Expertenmeinung: RunDLL: Fehler beim laden von...kommt immer bei Systemstart

#0
04.08.2008, 12:24
...neu hier

Beiträge: 3
#1 Ich habe mir andere Beiträge zu diesem Thema durchgelesen und bin auch die einzelnen Schritte durchgegangen. Hier also meine Ergebnisse, wollt mich mal erkundigen ob das reicht oder ob ich noch was machen muss.
Hijackthis.log hab ich hochgeladen und es wurden 2 Dateien als schädlich angezeigt....heir der Report:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:45:31, on 04.08.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {285E615E-7EB8-41A8-BEA6-7914B92FF497} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [recinfo933] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\byXNhffc.dll,#1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FSCLBaseUpdaterService - Unknown owner - C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: lxcg_device - - C:\Windows\system32\lxcgcoms.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 7138 bytes

als nächstes habe ich bei Hijackthis "do a system scan only" gemacht und vor die beiden genannten dateien ein Häkchen gemacht und fix checked angeklickt.

ich habe den Pc nicht neugestertet vor dem anschließenden Malwarebytes scan (schlimm?) auf jeden fall ist das hier dabei rausgekommen:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1022
Windows 6.0.6000

11:52:55 04.08.2008
mbam-log-8-4-2008 (11-52-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 143601
Laufzeit: 55 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\gxvpsafm.bfpb (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\ekld.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\tovafrnm.exe (Trojan.FakeAlert) -> No action taken.

hab die infizierten dateien über das programm entfernen lassen (die 7 stück)

Anschließend hab ich die combofix.exe laufen lassen, allerdings zeigt mir windows immer nach 10 secs an dass der "Windowsbefehlsprozess" (also combofix nehm ich an) nicht mehr funktioniert....und anch weiteren 10 secs schließt sich das prog ohne was verändert zu haben...das einzige was da stand war "bereitet sich auf suchlauf [oder sowas] vor" und "dieser prozess dauert normalerweise nicht länger als 10 min bei starkverseuchten Pcs kann sich dies leicht verdoppeln".
Betriebssystem:
Windows vista (32-Bit) [weiß nicht obs damit was zu tun hat das combofix net funktioniert...bei vista funktioniert ja allerhand net so prächtig wie bei xp...]

jez wüsste ich gern ob ich nochwas machen muss oder ob die erwähnte Vorgehensweise ausreichend ist, da die fehlermeldung bei windowsstart nicht mehr erscheint.

schonmal danke im voraus
Seitenanfang Seitenende
04.08.2008, 12:31
Moderator

Beiträge: 7805
#2 Du musst eine neue Version von Combofix herunterladen, da wurde ein Bug im Zusammenhang mit Vista beseitigt.
Lasse alle Funde von MBAM beseitigen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.08.2008, 12:41
...neu hier

Themenstarter

Beiträge: 3
#3 hab ich schon (Funde von mbam gelöscht)...ich habe keine neuere version gefunden von combofix...http://remove-malware.com/anti-malware-howto/combofix-and-vista/ laut der homepage ist es eher schädlich als helfend....falls du eine andere version hast wäre es cool, wenn du sie mir zukommen lassen könntest
Dieser Beitrag wurde am 04.08.2008 um 12:53 Uhr von Fr3ddy editiert.
Seitenanfang Seitenende
04.08.2008, 13:00
Moderator

Beiträge: 7805
#4 Naja, die Meldung aus deinem Link kannst du gekonnt ignorieren, bzw auf XP erweitern.

Neuste Version muesste ver_08-08-03.05 sein. Zu beziehen ueber den normalen Bleepingcomputer link
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.08.2008, 13:15
...neu hier

Themenstarter

Beiträge: 3
#5 so...ich hab mir die version von der bleepingcomputer seite gezogen und siehe da...es hat geklappt...hier also das log.txt:
ComboFix 08-08-03.05 - Helge 2008-08-04 13:08:59.1 - NTFSx86
ausgeführt von:: C:\Users\Helge\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-04 bis 2008-08-04 ))))))))))))))))))))))))))))))
.

2008-08-04 10:54 . 2008-08-04 10:54 <DIR> d-------- C:\Users\Helge\AppData\Roaming\Malwarebytes
2008-08-04 10:53 . 2008-08-04 10:53 <DIR> d-------- C:\Users\All Users\Malwarebytes
2008-08-04 10:53 . 2008-08-04 10:53 <DIR> d-------- C:\ProgramData\Malwarebytes
2008-08-04 10:53 . 2008-08-04 10:53 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-04 10:53 . 2008-07-30 20:07 38,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-08-04 10:53 . 2008-07-30 20:07 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-08-04 10:44 . 2008-08-04 10:44 <DIR> d-------- C:\Program Files\Trend Micro
2008-08-03 13:23 . 2008-08-03 13:24 <DIR> d-------- C:\Program Files\DivX
2008-07-22 02:42 . 2008-07-22 02:42 42,320 --a------ C:\Windows\System32\xfcodec.dll
2008-07-11 16:11 . 2008-08-03 10:50 <DIR> d-------- C:\Users\Helge\dwhelper
2008-07-06 19:39 . 2008-07-10 11:15 <DIR> d-------- C:\Program Files\Java
2008-07-06 19:38 . 2008-07-06 19:38 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-04 16:23 . 2008-07-04 16:23 <DIR> d-------- C:\Windows\PCHEALTH
2008-07-04 16:23 . 2008-07-04 16:23 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-07-04 16:21 . 2008-07-04 16:21 <DIR> dr-h----- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 11:07 --------- d-----w C:\Users\Helge\AppData\Roaming\Xfire
2008-08-04 10:55 136,888 ----a-w C:\Windows\system32\drivers\PnkBstrK.sys
2008-08-04 10:55 111,928 ----a-w C:\Windows\System32\PnkBstrB.exe
2008-08-03 07:22 --------- d-----w C:\ProgramData\Xfire
2008-08-02 18:10 --------- d-----w C:\Program Files\Xfire
2008-07-17 18:05 --------- d-----w C:\Program Files\Lx_cats
2008-07-12 19:43 --------- d-----w C:\Users\Helge\AppData\Roaming\Hamachi
2008-07-12 18:25 --------- d-----w C:\Users\Helge\AppData\Roaming\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2008-07-10 09:05 174 --sha-w C:\Program Files\desktop.ini
2008-07-09 17:59 --------- d-----w C:\Program Files\Windows Mail
2008-07-04 14:34 --------- d-----w C:\ProgramData\Microsoft Help
2008-07-04 14:24 --------- d-----w C:\Program Files\Microsoft Works
2008-07-01 17:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-01 17:05 --------- d-----w C:\Users\Helge\AppData\Roaming\ICQ
2008-07-01 17:05 --------- d-----w C:\Program Files\ICQLite
2008-07-01 17:05 --------- d-----w C:\Program Files\ICQ6
2008-06-28 10:46 --------- d-----w C:\Program Files\Unlocker
2008-06-27 16:43 --------- d-----w C:\ProgramData\Media Center Programs
2008-06-27 16:30 --------- d-----w C:\Program Files\THQ
2008-06-27 15:41 --------- d-----w C:\Program Files\Activision
2008-06-26 00:34 7,964,672 ----a-w C:\Windows\System32\NlsLexicons0024.dll
2008-06-26 00:33 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll
2008-06-24 17:08 --------- d-----w C:\Program Files\Electronic Arts
2008-06-21 18:45 --------- d-----w C:\Users\Helge\AppData\Roaming\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-06-21 18:43 --------- d-----w C:\Program Files\Callofduty2
2008-06-19 12:58 --------- d-----w C:\Users\Helge\AppData\Roaming\Skype
2008-06-19 12:39 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-06-19 12:39 56 ---ha-w C:\ProgramData\ezsidmv.dat
2008-06-19 12:39 --------- d-----w C:\Users\Helge\AppData\Roaming\skypePM
2008-06-19 12:37 --------- d-----w C:\ProgramData\Skype
2008-06-19 12:37 --------- d-----w C:\Program Files\Skype
2008-06-19 12:37 --------- d-----w C:\Program Files\Common Files\Skype
2008-06-19 11:40 25,280 ----a-w C:\Windows\system32\drivers\hamachi.sys
2008-06-19 11:40 --------- d-----w C:\Program Files\Hamachi
2008-06-18 17:52 161,096 ----a-w C:\Windows\System32\DivXCodecVersionChecker.exe
2008-06-16 17:03 --------- d-----w C:\Program Files\PDFCreator
2008-06-16 16:55 10,015,552 ----a-w C:\Windows\System32\~.tmp
2008-06-15 16:52 --------- d-----w C:\Users\Helge\AppData\Roaming\teamspeak2
2008-06-11 00:07 524,288 ----a-w C:\Windows\System32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\Windows\System32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\Windows\System32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\Windows\System32\libdivx.dll
2008-06-10 17:28 --------- d-----w C:\Program Files\Ubisoft
2008-06-10 17:15 --------- d-----w C:\ProgramData\Ubisoft
2008-06-10 17:14 22,328 ----a-w C:\Users\Helge\AppData\Roaming\PnkBstrK.sys
2008-06-10 17:14 2,337,865 ----a-w C:\Windows\System32\pbsvc.exe
2008-06-10 12:17 --------- d-----w C:\Program Files\Common Files\Adobe
2008-06-07 11:47 --------- d-----w C:\Program Files\FRITZ!DSL
2008-06-07 11:28 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-06-07 11:28 --------- d-----w C:\Program Files\Common Files\AVM
2008-05-22 22:18 12,288 ----a-w C:\Windows\System32\DivXWMPExtType.dll
2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-14 01:29 1232896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 21:46 153136]
"LXCGCATS"="C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2007-02-22 05:20 73728]
"EzPrint"="C:\Program Files\Lexmark 2300 Series\ezprint.exe" [2007-04-29 22:57 103344]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 22:29 266497]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"RtHDVCpl"="RtHDVCpl.exe" [2007-12-17 12:02 4718592 C:\Windows\RtHDVCpl.exe]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-10 14:18:40 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FRITZ!DSL Startcenter.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FRITZ!DSL Startcenter.lnk
backup=C:\Windows\pss\FRITZ!DSL Startcenter.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^PDFCreator.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PDFCreator.lnk
backup=C:\Windows\pss\PDFCreator.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WinManager.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinManager.lnk
backup=C:\Windows\pss\WinManager.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
-ra------ 2006-02-23 01:04 1499136 C:\Program Files\avmwlanstick\WLanGUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcgmon.exe]
--a------ 2007-04-29 22:56 205744 C:\Program Files\Lexmark 2300 Series\lxcgmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-05-02 08:08 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2003-11-10 16:06 406016 C:\Windows\System32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2008-05-02 06:15 15872 C:\Program Files\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{A8B15A2F-D767-43CE-B487-7439910D2CE5}"= UDP:C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{8FF36A1D-6B95-4DFF-A62D-AB0498BE3D65}"= TCP:C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{C5A1E28B-7C64-4A4E-AC13-081DE6208008}"= UDP:C:\Windows\System32\lxcgcoms.exe:Lexmark Communications System
"{A99A3214-33A4-46C9-A387-1938572E2C2C}"= TCP:C:\Windows\System32\lxcgcoms.exe:Lexmark Communications System
"{808E748D-28C2-48D7-96AB-AF7D5A686775}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxcgpswx.exe:printer Status Window
"{8457F3F3-439E-412A-B04F-CB29B651D62E}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxcgpswx.exe:printer Status Window
"{D73FBE99-DCAF-48F2-A2BC-CB8FEC2238DB}"= UDP:C:\Program Files\Sierra Entertainment\Empire Earth III\EE3.exe:Empire Earth III
"{3874BC70-219E-44A5-AAD4-76D770C3A658}"= TCP:C:\Program Files\Sierra Entertainment\Empire Earth III\EE3.exe:Empire Earth III
"TCP Query User{80939EE4-337A-42E3-BE43-DF58B9107C46}C:\\program files\\icqlite\\icqlite.exe"= UDP:C:\program files\icqlite\icqlite.exe:ICQLite
"UDP Query User{ECDC0E64-1DB9-4C36-947B-F5C78BFFE038}C:\\program files\\icqlite\\icqlite.exe"= TCP:C:\program files\icqlite\icqlite.exe:ICQLite
"TCP Query User{024F8B2C-6E42-4942-BD57-96D38CDA2F14}C:\\program files\\xfire\\xfire.exe"= UDP:C:\program files\xfire\xfire.exe:Xfire
"UDP Query User{EBFEEC63-6D95-4546-BAE3-935BEDDA237A}C:\\program files\\xfire\\xfire.exe"= TCP:C:\program files\xfire\xfire.exe:Xfire
"{FCE19094-94C6-4744-B33C-5C75370D25BB}"= UDP:C:\Windows\System32\PnkBstrA.exe:pnkBstrA
"{07E8AD1C-060B-4282-8F1B-B2A9688625CF}"= TCP:C:\Windows\System32\PnkBstrA.exe:pnkBstrA
"{1AA42C1D-DBB8-4009-8500-39D38D6BA2F7}"= UDP:C:\Windows\System32\PnkBstrB.exe:pnkBstrB
"{46B61943-628D-43CD-B25C-FF774B5C48A6}"= TCP:C:\Windows\System32\PnkBstrB.exe:pnkBstrB
"{49F6FB24-5F46-47B8-9B91-E755F54F13AC}"= TCP:28962:punkbuster
"TCP Query User{A25DED7B-938C-4FA0-AA90-57AB71053368}C:\\program files\\callofduty2\\cod2mp_s.exe"= UDP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s
"UDP Query User{774D1CC5-2F22-406B-B323-2FAE2B5D44A9}C:\\program files\\callofduty2\\cod2mp_s.exe"= TCP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s
"TCP Query User{E848C838-9617-4DC0-9691-D4E89B0BA6D4}C:\\users\\helge\\desktop\\cryptload_1.0.9\\routerclient.exe"= UDP:C:\users\helge\desktop\cryptload_1.0.9\routerclient.exe:routerclient.exe
"UDP Query User{03EA4855-6AB7-4C72-8A1E-64C2E946EA26}C:\\users\\helge\\desktop\\cryptload_1.0.9\\routerclient.exe"= TCP:C:\users\helge\desktop\cryptload_1.0.9\routerclient.exe:routerclient.exe
"{587810BA-CC4A-4700-B4FE-36A91F92A161}"= UDP:C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe:Age of Empires III - The Asian Dynasties
"{A9686DB0-310E-4EE4-8267-049C7CE267F0}"= TCP:C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe:Age of Empires III - The Asian Dynasties
"{9B88DFD8-C027-4B35-A8F4-32FA1C35C4BD}"= UDP:C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe:Age of Empires III - The WarChiefs
"{3C1A820E-4B38-49B2-AC9F-A7E63E83F05C}"= TCP:C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe:Age of Empires III - The WarChiefs
"{ADC471CE-5778-4F92-AFE3-639AA58CFFAD}"= UDP:C:\Program Files\FRITZ!DSL\IGDCTRL.EXE:AVM FRITZ!DSL - igdctrl.exe
"{B20576B1-6FD2-4D71-A34D-0D203F38E06C}"= TCP:C:\Program Files\FRITZ!DSL\IGDCTRL.EXE:AVM FRITZ!DSL - igdctrl.exe
"{F50D25D9-1883-4C18-971A-B07234C01F00}"= UDP:C:\Program Files\FRITZ!DSL\FBOXUPD.EXE:AVM FRITZ!DSL - fboxupd.exe
"{514E4D96-066A-409A-AF40-4ED42772EB4B}"= TCP:C:\Program Files\FRITZ!DSL\FBOXUPD.EXE:AVM FRITZ!DSL - fboxupd.exe
"{FAE8836C-9336-466D-937E-C9958D2EAB74}"= UDP:C:\Program Files\FRITZ!DSL\WebwaIgd.exe:AVM FRITZ!DSL - webwaigd.exe
"{B12B080A-5B61-406C-8324-05872E625FE7}"= TCP:C:\Program Files\FRITZ!DSL\WebwaIgd.exe:AVM FRITZ!DSL - webwaigd.exe
"{E2A74F1F-312F-4EA5-B61F-D2853236B41D}"= UDP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe:Tom Clancy's Rainbow Six Vegas 2
"{69A7A4AD-A668-4C2C-9A20-EFD88276A962}"= TCP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe:Tom Clancy's Rainbow Six Vegas 2
"{63BCB57E-F2EC-45EE-8E02-82983CEEFFB6}"= UDP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe:Tom Clancy's Rainbow Six Vegas 2 Update
"{AE9E3250-7078-4B32-B39D-4CE3F6DF1F01}"= TCP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe:Tom Clancy's Rainbow Six Vegas 2 Update
"TCP Query User{5C84A056-F0FF-46D0-BB2E-C854310F610D}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{E5DD6970-BAD9-4A69-B951-3DD19E1CC23E}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"{B74240C6-F2A9-4D83-AFF0-D33D549DB0A6}"= C:\Program Files\Skype\Phone\Skype.exe:Skype
"TCP Query User{2BCFDEC3-33B7-4F37-83DA-7A9AEE4EC55D}C:\\program files\\electronic arts\\die schlacht um mittelerde ii\\game.dat"= UDP:C:\program files\electronic arts\die schlacht um mittelerde ii\game.dat:The Battle for Middle-earth™ II
"UDP Query User{23D80907-B20D-464F-BFAD-D3E92F76B28A}C:\\program files\\electronic arts\\die schlacht um mittelerde ii\\game.dat"= TCP:C:\program files\electronic arts\die schlacht um mittelerde ii\game.dat:The Battle for Middle-earth™ II
"{3BA8B8B5-B34D-4FF7-A35E-7973A997DED6}"= UDP:C:\Program Files\Electronic Arts\Aufstieg des Hexenkönigs\game.dat;)er Herr der Ringe™, Aufstieg des Hexenkönigs™
"{D02D7A55-FEA4-4749-B883-B7951ACC8F2A}"= TCP:C:\Program Files\Electronic Arts\Aufstieg des Hexenkönigs\game.dat;)er Herr der Ringe™, Aufstieg des Hexenkönigs™
"{EF61F30E-80F3-4423-9762-C984EFCBA43B}"= UDP:C:\Program Files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts
"{B13165D1-4F25-4B84-B18E-13E8608C8375}"= TCP:C:\Program Files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts
"TCP Query User{A2BD0A18-4B02-4E3A-B1AF-F56DB1281283}C:\\users\\helge\\desktop\\blobby\\volley.exe"= UDP:C:\users\helge\desktop\blobby\volley.exe:volley.exe
"UDP Query User{50817236-1417-4212-879D-AD3BD7126067}C:\\users\\helge\\desktop\\blobby\\volley.exe"= TCP:C:\users\helge\desktop\blobby\volley.exe:volley.exe
"{231E8CA7-D03D-4226-9841-FFAA7B777708}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{A924CD6D-357C-49F1-B09D-B23E7B4B2BA9}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{7A2A3C04-0D5D-491A-BD09-6EC7271F387A}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{ED076819-0BA4-485B-A4AC-A5C01D2ED2EC}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{AAEFC46E-F745-4F78-9C51-78125B3B0D70}C:\\program files\\callofduty2\\cod2mp_s.exe"= UDP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s
"UDP Query User{E9C364FF-330F-4325-9F88-2A15D2CC5071}C:\\program files\\callofduty2\\cod2mp_s.exe"= TCP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s
"TCP Query User{64F9F4E9-D94B-4975-836F-B21085788003}C:\\program files\\electronic arts\\aufstieg des hexenkönigs\\game.dat"= UDP:C:\program files\electronic arts\aufstieg des hexenkönigs\game.dat:The Battle for Middle-earth™ II
"UDP Query User{9C5DF800-0E77-4E03-A204-E9A0B7F9E350}C:\\program files\\electronic arts\\aufstieg des hexenkönigs\\game.dat"= TCP:C:\program files\electronic arts\aufstieg des hexenkönigs\game.dat:The Battle for Middle-earth™ II
"TCP Query User{F38FB64A-4F00-41B1-A3DD-A1BDE507E21F}C:\\program files\\ea sports\\fifa 08\\fifa08.exe"= UDP:C:\program files\ea sports\fifa 08\fifa08.exe:FIFA08
"UDP Query User{34FD5CCD-B75F-4B85-BE43-6076319F054A}C:\\program files\\ea sports\\fifa 08\\fifa08.exe"= TCP:C:\program files\ea sports\fifa 08\fifa08.exe:FIFA08

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R0 AtiPcie;ATI PCI Express (3GIO) Filter;C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 11:22]
R2 FSCLBaseUpdaterService;FSCLBaseUpdaterService;C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe [2007-06-04 15:20]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Program Files\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14]
R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 11:52]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-11-16 23:09]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\Windows\system32\DRIVERS\fwlanusb.sys [2006-02-23 01:04]
S3 UDTT2BDA;DTV-DVB USB2 DVB-T receiver;C:\Windows\system32\Drivers\UDTT2BDA.sys [2007-06-26 00:00]
S3 UDTT2HID;UDTT2HID - USB 2.0 HID Driver;C:\Windows\system32\drivers\UDTT2HID.sys [2007-06-26 00:00]
S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 17:37]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-08-04 C:\Windows\Tasks\User_Feed_Synchronization-{AD3E0EB0-9062-4D8D-9E27-FBE78752831F}.job
- C:\Windows\system32\msfeedssync.exe [2006-11-02 11:45]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ALUAlert - C:\Program Files\Symantec\LiveUpdate\ALuNotify.exe


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Users\Helge\AppData\Roaming\Mozilla\Firefox\Profiles\6zid8tv2.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 13:12:00
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCGCATS = rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...


C:\Windows\TEMP\TMP00000070227E400304825D4E

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-04 13:13:05
ComboFix-quarantined-files.txt 2008-08-04 11:13:01

Pre-Run: 22 Verzeichnis(se), 168,721,793,024 Bytes frei
Post-Run: 30 Verzeichnis(se), 169,096,798,208 Bytes frei

224 --- E O F --- 2008-08-02 18:09:54

ist jetzt wieder alles in Ordnung? = jo isses
Dieser Beitrag wurde am 04.08.2008 um 21:35 Uhr von Fr3ddy editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: