Neben Uhr steht Virus alert

#1 Hallo zusammen bin neu hier.
Also zum Problem:neben meiner Uhr steht Virus Alert.
Zudem kann ich alle Programme und Arbeitsplatz nicht mehr öffnen.
Auf dem Desktop erscheinen neue Verknüpfungen und der Hintergrund hat sich geändert.
THX im voraus
Hier das Hijack-Logfile:
Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 21:39: VIRUS ALERT!, on 05.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Anvshell.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VAV\vav.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
F:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ****.rro.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {1C1B8A44-61FE-411E-8F33-813A4E2E2984} - C:\WINDOWS\system32\avg_ss.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: nqgpedlr - {20EE85B7-6C5C-4083-B703-C0E7D76AC8E3} - C:\WINDOWS\nqgpedlr.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\phase6_V1_5\WinStart\WinStart. exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - h**ps://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} (Pixum EasyUploadX Control) - http://***.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.2.1.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O21 - SSODL: axrfgvek - {1C98539B-FC79-4B65-BAFD-F63AB687C35F} - C:\WINDOWS\axrfgvek.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 9683 bytes

#2 Hallo lousers

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: AVG Safe Search - {1C1B8A44-61FE-411E-8F33-813A4E2E2984} - C:\WINDOWS\system32\avg_ss.dll

O3 - Toolbar: nqgpedlr - {20EE85B7-6C5C-4083-B703-C0E7D76AC8E3} - C:\WINDOWS\nqgpedlr.dll

O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O21 - SSODL: axrfgvek - {1C98539B-FC79-4B65-BAFD-F63AB687C35F} - C:\WINDOWS\axrfgvek.dll

««
lösche diese dll mit undll
C:\WINDOWS\system32\avg_ss.dll
http://virus-protect.org/artikel/tools/undll.html

««
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\nqgpedlr.dll
C:\Programme\VAV

Klicke auf den Roten MoveIt!

---------------------------------------------------------------------

«
wende rvaxo im abgesicherten Modus (oder im normalmodus) an
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo bin jetzt vor dem letzten Schritt hier noch der Bericht!
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2

13:44:40 06.07.2008
mbam-log-7-6-2008 (13-44-40).txt

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|F:\|)
Objekte gescannt: 143145
Scan Dauer: 1 hour(s), 36 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 13
Infizierte Verzeichnisse: 1
Infizierte Dateien: 38

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\efcYQgDs.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{4937d5d1-2039-409a-bd83-fec9b39b2356} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{caf9d798-c659-4b9b-8e19-ee27c3d04ee7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1c1b8a44-61fe-411e-8f33-813a4e2e2984} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1c1b8a44-61fe-411e-8f33-813a4e2e2984} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1fe4bfc2-60db-461c-b734-1d40f120299a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1fe4bfc2-60db-461c-b734-1d40f120299a} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0045075-83695) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\avg_ss.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON\KeyGen\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\okfcf4az.default\Cache\9C6E4293d01 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\4.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1409082233-884357618-725345543-1004\Dc7.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D013D10C-0B9B-4459-863D-8E8336CD1FC2}\RP626\A0141873.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D013D10C-0B9B-4459-863D-8E8336CD1FC2}\RP626\A0141885.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D013D10C-0B9B-4459-863D-8E8336CD1FC2}\RP626\A0141895.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys153.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Sys155.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\0.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\3.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\5.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vav.cpl (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcYQgDs.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michel\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michel\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michel\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michel\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michel\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Thomi\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michel\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
Danke schonmal
hab noch ne frage wenn ich 4 benutzer habe muss ich das mit jedem machen???
mfg
ComboFix 08-07-05.1 - Liliane 2008-07-06 14:13:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.259 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Liliane\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\enmo.exe
C:\WINDOWS\system32\clbinit.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Service_clbdriver


((((((((((((((((((((((( Dateien erstellt von 2008-06-06 bis 2008-07-06 ))))))))))))))))))))))))))))))
.

2008-07-06 13:47 . 2008-07-06 13:47 <DIR> d-------- C:\RVAXO
2008-07-06 08:32 . 2008-07-06 08:32 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-06 08:32 . 2008-07-06 08:32 <DIR> d-------- C:\Dokumente und Einstellungen\Liliane\Anwendungsdaten\Malwarebytes
2008-07-06 08:32 . 2008-07-06 08:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-06 08:32 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-06 08:32 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 08:23 . 2008-07-06 13:47 153,508 --a------ C:\RVAXO.reg
2008-07-06 08:22 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-07-06 08:22 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-07-06 08:16 . 2008-07-06 08:16 <DIR> d-------- C:\_OTMoveIt
2008-07-05 20:38 . 2008-07-05 20:38 <DIR> d-------- C:\Programme\Alwil Software
2008-07-05 20:12 . 2008-07-05 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Liliane\Anwendungsdaten\TmpRecentIcons
2008-07-05 20:07 . 2008-07-05 20:07 <DIR> d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\TmpRecentIcons
2008-07-05 19:47 . 2008-07-05 19:47 <DIR> d-------- C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\TmpRecentIcons
2008-07-05 19:47 . 2002-08-29 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-05 19:46 . 2008-07-05 16:11 86,016 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-07-05 19:46 . 2008-07-03 20:14 32,256 --a------ C:\WINDOWS\Sys152.exe
2008-07-05 19:46 . 2008-07-03 20:14 30,208 --a------ C:\WINDOWS\Sys154.exe
2008-07-05 19:43 . 2008-07-05 19:43 26,624 --a------ C:\WINDOWS\system32\ant_sr.dll
2008-07-05 14:06 . 2008-07-05 14:06 <DIR> d-------- C:\Programme\CCleaner
2008-07-05 12:29 . 2008-07-05 19:47 10,784 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-05 12:29 . 2008-07-05 19:47 2,036 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-26 09:28 . 2008-06-26 09:28 <DIR> d-------- C:\Programme\Adobe Media Player
2008-06-26 09:27 . 2008-06-26 09:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-06-24 17:04 . 2008-06-24 17:04 <DIR> d-------- C:\Programme\Netlog
2008-06-24 17:04 . 2008-06-24 17:04 385,024 --a------ C:\WINDOWS\system32\Uninstall Netlog Photo Tool.exe
2008-06-17 21:21 . 2008-07-05 12:20 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-06-17 21:21 . 2008-07-05 12:20 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-06-17 21:19 . 2008-07-03 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-06-11 12:44 . 2008-06-11 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\Thomi\.scribus
2008-06-11 12:42 . 2008-06-11 12:43 <DIR> d-------- C:\Programme\Scribus 1.3.3.11
2008-06-11 12:36 . 2008-06-11 12:36 <DIR> d-------- C:\~MSSETUP.T
2008-06-11 09:59 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-05 10:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-03 13:50 --------- d-----w C:\Programme\XoftSpySE
2008-06-26 07:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-26 06:56 --------- d-----w C:\Programme\DivX
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-05 15:33 --------- d-----w C:\Programme\Windows Live
2008-06-05 15:32 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-06-05 15:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-04 16:50 --------- d-----w C:\Programme\Zattoo
2008-06-04 11:34 88 --sh--r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DD9BF49A6.sys
2008-06-04 11:34 2,516 --sha-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-05-30 14:40 --------- d--h--r C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\SecuROM
2008-05-25 19:38 --------- d-----w C:\Programme\Humax Download Tool
2008-05-23 15:15 --------- d-----w C:\Programme\Cyrano
2008-05-23 15:09 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-05-23 15:09 253,952 ------w C:\WINDOWS\Setup1.exe
2008-05-14 19:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-10-22 08:45 331776]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2002-11-23 02:15 631362]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-29 14:24 185896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-04-04 14:38 774144]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=
"D:\\SICHERHEITSCENTER\\KASPERSKYFINAL\\SETUP.EXE"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 PSI_SVC_2;Protexis Licensing V2;c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe [2007-07-24 12:15]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 sh5bus;SHARP GSM USB Control driver (WDM);C:\WINDOWS\system32\DRIVERS\sh5bus.sys [2005-06-25 02:40]
S3 sh5mdfl;SHARP GSM USB Modem Filter;C:\WINDOWS\system32\DRIVERS\sh5mdfl.sys [2005-06-25 02:42]
S3 sh5mdm;SHARP GSM USB Modem Driver;C:\WINDOWS\system32\DRIVERS\sh5mdm.sys [2005-06-25 02:42]
S3 sh5mgmt;SHARP GSM USB AT Command Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sh5mgmt.sys [2005-06-25 02:44]
S3 sh5obex;SHARP GSM USB OBEX Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sh5obex.sys [2005-06-25 02:45]
S3 USBSHGX;SHARP GSM GPRS USB Driver 2.1.0;C:\WINDOWS\system32\DRIVERS\usbgx_2.sys [2004-09-07 00:32]

.
Inhalt des "geplante Tasks" Ordners
"2008-06-27 12:28:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-07-05 20:37:03 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
__________________________________________________________________
Hier ein Hijack Logfile ist nun alles in Ordnung?
mfg lousers un vielen Dank

#4 Hallo,

«
wende cleaner an + lösche die temp-Dateien - im Firefox-Cache !
http://www.ccleaner.de/?protecus.de

«
du hast die obrige Anweisung nicht ausgeführt, also die avg_ss.dll mit undll nicht entfernt.
das hat dann malwarebytes gemacht
C:\WINDOWS\system32\avg_ss.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

diese ant_sr.dll hier wird noch nicht von Malwarebytes erkannt du musst sie also allein entfernen

1.
lösche diese dll mit undll
C:\WINDOWS\system32\ant_sr.dll
http://virus-protect.org/artikel/tools/undll.html

2.
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON
C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\TmpRecentIcons
C:\Programme\XoftSpySE
C:\WINDOWS\mrvtdpqe.exe
C:\WINDOWS\system32\drivers\beep.sys
C:\WINDOWS\Sys152.exe
C:\WINDOWS\Sys154.exe

Klicke auf den Roten MoveIt!

--------

scanne noch mal mit Malwarebytes, aber im abgesicherten Modus + berichte
+
poste ein neues Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo hier der Bericht
ComboFix 08-07-05.1 - Thomi 2008-07-06 18:14:00.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.249 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomi\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Leser\Lokale Einstellungen\Temporary Internet Files\

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-06 bis 2008-07-06 ))))))))))))))))))))))))))))))
.

2008-07-06 15:45 . 2008-07-06 15:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-06 15:45 . 2008-07-06 15:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-06 15:45 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-06 15:45 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 15:22 . 2008-07-06 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\Malwarebytes
2008-07-06 14:42 . 2008-07-06 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-06 14:40 . 2007-03-07 20:02 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-07-06 14:40 . 2008-07-06 18:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-07-06 14:40 . 2008-07-06 14:42 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-06 14:40 . 2008-07-06 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-07-06 08:32 . 2008-07-06 08:32 <DIR> d-------- C:\Dokumente und Einstellungen\Liliane\Anwendungsdaten\Malwarebytes
2008-07-06 08:16 . 2008-07-06 08:16 <DIR> d-------- C:\_OTMoveIt
2008-07-05 20:38 . 2008-07-05 20:38 <DIR> d-------- C:\Programme\Alwil Software
2008-07-05 20:12 . 2008-07-05 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Liliane\Anwendungsdaten\TmpRecentIcons
2008-07-05 19:47 . 2002-08-29 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-05 12:29 . 2008-07-05 19:47 10,784 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-05 12:29 . 2008-07-05 19:47 2,036 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-26 09:28 . 2008-06-26 09:28 <DIR> d-------- C:\Programme\Adobe Media Player
2008-06-26 09:27 . 2008-06-26 09:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-06-17 21:21 . 2008-07-05 12:20 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-06-17 21:21 . 2008-07-05 12:20 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-06-17 21:19 . 2008-07-03 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-06-11 12:44 . 2008-06-11 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\Thomi\.scribus
2008-06-11 12:36 . 2008-06-11 12:36 <DIR> d-------- C:\~MSSETUP.T
2008-06-11 09:59 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-06 13:31 --------- d-----w C:\Programme\FormulaV2
2008-07-06 13:29 --------- d-----w C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\Corel
2008-07-05 10:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-03 13:50 --------- d-----w C:\Programme\XoftSpySE
2008-06-26 07:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-26 06:56 --------- d-----w C:\Programme\DivX
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-05 15:33 --------- d-----w C:\Programme\Windows Live
2008-06-05 15:32 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-06-05 15:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-04 16:50 --------- d-----w C:\Programme\Zattoo
2008-06-04 11:34 88 --sh--r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DD9BF49A6.sys
2008-06-04 11:34 2,516 --sha-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-05-30 14:40 --------- d--h--r C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\SecuROM
2008-05-25 19:38 --------- d-----w C:\Programme\Humax Download Tool
2008-05-23 15:15 --------- d-----w C:\Programme\Cyrano
2008-05-23 15:09 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-05-23 15:09 253,952 ------w C:\WINDOWS\Setup1.exe
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-14 19:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-04-25 16:22 206,088 ----a-w C:\WINDOWS\system32\klogon.dll
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-06_14.22.23.00 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-06 12:18:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-06 15:58:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-13 14:58:08 186,608 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-07-06 13:44:02 178,648 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-07-06 15:58:41 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_738.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [BU]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-06-19 15:15 3664944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-10-22 08:45 331776]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2002-11-23 02:15 631362]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-29 14:24 185896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
"AAWTray"="C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [BU]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-04-04 14:38 774144]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\Thomi\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 21:24:54 98632]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-04-09 17:41:38 323646]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-09 18:11:12 28672]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2007-11-17 18:43:38 110592]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2007-04-20 08:22:47 169472]
phase6_Erinnerung.lnk - C:\Programme\phase6\phase6_V1_5\WinStart\WinStart.exe [2004-03-20 23:04:51 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 USBSHGX;SHARP GSM GPRS USB Driver 2.1.0;C:\WINDOWS\system32\DRIVERS\usbgx_2.sys [2004-09-07 00:32]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-27 12:28:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-07-05 20:37:03 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
"2008-05-31 22:34:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1174815711.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-07-05 17:03:00 C:\WINDOWS\Tasks\WebReg 20070406190346.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070406190346 /N
"2008-07-06 06:04:02 C:\WINDOWS\Tasks\XoftSpySE 2.job"
- C:\Programme\XoftSpySE\XoftSpy.exe
"2007-11-04 12:26:36 C:\WINDOWS\Tasks\XoftSpySE.job"
- C:\Programme\XoftSpySE\XoftSpy.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-06 18:16:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-06 18:18:01
ComboFix-quarantined-files.txt 2008-07-06 16:17:30
ComboFix2.txt 2008-07-06 13:07:17
ComboFix3.txt 2008-07-06 13:03:15

18 Verzeichnis(se), 137,707,479,040 Bytes frei
21 Verzeichnis(se), 137,717,444,608 Bytes frei

169 --- E O F --- 2008-06-20 19:38:32

ist nun alles ok???

#6 «

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
beep

File::
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\Tasks\XoftSpySE.job
C:\WINDOWS\Tasks\XoftSpySE 2.job

Folder::
C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON
C:\Programme\XoftSpySE

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden

«
poste das neue Log von Comboifx
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier der Bericht Hoffentlich is es jetzt sauber
danke vielmal schon mal
ComboFix 08-07-05.1 - Thomi 2008-07-06 18:49:25.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.234 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomi\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Thomi\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\Tasks\XoftSpySE 2.job
C:\WINDOWS\Tasks\XoftSpySE.job
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON
C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON\++GoldEsel - visit us for more brandnew stuff++.url
C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON\++Wichtig - Lesen - readme -.goldesel.6x.to++.txt
C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON\GEAR.jpg
C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON\KeyGen\orion.nfo
C:\Dokumente und Einstellungen\Thomi\Desktop\Thomi\NeroVision.Express.v3.1.0.25.German.incl.KeyGen-ORiON\NVE-3.1.0.25_no_yt.exe
C:\Programme\XoftSpySE
C:\Programme\XoftSpySE\0_days.htm
C:\Programme\XoftSpySE\1_days.htm
C:\Programme\XoftSpySE\15_days.htm
C:\Programme\XoftSpySE\2_days.htm
C:\Programme\XoftSpySE\30_days.htm
C:\Programme\XoftSpySE\5_days.htm
C:\Programme\XoftSpySE\autoupdate.dll
C:\Programme\XoftSpySE\database.db
C:\Programme\XoftSpySE\expired.htm
C:\Programme\XoftSpySE\Images\10x10.gif
C:\Programme\XoftSpySE\Images\10x10tile.gif
C:\Programme\XoftSpySE\Images\back.bmp
C:\Programme\XoftSpySE\Images\bottompanel.gif
C:\Programme\XoftSpySE\Images\BottomRemine.bmp
C:\Programme\XoftSpySE\Images\Button_BACK_D.bmp
C:\Programme\XoftSpySE\Images\Button_BACK_N.bmp
C:\Programme\XoftSpySE\Images\Button_BACK_O.bmp
C:\Programme\XoftSpySE\Images\Button_Small_D.bmp
C:\Programme\XoftSpySE\Images\Button_Small_N.bmp
C:\Programme\XoftSpySE\Images\Button_Small_O.bmp
C:\Programme\XoftSpySE\Images\buttonfill.jpg
C:\Programme\XoftSpySE\Images\buttonfill_mo.jpg
C:\Programme\XoftSpySE\Images\buttonfilldown.jpg
C:\Programme\XoftSpySE\Images\contentwrapper.gif
C:\Programme\XoftSpySE\Images\flash.bmp
C:\Programme\XoftSpySE\Images\footerbar.gif
C:\Programme\XoftSpySE\Images\info_bubble.jpg
C:\Programme\XoftSpySE\Images\main_bt_focus.bmp
C:\Programme\XoftSpySE\Images\main_bt_normal.bmp
C:\Programme\XoftSpySE\Images\main_bt_normal1.bmp
C:\Programme\XoftSpySE\Images\main_bt_selected.bmp
C:\Programme\XoftSpySE\Images\poweredby.bmp
C:\Programme\XoftSpySE\Images\startpageback.bmp
C:\Programme\XoftSpySE\Images\subtitlebar.gif
C:\Programme\XoftSpySE\Images\tile_titlebar.jpg
C:\Programme\XoftSpySE\Images\toppanel.gif
C:\Programme\XoftSpySE\Images\width.bmp
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2007-11--09-57-41.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2007-11--12-57-01.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2007-11--13-37-35.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2007-11--14-39-56.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2007-11--15-55-09.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2007-11--17-13-10.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2007-11--19-44-34.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2008-03--10-39-53.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2008-05--17-59-00.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2008-07--10-19-45.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2008-07--12-49-29.xml
C:\Programme\XoftSpySE\Logs\XoftSpyLog-2008-07--15-24-18.xml
C:\Programme\XoftSpySE\LogSettings.xml
C:\Programme\XoftSpySE\main.css
C:\Programme\XoftSpySE\resources.dll
C:\Programme\XoftSpySE\settings.xml
C:\Programme\XoftSpySE\trial.htm
C:\Programme\XoftSpySE\uninstall.exe
C:\Programme\XoftSpySE\welcome.htm
C:\Programme\XoftSpySE\xAutoUpdate.dll
C:\Programme\XoftSpySE\XoftSpy.exe
C:\Programme\XoftSpySE\XoftSpy.exe.BAK
C:\Programme\XoftSpySE\Xoftspy.ico
C:\Programme\XoftSpySE\XoftSpy.rar
C:\Programme\XoftSpySE\zlibwapi.dll
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\Tasks\XoftSpySE 2.job
C:\WINDOWS\Tasks\XoftSpySE.job
F:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BEEP
-------\Service_Beep


((((((((((((((((((((((( Dateien erstellt von 2008-06-06 bis 2008-07-06 ))))))))))))))))))))))))))))))
.

2008-07-06 18:18 . 2008-07-06 18:18 <DIR> d-------- C:\Dokumente und Einstellungen\Leser\Lokale Einstellungen
2008-07-06 18:18 . 2008-07-06 18:18 <DIR> d-------- C:\Dokumente und Einstellungen\Leser
2008-07-06 15:45 . 2008-07-06 15:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-06 15:22 . 2008-07-06 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\Malwarebytes
2008-07-06 14:42 . 2008-07-06 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-06 14:40 . 2007-03-07 20:02 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-07-06 14:40 . 2008-07-06 18:51 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-06 14:40 . 2007-03-07 19:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-07-06 14:40 . 2008-07-06 14:42 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-06 14:40 . 2008-07-06 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-07-06 08:32 . 2008-07-06 08:32 <DIR> d-------- C:\Dokumente und Einstellungen\Liliane\Anwendungsdaten\Malwarebytes
2008-07-05 20:38 . 2008-07-05 20:38 <DIR> d-------- C:\Programme\Alwil Software
2008-07-05 20:12 . 2008-07-05 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Liliane\Anwendungsdaten\TmpRecentIcons
2008-07-05 12:29 . 2008-07-05 19:47 10,784 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-05 12:29 . 2008-07-05 19:47 2,036 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-26 09:28 . 2008-06-26 09:28 <DIR> d-------- C:\Programme\Adobe Media Player
2008-06-26 09:27 . 2008-06-26 09:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-06-17 21:21 . 2008-07-05 12:20 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-06-17 21:21 . 2008-07-05 12:20 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-06-17 21:19 . 2008-07-03 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-06-11 12:44 . 2008-06-11 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\Thomi\.scribus
2008-06-11 12:36 . 2008-06-11 12:36 <DIR> d-------- C:\~MSSETUP.T
2008-06-11 09:59 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-06 13:31 --------- d-----w C:\Programme\FormulaV2
2008-07-06 13:29 --------- d-----w C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\Corel
2008-07-05 10:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-26 07:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-26 06:56 --------- d-----w C:\Programme\DivX
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-05 15:33 --------- d-----w C:\Programme\Windows Live
2008-06-05 15:32 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-06-05 15:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-04 16:50 --------- d-----w C:\Programme\Zattoo
2008-06-04 11:34 88 --sh--r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DD9BF49A6.sys
2008-06-04 11:34 2,516 --sha-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-05-30 14:40 --------- d--h--r C:\Dokumente und Einstellungen\Thomi\Anwendungsdaten\SecuROM
2008-05-25 19:38 --------- d-----w C:\Programme\Humax Download Tool
2008-05-23 15:15 --------- d-----w C:\Programme\Cyrano
2008-05-23 15:09 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-05-23 15:09 253,952 ------w C:\WINDOWS\Setup1.exe
2008-05-14 19:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-06-19 15:15 3664944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-10-22 08:45 331776]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2002-11-23 02:15 631362]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-29 14:24 185896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-04-04 14:38 774144]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 USBSHGX;SHARP GSM GPRS USB Driver 2.1.0;C:\WINDOWS\system32\DRIVERS\usbgx_2.sys [2004-09-07 00:32]

.
Inhalt des "geplante Tasks" Ordners
"2008-06-27 12:28:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-07-05 20:37:03 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
mfg

#8 Hallo, lousers

so langsam sieht es wieder nach einem Rechner aus
ich hoffe, du bist von keygens geheilt.....

«
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

«
scanne mit Bitdefender (Online)- lasse alles gefundene entfernen + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo habe bitdefender nun ausgeführt habe aber vergessen den report zu kopieren!!!Was soll ich nun tun??
mfg

#10 wurde denn noch was gefunden ? Und falls ja, hast du es löschen lassen ?
Es gibt nichts weiter zu tun, falls Bitdefender beim 2.Durchlauf nichts mehr anzeigt, ist alles wieder o.k.
Und aufpassen mit keygens und verseuchten Videocodecs .... Finger weg, wenn du nicht alle naselang formatieren willst...
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ja habe alles löschen lassen
Danke vielmal werde nun besser aufpassen
mfg