04-22 15:10 16,606 --------- C:\WINDOWS\hpomdl01.dat
2008-05-27 06:01 . 2008-05-27 06:01 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-05-27 05:56 . 2008-05-27 05:56 <DIR> d-------- C:\temp\HP All-in-One Series Web Release
2008-05-26 21:44 . 2008-05-26 21:49 35,480 --ah----- C:\hpothb07.tif
2008-05-26 21:44 . 2008-05-26 21:51 798 --ah----- C:\hpothb07.dat
2008-05-26 21:04 . 2008-05-26 21:04 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Hewlett-Packard
2008-05-24 19:11 . 2008-05-29 06:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\UseNeXT
2008-05-24 18:56 . 2008-05-24 19:36 50 --a------ C:\WINDOWS\MegaManager.INI
2008-05-24 18:49 . 2008-05-24 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Megaupload
2008-05-23 19:44 . 2008-05-23 19:44 <DIR> d-------- C:\Programme\Ontrack
2008-05-23 18:22 . 2008-05-23 18:22 224 --a------ C:\WINDOWS\system32\9B13A86D.plf
2008-05-23 17:58 . 2008-05-23 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-18 07:28 . 2008-05-18 07:29 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\OpenOffice.org2
2008-05-18 06:08 . 2008-05-18 06:08 <DIR> d-------- C:\WINDOWS\Sun
2008-05-17 21:22 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-17 21:21 . 2008-05-18 07:26 <DIR> d-------- C:\Programme\Java
2008-05-17 21:17 . 2008-05-17 21:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-17 06:54 . 2008-05-17 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Nokia Multimedia Player
2008-05-13 20:41 . 2008-05-13 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Itsth
2008-05-13 20:13 . 2008-05-13 20:15 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-05-12 12:16 . 2008-05-12 12:16 1,188 --a------ C:\WINDOWS\mozver.dat
2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\system32\de
2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-12 10:21 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-05-12 10:21 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-05-12 10:21 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-05-12 10:21 . 2008-04-14 04:23 32,768 --------- C:\WINDOWS\system32\setupn.exe
2008-05-12 10:21 . 2008-04-13 20:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-05-12 10:19 . 2008-04-14 04:22 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-05-12 10:18 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-05-12 09:32 . 2008-05-12 10:56 2,608 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-12 09:31 . 2008-05-12 09:31 100,864 --a------ C:\WINDOWS\system32\drivers\avmaura.sys
2008-05-12 09:03 . 2008-05-30 06:55 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!
2008-05-12 09:02 . 2008-05-12 09:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM
2008-05-11 18:35 . 2004-10-12 12:04 376,832 --------- C:\WINDOWS\system32\Ncs2DMIX.dll
2008-05-11 18:35 . 2004-09-16 03:15 372,736 --------- C:\WINDOWS\system32\NcsCoLib.dll
2008-05-11 18:35 . 2004-09-23 03:34 249,856 --------- C:\WINDOWS\system32\Accesor.dll
2008-05-11 18:35 . 2004-12-21 17:11 135,168 --------- C:\WINDOWS\system32\PRONtObj.dll
2008-05-11 18:35 . 2004-09-16 03:34 126,976 --------- C:\WINDOWS\system32\Ncs2InstUtility.dll
2008-05-11 18:35 . 2004-12-21 17:11 110,592 --a------ C:\WINDOWS\system32\drivers\ianswxp.sys
2008-05-11 18:35 . 2004-12-21 17:11 81,920 --------- C:\WINDOWS\system32\drivers\iansmsg.dll
2008-05-11 18:35 . 2004-08-05 12:30 19,456 --------- C:\WINDOWS\system32\drivers\iqvw32.sys
2008-05-11 18:35 . 2004-12-21 17:11 1,902 --------- C:\WINDOWS\system32\SetupBD.din
2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a------ C:\WINDOWS\system32\drivers\e100b325.sys
2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys
2008-05-11 18:34 . 2004-12-21 17:11 122,880 --a------ C:\WINDOWS\system32\Prounstl.exe
2008-05-11 18:34 . 2004-12-21 17:11 24,576 --a------ C:\WINDOWS\system32\e100bmsg.dll
2008-05-11 18:34 . 2004-12-21 17:11 19,968 --a------ C:\WINDOWS\system32\IntelNic.dll
2008-05-11 18:34 . 2004-12-21 17:11 5,110 --a------ C:\WINDOWS\system32\e100b325.din
2008-05-11 08:50 . 2008-05-11 08:50 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-11 06:49 . 1999-06-18 23:49 165,888 --a------ C:\WINDOWS\Ckconfig.exe
2008-05-11 06:49 . 2006-03-01 03:10 69,632 --a------ C:\WINDOWS\system32\Crypserv.exe
2008-05-11 06:49 . 2006-01-10 04:47 31,846 --a------ C:\WINDOWS\system32\Ckldrv.sys
2008-05-11 06:49 . 1996-05-03 19:21 27,648 -ra------ C:\WINDOWS\Setup_ck.exe
2008-05-11 06:49 . 1996-05-03 17:36 18,432 --a------ C:\WINDOWS\Setup_ck.dll
2008-05-11 06:49 . 1995-07-04 20:33 11,776 --a------ C:\WINDOWS\Ckrfresh.exe
2008-05-11 06:49 . 2008-05-11 06:49 1,680 --a------ C:\WINDOWS\system32\esnecil.nlp
2008-05-11 06:49 . 2008-05-11 16:28 1,680 --a------ C:\WINDOWS\system32\esnecil.ind
2008-05-11 06:49 . 2008-05-11 06:49 67 --a------ C:\WINDOWS\Crypkey.ini
2008-05-11 06:49 . 2008-05-11 06:49 4 --a------ C:\WINDOWS\vx86036.dat
2008-05-10 07:43 . 2008-05-10 07:43 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\InstallShield
2008-05-10 06:17 . 2008-05-10 06:17 36,864 --a------ C:\WINDOWS\system32\BGData.bin
2008-05-07 06:36 . 2008-05-23 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\The Bat!
2008-05-07 06:35 . 2008-05-07 19:04 <DIR> d-------- C:\Programme\The Bat!
2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Japler
2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Japler
2008-05-06 21:55 . 2002-07-17 16:03 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-05-06 21:55 . 2002-07-17 15:05 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-05-06 21:42 . 2008-05-06 22:01 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF
2008-05-06 20:52 . 2008-05-06 20:57 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Aid4Mail
2008-05-06 06:39 . 2008-05-11 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\AdobeUM
2008-05-04 19:24 . 2005-12-12 17:27 19,072 --a------ C:\WINDOWS\system32\drivers\PS2.sys
2008-05-04 19:23 . 2008-05-27 05:56 <DIR> d-------- C:\temp
2008-05-04 19:23 . 2008-05-04 19:23 <DIR> d-------- C:\HP
2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\Programme\Compaq
2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\i386
2008-05-04 18:11 . 2002-03-05 15:45 6,864 --a------ C:\WINDOWS\system32\drivers\eabfiltr.sys
2008-05-04 18:11 . 2002-01-28 16:43 5,168 --a------ C:\WINDOWS\system32\drivers\EabUsb.sys
2008-05-04 18:10 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-05-04 09:47 . 2008-05-11 18:35 <DIR> d-------- C:\Programme\Intel
2008-05-04 09:35 . 2006-12-28 01:02 4,352 -ra------ C:\WINDOWS\system32\drivers\avmeject.sys
2008-05-04 09:29 . 2008-05-04 09:29 <DIR> d-------- C:\Programme\Analog Devices
2008-05-04 06:10 . 2008-05-04 06:10 2,322,432 --a------ C:\WINDOWS\system32\TUKernel.exe
2008-05-04 06:06 . 2008-05-04 06:06 <DIR> d-------- C:\WINDOWS\Icons
2008-05-03 19:19 . 2008-05-03 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2008-05-03 19:18 . 2008-05-10 06:49 <DIR> d-------- C:\Programme\Nokia
2008-05-03 19:16 . 2008-04-13 20:45 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-05-03 19:15 . 2008-05-03 19:15 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-03 19:15 . 2008-05-03 19:15 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-05-03 19:14 . 2008-05-03 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\PC Suite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 04:35 --------- d-----w C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax für FRITZ!Box
2008-05-01 14:38 --------- d-----w C:\Programme\microsoft frontpage
2008-05-01 14:37 --------- d-----w C:\Programme\Online-Dienste
2008-05-01 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-14 05:52 989,696 ----a-w C:\WINDOWS\system32\setupapi.dll
2008-04-14 05:52 425,472 ----a-w C:\WINDOWS\system32\licdll.dll
2008-04-14 02:36 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 02:25 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 02:22 99,840 ----a-w C:\WINDOWS\system32\scardsvr.exe
2008-04-14 02:21 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 02:21 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll
2008-04-14 02:21 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 02:21 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 02:21 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 02:00 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 02:00 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 01:59 4,096 ------w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 01:57 93,184 ----a-w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 01:57 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 01:56 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 01:56 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 01:55 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 01:54 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 01:53 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 01:52 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 01:50 41,856 ------w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ------w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ------w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ------w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
2008-04-13 18:51 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys
2008-04-13 18:51 59,904 ----a-w C:\WINDOWS\system32\drivers\atmarpc.sys
2008-04-13 18:51 55,808 ----a-w C:\WINDOWS\system32\drivers\atmlane.sys
2008-04-13 18:51 101,120 ------w C:\WINDOWS\system32\drivers\bthpan.sys
2008-04-13 18:46 59,136 ------w C:\WINDOWS\system32\drivers\rfcomm.sys
2008-04-13 18:46 37,888 ------w C:\WINDOWS\system32\drivers\bthmodem.sys
2008-04-13 18:46 36,480 ------w C:\WINDOWS\system32\drivers\bthprint.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-29_20.59.14.68 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-29 18:40:31 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-30 19:31:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\FCol32.Dll
+ 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\Ffax32.Dll
- 2008-04-14 02:22:31 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrv.dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRV.DLL
- 2008-04-14 02:22:31 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrvui.dll
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRVUI.DLL
- 2007-05-15 08:08:53 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unires.dll
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIRES.DLL
+ 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\Ffax32.Dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRV.DLL
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRVUI.DLL
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIRES.DLL
+ 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\FCol32.Dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRV.DLL
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRVUI.DLL
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIRES.DLL
+ 2005-09-22 23:35:10 65,536 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0ee63867\vcomp.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C6E60FB-1CBF-4E3B-8DBE-F8CCB6955693}]
2008-05-30 21:38 373248 --a------ C:\WINDOWS\system32\qoMccbxy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}]
2008-05-29 06:49 58368 --a------ C:\WINDOWS\system32\vtUNGYqQ.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 22:30 188416]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44 61440]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}"= C:\WINDOWS\system32\vtUNGYqQ.dll [2008-05-29 06:49 58368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUNGYqQ]
vtUNGYqQ.dll 2008-05-29 06:49 58368 C:\WINDOWS\system32\vtUNGYqQ.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\qoMccbxy

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PC Suite Tray"="D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RoxioDragToDisc"="C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
"Matrox Powerdesk"=C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
"Acrobat Assistant 7.0"="D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"D:\\Programme\\FRITZ!DSL\\StCenter.exe"=
"D:\\Programme\\FRITZ!DSL\\FwebProt.exe"=
"D:\\Programme\\FRITZ!DSL\\FritzDsl.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"D:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=
"D:\\Programme\\TomTom HOME\\TomTomHOME.exe"=
"D:\\Programme\\Opera\\Opera.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"D:\\Programme\\TuneUp Utilities 2008\\Integrator.exe"=
"D:\\Programme\\FRITZ!fax\\FriFax32.exe"=

R2 IGDCTRL;AVM IGD CTRL Service;D:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14]
R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ []
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\plcndis5.sys [2004-05-17 11:21]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 04:23]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-12 09:31]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-24 19:34]
S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39]
S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6e3ce26-1b9a-11dd-a4e6-fc3e2856d191}]
\Shell\AutoRun\command - L:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc29082c-17c6-11dd-a4d5-80610055969f}]
\Shell\AutoRun\command - L:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-05-30 19:31:34 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-05-27 04:14:13 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp officejet 6100 series#1211861545.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe:-I
"2008-05-28 16:00:00 C:\WINDOWS\Tasks\ParetoLogic Registration.job"
- C:\WINDOWS\system32\rundll32.exeB
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-30 21:32:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\yxbccMoq.ini 345 bytes
C:\WINDOWS\system32\yxbccMoq.ini2 345 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\vtUNGYqQ.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ivkvpfyb.dll
-> C:\WINDOWS\system32\qoMccbxy.dll
.
------------------------ Other Running Processes ------------------------
.
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\system32\Crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mgabg.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
D:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-30 21:42:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-30 19:41:46
ComboFix2.txt 2008-05-29 19:00:20

8 Verzeichnis(se), 23,808,503,808 Bytes frei
10 Verzeichnis(se), 23,834,816,512 Bytes frei

398 --- E O F --- 2008-05-04 18:24:50


HJT-Logfile-Kurzauswertung:
[?] - O2 - BHO: (no name) - {0C6E60FB-1CBF-4E3B-8DBE-F8CCB6955693} - C:\WINDOWS\system32\qoMccbxy.dll
[?] - O2 - BHO: (no name) - {E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E} - C:\WINDOWS\system32\vtUNGYqQ.dll
[?] - O4 - HKLM\..\Run: [BM6fb7cd87] Rundll32.exe "C:\WINDOWS\system32\ivkvpfyb.dll",s
[?] - O4 - HKLM\..\Run: [6c84fe1b] rundll32.exe "C:\WINDOWS\system32\nvrndggg.dll",b
[?] - O20 - Winlogon Notify: vtUNGYqQ - C:\WINDOWS\SYSTEM32\vtUNGYqQ.dll

Gesamte Auswertung ist angehängt!


HJT-Uninstall-List:
Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
AVG Anti-Spyware 7.5
AVM FRITZ!DSL
AVM FRITZ!fax
AVM FRITZ!WLAN
CCleaner (remove only)
Data LifeSaver
devolo dLAN-Konfigurationsassistent
devolo EasyClean
devolo EasyShare
devolo Informer
Enhanced Multimedia Keyboard Solution
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
HP Foto- und Bildbearbeitung 2.0 - All-in-One
HP Foto und Bildbearbeitung 2.0 - hp officejet 6100 series
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
hp officejet 6100 series
HP Speicher-Disc
Intel(R) PRO Network Connections Drivers
Intel(R) PROSafe for Wired Connections
Intel(R) PROSafe for Wired Connections
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Logitech MouseWare 9.79.1
Matrox Grafik Software (nur entfernen)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office Small Business Connectivity Components
Microsoft Office Small Business Edition 2003
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
Microsoft SQL Server Native Client
Microsoft SQL Server VSS Writer
Microsoft User-Mode Driver Framework Feature Pack 1.5
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
MSVC80_x86
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nokia Connectivity Cable Driver
Nokia Flashing Cable Driver
Nokia Multimedia Factory
Nokia Multimedia Factory
Nokia PC Suite
Nokia PC Suite
Nokia Software Updater
O&O SafeErase
OpenOffice.org 2.4
Opera 9.27
PC Connectivity Solution
PowerQuest PartitionMagic 8.0
Roxio Easy Media Creator 7
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB941569)
Simple Sudoku 4.2
SoundMAX
TomTom HOME
TuneUp Utilities 2008
U3Launcher
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
Windows Communication Foundation
Windows Imaging Component
Windows Internet Explorer 8 Beta 1
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Format SDK Hotfix - KB891122
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia Modem (03/05/2008 3.7)
Windows-Treiberpaket - Nokia Modem (03/13/2008 6.86.0.1)
Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0)
WinZip
XML Paper Specification Shared Components Language Pack 1.0



Datfind-Log:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS\system32

30.05.2008 21:50 257.593 yxbccMoq.ini
30.05.2008 21:48 257.593 yxbccMoq.ini2
30.05.2008 21:47 1.484.558 gggdnrvn.ini
30.05.2008 21:45 2.560 kmlyliiv.exe
30.05.2008 21:45 115.712 nvrndggg.dll
30.05.2008 21:40 125.440 ivkvpfyb.dll
30.05.2008 21:39 0 clkcnt.txt
30.05.2008 21:38 373.248 qoMccbxy.dll
30.05.2008 21:32 13.002 wpa.dbl
30.05.2008 20:55 27 MPFServiceFailureCount.txt
29.05.2008 06:49 58.368 vtUNGYqQ.dll
25.05.2008 17:18 97.324 perfc009.dat
25.05.2008 17:18 509.066 perfh009.dat
25.05.2008 17:18 542.376 perfh007.dat
25.05.2008 17:18 119.472 perfc007.dat
25.05.2008 17:18 1.284.822 PerfStringBackup.INI
25.05.2008 16:39 1.919 AUTOEXEC.NT
24.05.2008 19:34 355.584 TuneUpDefragService.exe
23.05.2008 18:22 224 9B13A86D.plf
18.05.2008 07:43 293.272 FNTCACHE.DAT
18.05.2008 07:26 6.074 jupdate-1.6.0_04-b12.log
17.05.2008 21:22 6.641 jupdate-1.6.0_05-b13.log
12.05.2008 10:56 2.608 d3d9caps.dat


.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\DOKUME~1\IVANPL~1\LOKALE~1\Temp

30.05.2008 21:50 105.793 datfind.txt
1 Datei(en) 105.793 Bytes
0 Verzeichnis(se), 23.849.132.032 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS

30.05.2008 21:43 109.803 BM6fb7cd87.xml
30.05.2008 21:42 4.750 BM6fb7cd87.txt
30.05.2008 21:41 21 pskt.ini
30.05.2008 21:40 1.045 error.log
30.05.2008 21:40 14.680 WindowsUpdate.log
30.05.2008 21:33 764 win.ini
30.05.2008 21:32 246 system.ini
30.05.2008 21:31 0 0.log
30.05.2008 21:31 159 wiadebug.log
30.05.2008 21:31 50 wiaservc.log
30.05.2008 21:31 2.048 bootstat.dat
30.05.2008 21:30 19 errord.log
30.05.2008 21:30 32.636 SchedLgU.Txt
28.05.2008 05:58 214 HP_48BitScanUpdatePatch.ini
27.05.2008 06:12 19.554 hpoins01.dat
24.05.2008 19:36 50 MegaManager.INI
12.05.2008 19:30 400 ODBC.INI
12.05.2008 12:16 1.188 mozver.dat
11.05.2008 06:49 4 vx86036.dat
11.05.2008 06:49 67 Crypkey.ini
03.05.2008 07:57 316.640 WMSysPr9.prx
02.05.2008 01:14 35 tdf.dii
02.05.2008 01:14 311 tm.ini
01.05.2008 20:39 0 nsreg.dat
01.05.2008 17:38 492 WinInit.Ini
01.05.2008 17:31 0 Sti_Trace.log
01.05.2008 16:42 8.192 REGLOCS.OLD
01.05.2008 16:38 0 control.ini
01.05.2008 16:38 299.552 WMSysPrx.prx
01.05.2008 16:38 4.161 ODBCINST.INI
01.05.2008 16:37 749 WindowsShell.Manifest
01.05.2008 16:34 36 vb.ini
01.05.2008 16:34 37 vbaddin.ini
22.04.2008 07:03 545 PKZIP.PIF
22.04.2008 07:03 545 PKUNZIP.PIF
22.04.2008 07:03 545 NOCLOSE.PIF
22.04.2008 07:03 545 LHA.PIF
22.04.2008 07:03 545 RAR.PIF

.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

01.05.2008 16:37 65 desktop.ini
02.04.2008 15:18 1.060 jinstall-6u5.inf
24.03.2008 19:33 1.527.056 FP_AX_CAB_INSTALLER.exe
24.03.2008 19:18 247 swflash.inf
04.02.2008 17:53 361 OGAControl.inf

6 Datei(en) 1.529.082 Bytes
0 Verzeichnis(se), 23.849.123.840 Bytes frei
.
.
.




Ich hoffe es ist reparabel...
Vielen Dank für Eure Hilfe schonmal vorab!!!

#2 Hallo Eisbaer

1.
scanne mit malwarebytes + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C6E60FB-1CBF-4E3B-8DBE-F8CCB6955693}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}]

File::
C:\WINDOWS\BM6fb7cd87.xml
C:\WINDOWS\BM6fb7cd87.txt
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\yxbccMoq.ini
C:\WINDOWS\system32\yxbccMoq.ini2
C:\WINDOWS\system32\gggdnrvn.ini
C:\WINDOWS\system32\kmlyliiv.exe
C:\WINDOWS\system32\nvrndggg.dll
C:\WINDOWS\system32\ivkvpfyb.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\qoMccbxy.dll
C:\WINDOWS\system32\vtUNGYqQ.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden poste das neue Log von Combofix
+
ein neues log von hijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

erstmal danke für deine schnelle Antwort.

hier der Malware-Report:
Malwarebytes' Anti-Malware 1.14
Datenbank Version: 807

11:44:06 31.05.2008
mbam-log-5-31-2008 (11-41-34).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|N:\|)
Objekte gescannt: 113928
Scan Dauer: 35 minute(s), 35 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\nvrndggg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtUNGYqQ.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qoMccbxy.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{e1bc0aab-2c35-40df-8f1d-4fd437df432e} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e1bc0aab-2c35-40df-8f1d-4fd437df432e} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtungyqq (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{48df5785-08ca-4d1d-b6c8-592bbcbe43ea} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{48df5785-08ca-4d1d-b6c8-592bbcbe43ea} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\6c84fe1b (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e1bc0aab-2c35-40df-8f1d-4fd437df432e} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM6fb7cd87 (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomccbxy -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nvrndggg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtUNGYqQ.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qoMccbxy.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Ivan Pljevljak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7SMFQ41Q\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\fcccyVNF.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\ydujiryi.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{D9951E6E-00E1-473F-86D1-483616286D41}\RP94\A0026879.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{D9951E6E-00E1-473F-86D1-483616286D41}\RP94\A0026882.dll (Trojan.Vundo) -> No action taken.


neuer Combofix-Log:
ComboFix 08-05-29.1 - Ivan Pljevljak 2008-05-31 12:09:47.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.716 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ivan Pljevljak\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ivan Pljevljak\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\BM6fb7cd87.txt
C:\WINDOWS\BM6fb7cd87.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\gggdnrvn.ini
C:\WINDOWS\system32\ivkvpfyb.dll
C:\WINDOWS\system32\kmlyliiv.exe
C:\WINDOWS\system32\nvrndggg.dll
C:\WINDOWS\system32\qoMccbxy.dll
C:\WINDOWS\system32\vtUNGYqQ.dll
C:\WINDOWS\system32\yxbccMoq.ini
C:\WINDOWS\system32\yxbccMoq.ini2
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM6fb7cd87.txt
C:\WINDOWS\BM6fb7cd87.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\gggdnrvn.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qoMccbxy.dll
C:\WINDOWS\system32\yxbccMoq.ini
C:\WINDOWS\system32\yxbccMoq.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 ))))))))))))))))))))))))))))))
.

2008-05-31 08:21 . 2008-05-31 08:21 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Malwarebytes
2008-05-31 08:20 . 2008-05-31 08:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 08:20 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 08:20 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-30 21:58 . 2008-05-30 21:58 <DIR> d-------- C:\Programme\Avira
2008-05-30 21:58 . 2008-05-30 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-30 20:11 . 2008-05-30 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Grisoft
2008-05-30 20:11 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-30 20:10 . 2008-05-30 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax f�r FRITZ!Box
2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
2008-05-30 06:35 . 2002-01-05 12:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-05-30 06:35 . 1999-09-09 11:28 446,464 --a------ C:\WINDOWS\system32\HHActiveX.dll
2008-05-30 06:35 . 2003-11-26 11:18 49,152 --a------ C:\WINDOWS\system32\FritzPort.dll
2008-05-30 06:35 . 2004-12-03 13:46 49,152 --a------ C:\WINDOWS\system32\FritzColorPort.dll
2008-05-30 06:35 . 2003-11-27 15:36 36,864 --a------ C:\WINDOWS\system32\Fridru32.dll
2008-05-29 21:53 . 2008-05-29 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3
2008-05-29 19:52 . 2008-05-29 19:52 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-05-29 19:51 . 2008-05-31 08:18 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\U3
2008-05-29 18:47 . 2008-05-29 18:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-29 18:43 . 2008-05-01 16:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-29 18:43 . 2008-05-30 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-29 18:43 . 2008-05-29 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-29 18:43 . 2008-05-29 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-28 05:58 . 2008-05-28 05:58 <DIR> d-------- C:\Programme\HP
2008-05-28 05:58 . 2008-05-28 05:58 214 --a------ C:\WINDOWS\HP_48BitScanUpdatePatch.ini
2008-05-27 06:07 . 2008-05-27 06:12 19,554 --a------ C:\WINDOWS\hpoins01.dat
2008-05-27 06:07 . 2003-04-22 15:10 16,606 --------- C:\WINDOWS\hpomdl01.dat
2008-05-27 06:01 . 2008-05-27 06:01 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-05-27 05:56 . 2008-05-27 05:56 <DIR> d-------- C:\temp\HP All-in-One Series Web Release
2008-05-26 21:44 . 2008-05-26 21:49 35,480 --ah----- C:\hpothb07.tif
2008-05-26 21:44 . 2008-05-26 21:51 798 --ah----- C:\hpothb07.dat
2008-05-26 21:04 . 2008-05-26 21:04 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Hewlett-Packard
2008-05-24 19:11 . 2008-05-29 06:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\UseNeXT
2008-05-24 18:56 . 2008-05-24 19:36 50 --a------ C:\WINDOWS\MegaManager.INI
2008-05-24 18:49 . 2008-05-24 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Megaupload
2008-05-23 19:44 . 2008-05-23 19:44 <DIR> d-------- C:\Programme\Ontrack
2008-05-23 18:22 . 2008-05-23 18:22 224 --a------ C:\WINDOWS\system32\9B13A86D.plf
2008-05-23 17:58 . 2008-05-23 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-18 07:28 . 2008-05-18 07:29 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\OpenOffice.org2
2008-05-18 06:08 . 2008-05-18 06:08 <DIR> d-------- C:\WINDOWS\Sun
2008-05-17 21:22 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-17 21:21 . 2008-05-18 07:26 <DIR> d-------- C:\Programme\Java
2008-05-17 21:17 . 2008-05-17 21:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-17 06:54 . 2008-05-17 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Nokia Multimedia Player
2008-05-13 20:41 . 2008-05-13 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Itsth
2008-05-13 20:13 . 2008-05-13 20:15 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-05-12 12:16 . 2008-05-12 12:16 1,188 --a------ C:\WINDOWS\mozver.dat
2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\system32\de
2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-12 10:21 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-05-12 10:21 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-05-12 10:21 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-05-12 10:21 . 2008-04-14 04:23 32,768 --------- C:\WINDOWS\system32\setupn.exe
2008-05-12 10:21 . 2008-04-13 20:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-05-12 10:19 . 2008-04-14 04:22 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-05-12 10:18 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-05-12 09:32 . 2008-05-12 10:56 2,608 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-12 09:31 . 2008-05-12 09:31 100,864 --a------ C:\WINDOWS\system32\drivers\avmaura.sys
2008-05-12 09:03 . 2008-05-30 06:55 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!
2008-05-12 09:02 . 2008-05-12 09:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM
2008-05-11 18:35 . 2004-10-12 12:04 376,832 --------- C:\WINDOWS\system32\Ncs2DMIX.dll
2008-05-11 18:35 . 2004-09-16 03:15 372,736 --------- C:\WINDOWS\system32\NcsCoLib.dll
2008-05-11 18:35 . 2004-09-23 03:34 249,856 --------- C:\WINDOWS\system32\Accesor.dll
2008-05-11 18:35 . 2004-12-21 17:11 135,168 --------- C:\WINDOWS\system32\PRONtObj.dll
2008-05-11 18:35 . 2004-09-16 03:34 126,976 --------- C:\WINDOWS\system32\Ncs2InstUtility.dll
2008-05-11 18:35 . 2004-12-21 17:11 110,592 --a------ C:\WINDOWS\system32\drivers\ianswxp.sys
2008-05-11 18:35 . 2004-12-21 17:11 81,920 --------- C:\WINDOWS\system32\drivers\iansmsg.dll
2008-05-11 18:35 . 2004-08-05 12:30 19,456 --------- C:\WINDOWS\system32\drivers\iqvw32.sys
2008-05-11 18:35 . 2004-12-21 17:11 1,902 --------- C:\WINDOWS\system32\SetupBD.din
2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a------ C:\WINDOWS\system32\drivers\e100b325.sys
2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys
2008-05-11 18:34 . 2004-12-21 17:11 122,880 --a------ C:\WINDOWS\system32\Prounstl.exe
2008-05-11 18:34 . 2004-12-21 17:11 24,576 --a------ C:\WINDOWS\system32\e100bmsg.dll
2008-05-11 18:34 . 2004-12-21 17:11 19,968 --a------ C:\WINDOWS\system32\IntelNic.dll
2008-05-11 18:34 . 2004-12-21 17:11 5,110 --a------ C:\WINDOWS\system32\e100b325.din
2008-05-11 08:50 . 2008-05-11 08:50 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-11 06:49 . 1999-06-18 23:49 165,888 --a------ C:\WINDOWS\Ckconfig.exe
2008-05-11 06:49 . 2006-03-01 03:10 69,632 --a------ C:\WINDOWS\system32\Crypserv.exe
2008-05-11 06:49 . 2006-01-10 04:47 31,846 --a------ C:\WINDOWS\system32\Ckldrv.sys
2008-05-11 06:49 . 1996-05-03 19:21 27,648 -ra------ C:\WINDOWS\Setup_ck.exe
2008-05-11 06:49 . 1996-05-03 17:36 18,432 --a------ C:\WINDOWS\Setup_ck.dll
2008-05-11 06:49 . 1995-07-04 20:33 11,776 --a------ C:\WINDOWS\Ckrfresh.exe
2008-05-11 06:49 . 2008-05-11 06:49 1,680 --a------ C:\WINDOWS\system32\esnecil.nlp
2008-05-11 06:49 . 2008-05-11 16:28 1,680 --a------ C:\WINDOWS\system32\esnecil.ind
2008-05-11 06:49 . 2008-05-11 06:49 67 --a------ C:\WINDOWS\Crypkey.ini
2008-05-11 06:49 . 2008-05-11 06:49 4 --a------ C:\WINDOWS\vx86036.dat
2008-05-10 07:43 . 2008-05-10 07:43 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\InstallShield
2008-05-10 06:17 . 2008-05-10 06:17 36,864 --a------ C:\WINDOWS\system32\BGData.bin
2008-05-07 06:36 . 2008-05-23 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\The Bat!
2008-05-07 06:35 . 2008-05-07 19:04 <DIR> d-------- C:\Programme\The Bat!
2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Japler
2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Japler
2008-05-06 21:55 . 2002-07-17 16:03 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-05-06 21:55 . 2002-07-17 15:05 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-05-06 21:42 . 2008-05-06 22:01 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF
2008-05-06 20:52 . 2008-05-06 20:57 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Aid4Mail
2008-05-06 06:39 . 2008-05-11 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\AdobeUM
2008-05-04 19:24 . 2005-12-12 17:27 19,072 --a------ C:\WINDOWS\system32\drivers\PS2.sys
2008-05-04 19:23 . 2008-05-27 05:56 <DIR> d-------- C:\temp
2008-05-04 19:23 . 2008-05-04 19:23 <DIR> d-------- C:\HP
2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\Programme\Compaq
2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\i386
2008-05-04 18:11 . 2002-03-05 15:45 6,864 --a------ C:\WINDOWS\system32\drivers\eabfiltr.sys
2008-05-04 18:11 . 2002-01-28 16:43 5,168 --a------ C:\WINDOWS\system32\drivers\EabUsb.sys
2008-05-04 18:10 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-05-04 09:47 . 2008-05-11 18:35 <DIR> d-------- C:\Programme\Intel
2008-05-04 09:35 . 2006-12-28 01:02 4,352 -ra------ C:\WINDOWS\system32\drivers\avmeject.sys
2008-05-04 09:29 . 2008-05-04 09:29 <DIR> d-------- C:\Programme\Analog Devices
2008-05-04 06:10 . 2008-05-04 06:10 2,322,432 --a------ C:\WINDOWS\system32\TUKernel.exe
2008-05-04 06:06 . 2008-05-04 06:06 <DIR> d-------- C:\WINDOWS\Icons
2008-05-03 19:19 . 2008-05-03 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 04:35 --------- d-----w C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax für FRITZ!Box
2008-05-01 14:38 --------- d-----w C:\Programme\microsoft frontpage
2008-05-01 14:37 --------- d-----w C:\Programme\Online-Dienste
2008-05-01 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-14 02:23 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 02:23 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 02:23 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 02:23 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 02:23 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 02:23 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 01:57 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 01:50 41,856 ------w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ------w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ------w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ------w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
2008-04-13 18:51 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys
2008-04-13 18:51 59,904 ----a-w C:\WINDOWS\system32\drivers\atmarpc.sys
2008-04-13 18:51 55,808 ----a-w C:\WINDOWS\system32\drivers\atmlane.sys
2008-04-13 18:51 101,120 ------w C:\WINDOWS\system32\drivers\bthpan.sys
2008-04-13 18:46 59,136 ------w C:\WINDOWS\system32\drivers\rfcomm.sys
2008-04-13 18:46 37,888 ------w C:\WINDOWS\system32\drivers\bthmodem.sys
2008-04-13 18:46 36,480 ------w C:\WINDOWS\system32\drivers\bthprint.sys
2008-04-13 18:46 25,344 ----a-w C:\WINDOWS\system32\drivers\sonydcam.sys
2008-04-13 18:46 18,944 ------w C:\WINDOWS\system32\drivers\bthusb.sys
2008-04-13 18:46 17,024 ------w C:\WINDOWS\system32\drivers\bthenum.sys
2008-04-13 18:46 121,984 ------w C:\WINDOWS\system32\drivers\usbvideo.sys
2008-04-13 18:44 81,664 ----a-w C:\WINDOWS\system32\drivers\videoprt.sys
2008-04-13 18:44 20,992 ----a-w C:\WINDOWS\system32\drivers\vga.sys
2008-04-13 18:43 14,208 ------w C:\WINDOWS\system32\drivers\wacompen.sys
2008-04-13 18:43 12,672 ------w C:\WINDOWS\system32\drivers\mutohpen.sys
2008-04-13 18:39 92,544 ----a-w C:\WINDOWS\system32\drivers\mqac.sys
2008-04-13 18:39 7,552 ----a-w C:\WINDOWS\system32\drivers\mskssrv.sys
2008-04-13 18:39 5,376 ----a-w C:\WINDOWS\system32\drivers\mspclock.sys
2008-04-13 18:39 42,368 ----a-w C:\WINDOWS\system32\drivers\mountmgr.sys
2008-04-13 18:39 4,992 ----a-w C:\WINDOWS\system32\drivers\mspqm.sys
2008-04-13 18:39 4,352 ----a-w C:\WINDOWS\system32\drivers\swenum.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-29_20.59.14.68 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-29 18:40:31 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-31 10:13:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-01-21 16:12:52 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-03-04 11:28:49 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-11-08 17:03:26 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\FCol32.Dll
+ 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\Ffax32.Dll
- 2008-04-14 02:22:31 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrv.dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRV.DLL
- 2008-04-14 02:22:31 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrvui.dll
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRVUI.DLL
- 2007-05-15 08:08:53 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unires.dll
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIRES.DLL
+ 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\Ffax32.Dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRV.DLL
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRVUI.DLL
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIRES.DLL
+ 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\FCol32.Dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRV.DLL
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRVUI.DLL
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIRES.DLL
+ 2005-09-22 23:35:10 65,536 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0ee63867\vcomp.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 22:30 188416]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44 61440]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PC Suite Tray"="D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RoxioDragToDisc"="C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
"Matrox Powerdesk"=C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
"Acrobat Assistant 7.0"="D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"D:\\Programme\\FRITZ!DSL\\StCenter.exe"=
"D:\\Programme\\FRITZ!DSL\\FwebProt.exe"=
"D:\\Programme\\FRITZ!DSL\\FritzDsl.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"D:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=
"D:\\Programme\\TomTom HOME\\TomTomHOME.exe"=
"D:\\Programme\\Opera\\Opera.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"D:\\Programme\\TuneUp Utilities 2008\\Integrator.exe"=
"D:\\Programme\\FRITZ!fax\\FriFax32.exe"=

R2 IGDCTRL;AVM IGD CTRL Service;D:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14]
R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ []
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\plcndis5.sys [2004-05-17 11:21]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 04:23]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-12 09:31]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-24 19:34]
S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39]
S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6e3ce26-1b9a-11dd-a4e6-fc3e2856d191}]
\Shell\AutoRun\command - L:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc29082c-17c6-11dd-a4d5-80610055969f}]
\Shell\AutoRun\command - L:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-05-31 10:13:23 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-05-27 04:14:13 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp officejet 6100 series#1211861545.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe:-I
"2008-05-28 16:00:00 C:\WINDOWS\Tasks\ParetoLogic Registration.job"
- C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 12:14:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\system32\Crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mgabg.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
D:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-31 12:21:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-31 10:20:51
ComboFix2.txt 2008-05-30 19:42:43
ComboFix3.txt 2008-05-29 19:00:20

8 Verzeichnis(se), 23,757,455,360 Bytes frei
10 Verzeichnis(se), 23,745,593,344 Bytes frei

399 --- E O F --- 2008-05-04 18:24:50


neuer HJT-Log:
Bei der Kurzauswertung wurde nichtsmehr angezeigt.
Lange Version wieder im Anhang!!


Danke!!!

#4 Hallo Eisbaer
poste die Daten (nicht alle, nur einen monat von jedem)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

hier der Datfind-Log:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS\system32

31.05.2008 12:15 13.002 wpa.dbl
30.05.2008 20:55 27 MPFServiceFailureCount.txt
25.05.2008 17:18 97.324 perfc009.dat
25.05.2008 17:18 509.066 perfh009.dat
25.05.2008 17:18 542.376 perfh007.dat
25.05.2008 17:18 119.472 perfc007.dat
25.05.2008 17:18 1.284.822 PerfStringBackup.INI
25.05.2008 16:39 1.919 AUTOEXEC.NT
24.05.2008 19:34 355.584 TuneUpDefragService.exe
23.05.2008 18:22 224 9B13A86D.plf
18.05.2008 07:43 293.272 FNTCACHE.DAT
18.05.2008 07:26 6.074 jupdate-1.6.0_04-b12.log
17.05.2008 21:22 6.641 jupdate-1.6.0_05-b13.log
12.05.2008 10:56 2.608 d3d9caps.dat
12.05.2008 10:54 90 spupdwxp.log
11.05.2008 16:28 1.680 esnecil.ind
11.05.2008 06:49 1.680 esnecil.nlp
10.05.2008 06:17 36.864 BGData.bin
09.05.2008 14:35 16.863.864 MRT.exe
04.05.2008 06:10 2.322.432 TUKernel.exe
03.05.2008 08:48 2.496 d3d8caps.dat
03.05.2008 08:07 16.832 amcompat.tlb
03.05.2008 08:07 23.392 nscompat.tlb
02.05.2008 01:55 138.558 TZLog.log
01.05.2008 20:12 103 ROXECDC6Inst.log
01.05.2008 18:11 12.922 wpa.bak
01.05.2008 17:32 0 h323log.txt
01.05.2008 16:43 25.065 wmpscheme.xml
01.05.2008 16:41 261 $winnt$.inf
01.05.2008 16:38 2.951 CONFIG.NT
01.05.2008 16:37 488 WindowsLogon.manifest
01.05.2008 16:37 488 logonui.exe.manifest
01.05.2008 16:37 749 nwc.cpl.manifest
01.05.2008 16:37 749 ncpa.cpl.manifest
01.05.2008 16:37 749 cdplayer.exe.manifest
01.05.2008 16:37 749 sapi.cpl.manifest
01.05.2008 16:37 749 wuaucpl.cpl.manifest
01.05.2008 16:35 21.740 emptyregdb.dat
2147 Datei(en) 444.832.956 Bytes
0 Verzeichnis(se), 23.749.738.496 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\DOKUME~1\IVANPL~1\LOKALE~1\Temp

31.05.2008 18:28 105.344 datfind.txt
31.05.2008 18:27 114.688 ~DFE239.tmp
31.05.2008 18:27 1.765 U3Launcher.log

4 Datei(en) 709.221 Bytes
0 Verzeichnis(se), 23.749.763.072 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS

31.05.2008 17:52 28.145 WindowsUpdate.log
31.05.2008 17:00 32.502 SchedLgU.Txt
31.05.2008 12:20 4.035 error.log
31.05.2008 12:15 764 win.ini
31.05.2008 12:14 246 system.ini
31.05.2008 12:14 0 0.log
31.05.2008 12:13 157 wiadebug.log
31.05.2008 12:13 50 wiaservc.log
31.05.2008 12:13 2.048 bootstat.dat
31.05.2008 12:13 76 errord.log
28.05.2008 05:58 214 HP_48BitScanUpdatePatch.ini
27.05.2008 06:12 19.554 hpoins01.dat
24.05.2008 19:36 50 MegaManager.INI
12.05.2008 19:30 400 ODBC.INI
12.05.2008 12:16 1.188 mozver.dat
11.05.2008 06:49 4 vx86036.dat
11.05.2008 06:49 67 Crypkey.ini
03.05.2008 07:57 316.640 WMSysPr9.prx
02.05.2008 01:14 35 tdf.dii
02.05.2008 01:14 311 tm.ini
01.05.2008 20:39 0 nsreg.dat
01.05.2008 17:38 492 WinInit.Ini
01.05.2008 17:31 0 Sti_Trace.log
01.05.2008 16:42 8.192 REGLOCS.OLD
01.05.2008 16:38 0 control.ini
01.05.2008 16:38 299.552 WMSysPrx.prx
01.05.2008 16:38 4.161 ODBCINST.INI
01.05.2008 16:37 749 WindowsShell.Manifest
01.05.2008 16:34 37 vbaddin.ini
01.05.2008 16:34 36 vb.ini
87 Datei(en) 5.205.085 Bytes
0 Verzeichnis(se), 23.749.758.976 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

01.05.2008 16:37 65 desktop.ini
6 Datei(en) 1.529.082 Bytes
0 Verzeichnis(se), 23.749.754.880 Bytes frei
.
.
.


Danke!

#6 Hallo Eisbaer

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

dann sollte wieder alles sauber sein...oder kommen noch popups ???
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

keine Pop-Ups mehr, und auch keine Meldungen von Mal-Ware oder AntiVir!!!

Echt Spitze!!! :-D

Nochmals vielen vielen Dank für die schnelle Hilfe und Unterstützung!!!!
Einen schönen restlichen Sonntag noch!!!

Gruß Eisbaer

#8 Hallo, Ihr lieben HelferInnen,
ich bin auf Reisen und "darf" den PC meines Freundes benutzen. Ich schalte ein und bekomme all die unlustigen Popups von Syskontroller. Hab inzwischen den Cleaner laufen lassen, Combofix versucht, da kommt ein Fenster, dass ich ihn nicht umbenennen kann in Combofix[1], habe Hijack This geladen und folgendes Logfile bekommen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:31, on 02.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\zstatus.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=10&ct=1208758284&rver=4.5.2130.0&wp=MBI&wreply=http:%2F%2
Fmail.live.com%2Fdefault.aspx&id=64855
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\Run: [vOCwUeAj] C:\WINDOWS\vkgrma.exe
O4 - HKLM\..\Run: [sais] c:\programme\180searchassistant\sais.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NI.UGDCDE_0001_N122M1912] "C:\dokumente und einstellungen\schnetzler\anwendungsdaten\installer_de[1].exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe"
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Quick Help.lnk = C:\Programme\Bluewin\Quick Help\bin\matcli.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094582102733
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 7948 bytes


Was kann ich als nächstes tun?
Liebe Grüsse
Eveline

#9 Eveline

««
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe

O4 - HKLM\..\Run: [vOCwUeAj] C:\WINDOWS\vkgrma.exe

O4 - HKLM\..\Run: [sais] c:\programme\180searchassistant\sais.exe

O4 - HKLM\..\Run: [NI.UGDCDE_0001_N122M1912] "C:\dokumente und einstellungen\schnetzler\anwendungsdaten\installer_de[1].exe"

O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe"

O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"

O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe

PC neustarten

««
wende sdfix an
http://virus-protect.org/artikel/tools/sdfix.html
im normalmodus
RunThis.bat doppelt klicken

schreib rein: A
poste hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Liebe Sabina,
beim SDFix kommt ein Fenster, dass die Systemdatein nicht geeignet ist, um Anwendungen für MS-DOS oder Microsoft auszuführen.
Was tun?
...hats nach "Schliessen" doch gemacht, hier der Bericht:

System Report
*************

Run on 02.07.2008 at 14:45

Microsoft Windows XP [Version 5.1.2600]

Current user is an administrator

Running Processes:

\SystemRoot\System32\smss.exe [668]
\??\C:\WINDOWS\system32\csrss.exe [768]
\??\C:\WINDOWS\system32\winlogon.exe [792]
C:\WINDOWS\system32\services.exe [836]
C:\WINDOWS\system32\lsass.exe [848]
C:\WINDOWS\system32\svchost.exe [1008]
C:\WINDOWS\system32\svchost.exe [1104]
C:\WINDOWS\System32\svchost.exe [1268]
C:\WINDOWS\System32\svchost.exe [1316]
C:\WINDOWS\System32\svchost.exe [1488]
C:\WINDOWS\system32\spoolsv.exe [1620]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [1664]
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [1892]
C:\WINDOWS\system32\svchost.exe [1920]
C:\Programme\Microsoft LifeCam\MSCamS32.exe [1956]
C:\WINDOWS\System32\svchost.exe [2020]
C:\WINDOWS\System32\alg.exe [696]
C:\WINDOWS\Explorer.EXE [392]
C:\WINDOWS\SOUNDMAN.EXE [1508]
C:\Programme\QuickTime\qttask.exe [288]
C:\Programme\ScanSoft\OmniPageSE\opware32.exe [1208]
C:\WINDOWS\system32\rundll32.exe [2036]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2012]
C:\WINDOWS\system32\ctfmon.exe [748]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [916]
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [180]
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2068]
C:\Programme\Logitech\SetPoint\kem.exe [2084]
C:\Programme\Nikon\PictureProject\NkbMonitor.exe [2128]
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2136]
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE [2140]
C:\Programme\Windows Live\Messenger\usnsvc.exe [2912]
C:\Programme\Internet Explorer\IEXPLORE.EXE [2968]


Drivers - Running:

ACPI
AFD
ALCXWDM
Arp1394
atapi
audstub
avgio
avgntflt
avipbb
Beep
BridgeMP
Cdfs
Cdrom
Disk
dmio
dmload
Fdc
Fips
Flpydisk
FltMgr
Ftdisk
gagp30kx
gameenum
Gpc
HidUsb
HTTP
i8042prt
Imapi
intelppm
Intels51
IpNat
IPSec
isapnp
Kbdclass
kbdhid
kmixer
KSecDD
L8042mou
LMouKE
mnmdd
Modem
Mouclass
MountMgr
MRxDAV
MRxSmb
Msfs
mssmbios
ms_mpu401
Mup
NDIS
NdisTapi
Ndisuio
NdisWan
NDProxy
NetBIOS
NetBT
NIC1394
Npfs
Ntfs
Null
nv
ohci1394
Parport
PartMgr
ParVdm
PCI
PCIIde
Pfc
PptpMiniport
PSched
Ptilink
RasAcd
Rasl2tp
RasPppoe
Raspti
Rdbss
RDPCDD
rdpdr
redbook
ROOTMODEM
serenum
Serial
SISNIC
sr
Srv
ssmdrv
swenum
sysaudio
Tcpip
TermDD
Update
usbaudio
usbccgp
usbehci
usbhub
usbohci
usbscan
usbstor
VgaSave
VolSnap
VX1000
Wanarp
wdmaud


Drivers - Stopped:

Abiosdsk
abp480n5
ACPIEC
adpu160m
aec
Aha154x
aic78u2
aic78xx
AliIde
amsint
asc
asc3350p
asc3550
AsyncMac
Atdisk
Atmarpc
Bridge
btaudio
BTDriver
BthEnum
BthPan
BTHPORT
BTHUSB
BTWDNDIS
BTWUSB
cbidf2k
CCDECODE
cd20xrnt
Cdaudio
Changer
CmdIde
Cpqarray
dac960nt
DCamUSBEMPIA
dmboot
DMusic
dpti2o
drmkaud
emAudio
Fastfat
FiltUSBEMPIA
hpn
hpt3xx
i2omgmt
i2omp
ini910u
IntelIde
ip6fw
IpFilterDriver
IpInIp
IRENUM
lbrtfdc
mouhid
mraid35x
MRENDIS5
MSKSSRV
MSPCLOCK
MSPQM
MSTEE
NABTSFEC
NdisIP
NwlnkFlt
NwlnkFwd
PCIDump
Pcmcia
PDCOMP
PDFRAME
PDRELI
PDRFRAME
perc2
perc2hib
Processor
ql1080
Ql10wnt
ql12160
ql1240
ql1280
RDPWD
RFCOMM
ScanUSBEMPIA
Secdrv
Sfloppy
Simbad
SLIP
Sparrow
splitter
streamip
swmidi
symc810
symc8xx
sym_hi
sym_u3
TDPIPE
TDTCP
TosIde
Udfs
ultra
usbprint
ViaIde
WDICA
WSTCODEC
WudfPf
WudfRd


Services - Running:

ALG
AntiVirScheduler
AntiVirService
AudioSrv
BITS
BthServ
CryptSvc
DcomLaunch
Dhcp
dmserver
Dnscache
ERSvc
Eventlog
EventSystem
helpsvc
lanmanserver
lanmanworkstation
LmHosts
MSCamSvc
Netman
Nla
PlugPlay
PolicyAgent
ProtectedStorage
RasMan
RemoteRegistry
RpcSs
SamSs
Schedule
seclogon
SENS
SharedAccess
ShellHWDetection
Spooler
srservice
SSDPSRV
stisvc
TapiSrv
TermService
Themes
TrkWks
usnjsvc
W32Time
WebClient
winmgmt
wscsvc
wuauserv
WZCSVC


Services - Stopped:

Alerter
AppMgmt
Browser
cisvc
ClipSrv
COMSysApp
dmadmin
FastUserSwitchingCompatibility
HidServ
HTTPFilter
ImapiService
Messenger
mnmsrvc
MSDTC
MSIServer
NetDDE
NetDDEdsdm
Netlogon
NtLmSsp
NtmsSvc
ose
RasAuto
RDSessMgr
RemoteAccess
RpcLocator
RSVP
SCardSvr
SwPrv
SysmonLog
TlntSvr
upnphost
UPS
VSS
WLSetupSvc
WmdmPmSN
Wmi
WmiApSrv
WMPNetworkSvc
WudfSvc
xmlprov


Files Created/Modified - 60 Days:


C:\



C:\WINDOWS\



C:\Programme\



Files with hidden attributes:



Program Folders:

C:\Programme\

Adobe
Ahead
ArcSoft
Avira
Bluewin
Bluewin(Router)
Canon
CCleaner
Common Files
DNS
FestplattenReiniger
Gemeinsame Dateien
Google
HighMAT CD Writing Wizard
hp Laserjet 1005
InstallShield Installation Information
Internet Explorer
InterVideo
Java
Lavasoft
Logitech
media
Messenger
microsoft frontpage
Microsoft Games
Microsoft LifeCam
Microsoft Office
Microsoft Visual Studio
Microsoft Works
Microsoft.NET
Motive
Movie Maker
MSN Gaming Zone
NetMeeting
Nikon
Office10
Office-Bibliothek
Online Services
Online-Dienste
Outlook Express
Pinnacle
QuickTime
Save
ScanSoft
Sibelius Software
Skype
Spybot - Search & Destroy
SysKontroller
Templates
Tetrixx
Trend Micro
Uninstall Information
Windows Live
Windows Live Toolbar
Windows Media Connect 2
Windows Media Player
Windows NT
WinRAR
xerox
Yahoo!
Zattoo

C:\Programme\Gemeinsame Dateien\

Adobe
Buhl Data Service
Designer
Dienste
FestplattenReiniger
InstallShield
Java
Logitech
Microsoft Shared
Motive
MSSoap
Nikon
ODBC
ScanSoft Shared
Skype
SpeechEngines
Symantec Shared
SysKontroller
System
Windows
WindowsLiveInstaller


Add/Remove Programs:

Ad-Aware SE Personal
Adobe Acrobat 5.0
Adobe Flash Player ActiveX
Avira AntiVir Personal – Free Antivirus
Canon PIXMA iP3000
CCleaner (remove only)
Remove DivX Codec
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
Easy-WebPrint
HijackThis 2.0.2
Microsoft Internationalized Domain Names Mitigation APIs
Windows Internet Explorer 7
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB867282
Microsoft Data Access Components KB870669
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Sicherheitsupdate für Windows XP (KB883939)

Nikon FotoShare
Microsoft National Language Support Downlevel APIs
NeroMediaPlayer
QuickTime

Microsoft User-Mode Driver Framework Feature Pack 1.0
ArcSoft PhotoStudio 5
Google Toolbar for Internet Explorer
Windows Live Messenger
Logitech SetPoint
Skype™ 3.6
OmniPage SE
Logitech Desktop Messenger
Nero
Adobe Reader 8.1.2 - Deutsch
Windows Live Anmelde-Assistent
CanoScan LiDE20,30 Manual
Spybot - Search & Destroy
Canon CanoScan Toolbox 4.1
ArcSoft PhotoBase 3
Nikon Message Center
Canon PhotoRecord
hp Laserjet 1005
PictureProject


Run Values:

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"WhenUSave"="C:\\PROGRA~1\\Save\\Save.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"p2pnetworking"="p2pnetworking.exe"
"vOCwUeAj"="C:\\WINDOWS\\vkgrma.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"Adobe Reader Speed Launcher"="\"C:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"avgnt"="\"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"LifeCam"="\"C:\\Programme\\Microsoft LifeCam\\LifeExp.exe\""
"WhenUSearch"="\"C:\\Programme\\WhenUSearch\\Search.exe\""
"Power Scan"="C:\\Programme\\Power Scan\\powerscan.exe"
"IST Service"="C:\\Programme\\ISTsvc\\istsvc.exe"
"NI.UGESU_0001_N122M0303"="\"c:\\dokumente und einstellungen\\schnetzler\\anwendungsdaten\\setup_de[1].exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"MsnMsgr"="\"C:\\Programme\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"


Bot Check:

SERVICE_NAME: wscsvc
DISPLAY_NAME : Sicherheitscenter
START_TYPE : 2 AUTO_START

SERVICE_NAME: sharedaccess
DISPLAY_NAME : Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
START_TYPE : 2 AUTO_START

SERVICE_NAME: wuauserv
DISPLAY_NAME : Automatische Updates
START_TYPE : 2 AUTO_START

SERVICE_NAME: srservice
DISPLAY_NAME : Systemwiederherstellungsdienst
START_TYPE : 2 AUTO_START

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="Y"

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"p2pnetworking"="p2pnetworking.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"WaitToKillServiceTimeout"="20000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000000
"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions]



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"TransportBindName"="\\Device\\"


ShellExecuteHooks:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Environment:


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\environment
ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe
Path REG_EXPAND_SZ %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
windir REG_EXPAND_SZ %SystemRoot%
OS REG_SZ Windows_NT
PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP REG_EXPAND_SZ %SystemRoot%\TEMP
TMP REG_EXPAND_SZ %SystemRoot%\TEMP

SecurityProviders:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Authentication Packages:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0


Subsystem Startup:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"


Midi Drivers:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi"="wdmaud.drv"
"midi1"="wdmaud.drv"


Non-Default IFEO Debugger:


Non-Default Installed Components:


Non-Default Safeboot Minimal:


File Associations:


[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\cmdfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\htafile\shell\open\command]
@="C:\\WINDOWS\\system32\\mshta.exe \"%1\" %*"

[HKEY_CLASSES_ROOT\http\shell\open\command]
@="\"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE\" -nohome"

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
@="\"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE\" -nohome"

[HKEY_CLASSES_ROOT\regedit\shell\open\command]
@="regedit.exe %1"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="%SystemRoot%\system32\NOTEPAD.EXE %1"


Finished!

#11 1.
fixe die oben angegebenen Einträge mit HijackThis + starte den Rechner neu

2.
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Programme\ISTsvc
C:\Programme\Power Scan
C:\Programme\WhenUSearch
C:\Programme\SysKontroller
C:\Programme\Save
C:\Programme\FestplattenReiniger
C:\Programme\Gemeinsame Dateien\FestplattenReiniger
C:\Programme\Gemeinsame Dateien\SysKontroller
C:\WINDOWS\vkgrma.exe
c:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe

Klicke auf den Roten MoveIt!

Text im rechten Fenster / Results
Mit rechtem Mausklick abkopieren und im Forenbeitrag mit rechtem Mausklick "einfügen"
------------------------

«
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
1. BFU (Brute Force Uninstaller) kann man hier herunterladen: --> http://www.merijn.org/files/bfu.zip

2. als zip-Datei : p2pnetwork.zip
http://virus-protect.org/artikel/bfu/p2pnetwork.zip
unbedingt auf das Desktop laden
--> entzippe--> Datei p2pnetwork.bfu

3. Öffne den Brute Force Uninstaller

klicke auf -->>


-> und suche die p2pnetwork.bfu (unter Desktop) --> öffnen

* show log after script ends (anhaken)
* Execute klicken

poste hier den report, der erstellt wird

--------------------------------------------

3.
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

p2pnetworking

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 So, bin wieder am Rechner.
Hab die Dateien mit der Hand eingetippt und MoveIt gedrückt, hier das Ergebnis:

File/Folder C:\Programme\ISTsvc not found.
File/Folder C:\Programme\Power Scan not found.
File/Folder C:\Programme\WhenUSearch not found.
C:\Programme\SysKontroller\Res moved successfully.
Folder move failed. C:\Programme\SysKontroller scheduled to be moved on reboot.
C:\Programme\Save moved successfully.
C:\Programme\FestplattenReiniger moved successfully.
C:\Programme\Gemeinsame Dateien\FestplattenReiniger moved successfully.
C:\Programme\Gemeinsame Dateien\SysKontroller moved successfully.
File/Folder C:\WINDOWS\vkgrma.exe not found.

2. Versuch, meinen Beitrag zu aktualisieren:
Hier das Ergebnis von Regsearch:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 02.07.2008 23:05:27 for strings:
; 'p2pnetworking'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"p2pnetworking"="p2pnetworking.exe"

; End Of The Log...

Hoffe, jetzt passt es.
Dankbare Grüsse
Eveline

Und hier die von regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 02.07.2008 23:05:27 for strings:
; 'p2pnetworking'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"p2pnetworking"="p2pnetworking.exe"

; End Of The Log...

Hoffentlich ist jetzt alles in Ordnung...
Dankbare Grüsse
Eveline
< C:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe >
C:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe moved successfully.
File/Folder not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07022008_221826

Und hier das Ergebnis vom bfu:

BFU v1.11.0
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 23:01:53, on 02.07.2008

Success: FolderSetAttributes C:\WINDOWS\system32|A
Failed: RegDelValue HKCU\System\CurrentControlSet\Control\Lsa|p2pnetwork (key not found)
Failed: RegDelValue HKCU\System\CurrentControlSet\Control\Lsa|outlook (key not found)
Failed: RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations|LowRiskFileTypes (key not found)
Success: RegSetDwordValue HKLM\System\CurrentControlSet\Control\Lsa|Restrictanonymous|0
Success: RegSetStringValue HKLM\SOFTWARE\Microsoft\OLE|EnableDCOM|Y
Option pause between commands: 300 ms
Failed: FolderDelete C:\Programme\MsConfigs (folder not found)
Failed: FolderDelete C:\Programme\winupdates (folder not found)
Failed: FolderDelete C:\Programme\winupdate (folder not found)
Failed: FolderDelete C:\Programme\winsupdater (folder not found)
Failed: FolderDelete C:\Programme\MsUpdate (folder not found)
Failed: FolderDelete C:\Programme\MsMovies (folder not found)
Failed: FolderDelete C:\Programme\outlook (folder not found)
Success: FileDelete C:\WINDOWS\system32\CMD.COM
Success: FileDelete C:\WINDOWS\system32\ping.com
Success: FileDelete C:\WINDOWS\system32\tasklist.com
Success: FileDelete C:\WINDOWS\system32\tracert.com
Script completed at 23:02:04.

#13 Eveline

abgetippt ??? Warum ? Konntest du es nicht von hier abkopieren ??? (linke Maustaste - Text markieren - rechte Maustaste - kopieren , dann im Fenster OTMoveIt - rechte Maustaste einfügen)

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken Und der Registry beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"p2pnetworking"=-

2.
lade counterspy, scanne, lasse alles gefundene entfernen + poste hier den report
http://virus-protect.org/counterspy1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 ...so, das hat ja ganz schön lange gedauert:

Scan History Details
Start Date: 03.07.2008 09:54:20
End Date: 03.07.2008 11:19:13
Total Time: 84 Min 53 Sec
Detected security risks

BearShare P2P Program more information...
Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Files detected
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\BearShare.lnk

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\BEARSHARE
HKEY_LOCAL_MACHINE\SOFTWARE\BEARSHARE
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell\open
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell\open\command
HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17}
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\EVENTLABELS\BEARSHARECHATNOTIFYMSG
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\EVENTLABELS\BEARSHARECHATNOTIFYMSG
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg\.Current
HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg\.Current


C2.Lop Hijacker more information...
Details: Lop is a group of spyware and hijacker programs that set your Internet Explorer start page and search features to use the site lop.com ('Live Online Portal') or one of its clone sites.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN


IST.PowerScan Adware (General) more information...
Details: PowerScan is advertised through in ordinary web pop-ups, but recently it started to install with help from the the ISTBar adware.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\POWER SCAN
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\POWER SCAN
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\POWER SCAN
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN


WhenU.Save Adware (General) more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Deleted

Files detected
C:\Dokumente und Einstellungen\Kaspar Schnetzler\Lokale Einstellungen\Temp\saveinstwm.exe

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WHENUSAVEMSG
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WHENUSAVEMSG
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WHENUSAVEMSG
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE
HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE


WhenU.WeatherCast Low Risk Adware more information...
Details: WeatherCast is an ad supported desktop weather program that that puts an icon in the system tray displaying the local temperature. It also offers current weather data and forecasts. Weathercast is often bundled with the Save advertising program and/or the WhenUSearch desktop toolbar.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WEATHERCAST
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WEATHERCAST
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WEATHERCAST


ABetterInternet Adware (General) more information...
Details: ABetterInternet shows advertisements based on the web pages you view and the web sites you visit.
Status: Deleted

Files detected
C:\WINDOWS\boncpar.htm


180solutions.SearchAssistant Adware (General) more information...
Details: 180search Assistant is an adware application that monitors users' search queries and web surfing in order to display targeted advertising.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\SAIS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\SAIS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\SAIS


WhenU.WhenUSearch Low Risk Adware more information...
Details: WhenU.WhenUSearch is a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN


YourSiteBar Toolbar more information...
Details: YourSiteBar from IST, the makers of numerous spyware threats, is an affiliate based marketing toolbar.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR\Historystring
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR
HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR


WindUpdates.MediaAccess Adware (General) more information...
Details: WindUpdates.MediaAccess is an adware program that spawns pop-ups on the desktop.
Status: Deleted

Files detected
C:\program files\Media Access\Info.txt


SearchNugget.DNSCatcher Browser Plug-in more information...
Details: SearchNugget.DNSCatcher (aka Shorty) is a browser helper object (BHO) for Internet Explorer that redirect search results.
Status: Deleted

Files detected
C:\Programme\DNS\affid.dat
C:\Programme\DNS\uid.dat


MyGeek/CPVFeed Browser Plug-in more information...
Details: MyGeek/CPVFeed is a browser helper object (BHO) that is often installed without the full knowledge of the user and which displays advertising on the desktop. This application is also known to hijack the browser by redirecting it to unwanted advertising-related web sites and pages.
Status: Deleted

Files detected
C:\WINDOWS\search_res.txt


WinXDefender Rogue Security Program more information...
Details: WinXDefender is a purported anti-spyware application to scan for and remove spyware from users' computers.
Status: Deleted

Files detected
C:\DOKUMENTE UND EINSTELLUNGEN\SCHNETZLER\ANWENDUNGSDATEN\WINXDEFENDER


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\schnetzler\cookies\schnetzler@bs.serving-sys[2].txt
c:\dokumente und einstellungen\schnetzler\cookies\schnetzler@serving-sys[2].txt

Jetzt bin ich gespannt, ob das alles ist
Eveline

#15 Hallo Eveline


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit