safewebnavigate2008.com, Spyware Protection, privacy protector |
||
---|---|---|
#0
| ||
06.09.2008, 15:40
Member
Beiträge: 12 |
||
|
||
06.09.2008, 16:19
Ehrenmitglied
Beiträge: 6028 |
#2
Hast du dein Rechner auch neu gestartet nachdem MBAM durch gelaufen ist?
Wenn Nein,mache es und poste nochmal ein log von Hijack This __________ MfG Argus |
|
|
||
06.09.2008, 17:18
Member
Themenstarter Beiträge: 12 |
#3
Hallo Arnold,
mbam hatte gemeldet, dass ein Teil der infizierten Dateien erst nach einem Neustart gelöscht werden, also habe ich das gemacht. Grüsse RolSei |
|
|
||
06.09.2008, 18:23
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -uklicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst cfscript Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log __________ MfG Argus |
|
|
||
06.09.2008, 22:14
Member
Themenstarter Beiträge: 12 |
#5
Hallo Arnold,
hat etwas gedauert, ich habe die letzten Stunden das ganze Programm nochmal unter meinem 2. Benutzerkonto (leider bisher auch mit admin-Rechten) durchlaufen lassen. Hier erstmal die logs nach dem Durchgang: log mbam: Malwarebytes' Anti-Malware 1.26 Database version: 1119 Windows 5.1.2600 Service Pack 2 06.09.2008 21:12:51 mbam-log-2008-09-06 (21-12-51).txt Scan type: Full Scan (C:\|) Objects scanned: 125369 Time elapsed: 2 hour(s), 5 minute(s), 27 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 7 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) log combofix: ComboFix 08-09-05.02 - Roland 2008-09-06 21:23:25.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1407 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Roland\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 )))))))))))))))))))))))))))))) . 2008-09-06 18:16 . 2008-09-06 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Malwarebytes 2008-09-06 17:08 . 2008-09-06 17:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\Frank\UserData 2008-09-06 16:57 . 2008-09-06 16:57 <DIR> d--hs---- C:\Dokumente und Einstellungen\Internet\UserData 2008-09-06 16:08 . 2006-03-24 15:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Vorlagen 2008-09-06 16:08 . 2006-03-24 15:32 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Startmenü 2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung 2008-09-06 16:08 . 2008-09-06 21:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen 2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Favoriten 2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Eigene Dateien 2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Druckumgebung 2008-09-06 16:08 . 2006-03-24 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\You've Got Pictures Screensaver 2008-09-06 16:08 . 2006-03-24 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ATI 2008-09-06 16:08 . 2006-04-26 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\AOL 2008-09-06 16:08 . 2006-03-24 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Ahead 2008-09-06 16:08 . 2006-03-24 16:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten 2008-09-06 16:08 . 2008-09-06 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\Internet 2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Malwarebytes 2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-06 12:43 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-06 12:43 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-06 12:37 . 2008-09-06 12:37 <DIR> d-------- C:\Programme\CCleaner 2008-08-22 12:55 . 2008-08-22 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AdobeUM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-06 19:20 --------- d-----w C:\Programme\Lexware 2008-09-06 08:30 --------- d-----w C:\Programme\TuneUp Utilities 2007 2008-09-04 19:17 --------- d-----w C:\Programme\AntiVirenKit 2006 2008-09-04 13:29 --------- d-----w C:\Programme\Profi cash 2008-08-26 07:17 --------- d-----w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Apple Computer 2008-07-13 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys 2008-07-13 09:35 --------- d-----w C:\Programme\Microsoft ActiveSync 2008-07-12 05:19 --------- d-----w C:\Programme\Apple Software Update 2008-07-11 19:59 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-11 19:59 --------- d-----w C:\Programme\SanDisk 2008-07-09 18:40 --------- d-----w C:\Programme\Java 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2006-10-14 15:11 53,176 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-10-05 19:09 1,642 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\wklnhst.dat 2006-10-01 12:24 3,544 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\wklnhst.dat 2006-05-13 10:11 52,736 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-05-11 17:31 0 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\wklnhst.dat 2006-03-24 14:17 952 ----a-w C:\Programme\Nero Online Upgrade.lnk . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [X] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "watchdog"="C:\Programme\WatchDog\Watchdog.exe" [2004-09-13 732672] "wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 1236992] "RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-03-24 26112] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-06-02 267048] "RTHDCPL"="RTHDCPL.EXE" [2006-01-11 C:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696] Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2006-11-24 82944] HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624] HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728] Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2005-11-30 479232] Zahlungserinnerung.lnk - C:\Programme\Profi cash\wzed.exe [2007-08-21 40960] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=ljgzgf.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "RealTray"=C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R1 bizVSerial;Franson VSerial;C:\WINDOWS\system32\drivers\bizVSerialNT.sys [2007-05-30 14949] R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880] R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 180224] R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2006\AVKService.exe [2004-09-28 299008] R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2006\AVKWCtl.exe [2005-08-15 602112] R2 cjpcsc;cyberJack PC/SC COM Service ;C:\WINDOWS\system32\cjpcsc.exe [2007-09-11 652592] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2007-05-30 23040] R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2006-05-02 52858] R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2006-05-02 28066] R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-11-23 237568] S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 12032] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b20d943d-fbc2-11da-bd3a-001349374c22}] \Shell\AutoRun\command - I:\setupSNK.exe . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Mozilla\Firefox\Profiles\44ma7ia9.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.web.de FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-06 21:25:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-06 21:27:03 ComboFix-quarantined-files.txt 2008-09-06 19:26:57 ComboFix2.txt 2008-09-06 13:01:28 Pre-Run: 18 Verzeichnis(se), 229,412,933,632 Bytes frei Post-Run: 22 Verzeichnis(se), 229,566,734,336 Bytes frei 148 --- E O F --- 2008-08-20 17:07:46 Log Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:35:59, on 06.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AAV\aavus.exe C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\AntiVirenKit 2006\AVKService.exe C:\Programme\AntiVirenKit 2006\AVKWCtl.exe C:\WINDOWS\system32\cjpcsc.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\WatchDog\Watchdog.exe C:\Programme\WLAN Monitor\wlconfig.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\internet explorer\iexplore.exe C:\Dokumente und Einstellungen\Roland\Eigene Dateien\HJT.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [watchdog] C:\Programme\WatchDog\Watchdog.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1935506585-2544835061-141489093-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Frank') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176126396062 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - AppInit_DLLs: ljgzgf.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7805 bytes log datfind.bat: Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E074-26D6 Verzeichnis von C:\WINDOWS\system32 06.09.2008 21:31 1.158 wpa.dbl 06.09.2008 11:27 0 eb57e207-.txt 20.08.2008 19:00 609.048 TZLog.log 05.08.2008 20:11 15.888.504 MRT.exe 14.07.2008 13:09 62.976 tzchange.exe 13.07.2008 12:49 86.456 GDIPFONTCACHEV1.DAT 13.07.2008 12:48 312.376 FNTCACHE.DAT 09.07.2008 20:40 6.944 jupdate-1.6.0_07-b06.log 07.07.2008 22:30 253.952 es.dll 24.06.2008 18:22 74.240 mscms.dll 24.06.2008 10:14 3.592.192 mshtml.dll 23.06.2008 18:14 826.368 wininet.dll 23.06.2008 18:14 105.984 url.dll 23.06.2008 18:14 671.232 mstime.dll 23.06.2008 18:14 477.696 mshtmled.dll 23.06.2008 18:14 1.159.680 urlmon.dll 23.06.2008 18:14 193.024 msrating.dll 23.06.2008 18:14 44.544 pngfilt.dll 23.06.2008 18:14 233.472 webcheck.dll 23.06.2008 18:14 102.912 occache.dll 23.06.2008 18:14 1.831.424 inetcpl.cpl 23.06.2008 18:14 27.648 jsproxy.dll 23.06.2008 18:14 52.224 msfeedsbs.dll 23.06.2008 18:14 459.264 msfeeds.dll 23.06.2008 18:14 267.776 iertutil.dll 23.06.2008 18:14 44.544 iernonce.dll 23.06.2008 18:14 6.066.176 ieframe.dll 23.06.2008 18:14 384.512 iedkcs32.dll 23.06.2008 18:14 214.528 dxtrans.dll 23.06.2008 18:14 63.488 icardie.dll 23.06.2008 18:14 347.136 dxtmsft.dll 23.06.2008 18:14 153.088 ieakeng.dll 23.06.2008 18:14 133.120 extmgr.dll 23.06.2008 18:14 230.400 ieaksie.dll 23.06.2008 18:14 383.488 ieapfltr.dll 23.06.2008 18:14 124.928 advpack.dll 23.06.2008 11:20 13.824 ieudinit.exe 23.06.2008 11:20 70.656 ie4uinit.exe 21.06.2008 07:23 161.792 ieakui.dll 20.06.2008 19:39 247.296 mswsock.dll 20.06.2008 19:39 148.992 dnsapi.dll 10.06.2008 02:32 139.264 javaws.exe 10.06.2008 02:32 73.728 javacpl.cpl 10.06.2008 01:21 135.168 javaw.exe 10.06.2008 01:21 135.168 java.exe 07.06.2008 08:41 8 -529258794 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E074-26D6 Verzeichnis von C:\DOKUME~1\Roland\LOKALE~1\Temp 06.09.2008 21:38 104.928 datfind.txt 06.09.2008 21:36 512 ~DFD277.tmp 06.09.2008 21:36 170 jusched.log 06.09.2008 21:31 16.384 Perflib_Perfdata_bbc.dat 06.09.2008 21:31 16.384 Perflib_Perfdata_b40.dat 06.09.2008 21:31 47.122 DIOC.tmp 06.09.2008 21:31 117 STSB.tmp 06.09.2008 21:31 16.384 Perflib_Perfdata_a1c.dat 06.09.2008 21:31 2.995 hpodvd09.log 06.09.2008 21:31 47.122 DIO8.tmp 06.09.2008 21:31 1.285 MAR7.tmp 06.09.2008 21:31 1.342 MAR6.tmp 06.09.2008 21:31 16.384 ~DFAF37.tmp 06.09.2008 21:31 409.600 ~DF5A98.tmp 06.09.2008 21:31 408 WCESCOMM.LOG 06.09.2008 21:16 409.600 ~DFABB3.tmp 16 Datei(en) 1.090.737 Bytes 0 Verzeichnis(se), 229.579.624.448 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E074-26D6 Verzeichnis von C:\WINDOWS 06.09.2008 21:30 41.646 WindowsUpdate.log 06.09.2008 21:29 0 0.log 06.09.2008 21:29 159 wiadebug.log 06.09.2008 21:29 50 wiaservc.log 06.09.2008 21:29 2.048 bootstat.dat 06.09.2008 21:28 32.630 SchedLgU.Txt 06.09.2008 21:25 227 system.ini 04.09.2008 15:29 829 win.ini 23.08.2008 20:15 116 NeroDigital.ini 20.08.2008 19:37 736 SamsungMaster.INI 13.07.2008 20:42 119 Sansa Media Converter.INI 04.07.2008 22:54 54.156 QTFont.qfn 04.07.2008 22:35 437 cdplayer.ini 30.05.2008 17:10 1.050 ODBC.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E074-26D6 Verzeichnis von C:\WINDOWS\temp 06.09.2008 21:31 408 enablefw.vbs 06.09.2008 21:31 408 disablefw.vbs 06.09.2008 21:31 409 WGANotify.settings 06.09.2008 21:31 255 WGAErrLog.txt 4 Datei(en) 1.480 Bytes 0 Verzeichnis(se), 229.579.616.256 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E074-26D6 Verzeichnis von C:\WINDOWS\Downloaded Program Files 17.06.2008 15:26 144 swdir.inf Erst danach habe ich Deine obige Anweisung gelesen und sie auch noch ausgeführt: ComboFix 08-09-05.02 - Roland 2008-09-06 21:54:20.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1410 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Roland\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 )))))))))))))))))))))))))))))) . 2008-09-06 18:16 . 2008-09-06 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Malwarebytes 2008-09-06 17:08 . 2008-09-06 17:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\Frank\UserData 2008-09-06 16:57 . 2008-09-06 16:57 <DIR> d--hs---- C:\Dokumente und Einstellungen\Internet\UserData 2008-09-06 16:08 . 2006-03-24 15:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Vorlagen 2008-09-06 16:08 . 2006-03-24 15:32 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Startmenü 2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung 2008-09-06 16:08 . 2008-09-06 21:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen 2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Favoriten 2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Eigene Dateien 2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Druckumgebung 2008-09-06 16:08 . 2006-03-24 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\You've Got Pictures Screensaver 2008-09-06 16:08 . 2006-03-24 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ATI 2008-09-06 16:08 . 2006-04-26 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\AOL 2008-09-06 16:08 . 2006-03-24 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Ahead 2008-09-06 16:08 . 2006-03-24 16:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten 2008-09-06 16:08 . 2008-09-06 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\Internet 2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Malwarebytes 2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-06 12:43 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-06 12:43 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-06 12:37 . 2008-09-06 12:37 <DIR> d-------- C:\Programme\CCleaner 2008-08-22 12:55 . 2008-08-22 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AdobeUM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-06 19:20 --------- d-----w C:\Programme\Lexware 2008-09-06 08:30 --------- d-----w C:\Programme\TuneUp Utilities 2007 2008-09-04 19:17 --------- d-----w C:\Programme\AntiVirenKit 2006 2008-09-04 13:29 --------- d-----w C:\Programme\Profi cash 2008-08-26 07:17 --------- d-----w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Apple Computer 2008-07-13 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys 2008-07-13 09:35 --------- d-----w C:\Programme\Microsoft ActiveSync 2008-07-12 05:19 --------- d-----w C:\Programme\Apple Software Update 2008-07-11 19:59 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-11 19:59 --------- d-----w C:\Programme\SanDisk 2008-07-09 18:40 --------- d-----w C:\Programme\Java 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2006-10-14 15:11 53,176 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-10-05 19:09 1,642 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\wklnhst.dat 2006-10-01 12:24 3,544 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\wklnhst.dat 2006-05-13 10:11 52,736 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-05-11 17:31 0 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\wklnhst.dat 2006-03-24 14:17 952 ----a-w C:\Programme\Nero Online Upgrade.lnk . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "watchdog"="C:\Programme\WatchDog\Watchdog.exe" [2004-09-13 732672] "wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 1236992] "RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-03-24 26112] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-06-02 267048] "RTHDCPL"="RTHDCPL.EXE" [2006-01-11 C:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696] Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2006-11-24 82944] HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624] HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728] Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2005-11-30 479232] Zahlungserinnerung.lnk - C:\Programme\Profi cash\wzed.exe [2007-08-21 40960] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "RealTray"=C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R1 bizVSerial;Franson VSerial;C:\WINDOWS\system32\drivers\bizVSerialNT.sys [2007-05-30 14949] R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880] R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 180224] R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2006\AVKService.exe [2004-09-28 299008] R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2006\AVKWCtl.exe [2005-08-15 602112] R2 cjpcsc;cyberJack PC/SC COM Service ;C:\WINDOWS\system32\cjpcsc.exe [2007-09-11 652592] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2007-05-30 23040] R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2006-05-02 52858] R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2006-05-02 28066] R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-11-23 237568] S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 12032] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b20d943d-fbc2-11da-bd3a-001349374c22}] \Shell\AutoRun\command - I:\setupSNK.exe . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Mozilla\Firefox\Profiles\44ma7ia9.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.web.de FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-06 21:56:15 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-06 21:57:31 ComboFix-quarantined-files.txt 2008-09-06 19:57:26 ComboFix2.txt 2008-09-06 19:27:04 ComboFix3.txt 2008-09-06 13:01:28 Pre-Run: 18 Verzeichnis(se), 229,538,115,584 Bytes frei Post-Run: 21 Verzeichnis(se), 229,532,635,136 Bytes frei 146 --- E O F --- 2008-08-20 17:07:46 Wie sieht´s jetzt für Dich aus? Grüsse RolSei |
|
|
||
07.09.2008, 22:48
Ehrenmitglied
Beiträge: 6028 |
#6
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Entferne auf C:\combofix.txt Entferne auf C:\ :\combofix __________ MfG Argus |
|
|
||
08.09.2008, 20:28
Member
Themenstarter Beiträge: 12 |
#7
Hallo Arnold,
blöde Frage, aber ist entfernen das Gleiche wie löschen? Die 1. Zeile hat funktioniert, aber wie führe ich die 2. und 3. Zeile Deiner Anweisung aus? Sollte ich Hijackthis und mbam auch wieder entfernen? Danke und schönen Abend! Grüsse RolSei |
|
|
||
08.09.2008, 20:37
Ehrenmitglied
Beiträge: 6028 |
#8
C:\combofix.txt rechtsklick entfernen
Hijack This nicht entfernen man weiss ja nie Und MBAM auch nicht,wird fast jeden Tag ge-updated __________ MfG Argus |
|
|
||
08.09.2008, 21:18
Member
Themenstarter Beiträge: 12 |
||
|
||
ich bin neu hier und gehöre nun also auch zur Gruppe der Virengeschädigten. Folgende Probleme habe ich seit 2 Tagen:
- rechts unten in der TaskLeiste VirusAlert
- ständige Windowswarnungen in englisch, u.a. der Hinweis, ich hätte mir einen Virus eingefangen verbunden mit der Aufforderung, mir verschiedenste Software herunterzuladen (was ich immer abgebrochen habe)
- auf dem Desktop 3 neue Icons: spyware&malware protection, privacy protector, error cleaner
- im Internetexplorer alle paar Minuten der Versuch, mich automatisch mit der site safewebnavigate2008.com zu verbinden
-task manager angeblich vom admin deaktiviert
-im Startmenue waren die Buttons zum öffnen aller Programme und auch zum Benutzerwechsel weg usw.
Zunächst habe ich mit meinem Virenprogramm AVK von Gdata (aktuell upgedated) einen kompletten Virenscann gemacht, dabei wurden auch verschiedene Schädlinge gefunden und gelöscht, die Probleme blieben aber. Auch Tuneup Wartungen waren nicht hilfreich.
Die letzten 3 Stunden habe ich damit verbracht, die kompletten Vorarbeiten aus Euren Anleitungen zu machen. Ergebnis: aktuell keine der oben beschriebenen Probleme mehr. Jetzt möchte ich natürlich weitestgehend sicher sein, dass ich schon alles erwischt habe, daher nachfolgend die verschiedenen logfiles.
Noch eine laienhafte Frage dazu: ich habe in xp verschiedene Benutzerkonten, 2 davon mit admin-Rechten, muß ich die verschiedenen Prüfungen aus jedem Benuterkonto separat machen oder reicht der eine Durchlauf?
Im voraus schon mal vielen Dank für die Unterstützung, ohne Eure Seite wäre ich echt schon verzweifelt!
mbam:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1119
Windows 5.1.2600 Service Pack 2
06.09.2008 14:48:30
mbam-log-2008-09-06 (14-48-30).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 134464
Laufzeit: 2 hour(s), 2 minute(s), 24 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 7
Infizierte Registrierungsschlüssel: 27
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 18
Infizierte Verzeichnisse: 0
Infizierte Dateien: 28
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\WINDOWS\system32\khfETkJA.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yaywurPf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ljgzgf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\dgksvbpn.dll (Trojan.Zlob) -> Delete on reboot.
C:\WINDOWS\vanwxemggfb.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\xrdwbfgn.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\gksraemq.dll (Trojan.FakeAlert) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97f32e17-00de-4176-ae0f-7e2dd897e527} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{97f32e17-00de-4176-ae0f-7e2dd897e527} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e9f3532-8845-45fb-99c2-b8df08147ebd} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{9e9f3532-8845-45fb-99c2-b8df08147ebd} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{da16164d-96d5-4acb-bcf7-ba486b8abc1a} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yaywurpf (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{da16164d-96d5-4acb-bcf7-ba486b8abc1a} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{27bff7d8-cc60-4c03-b47d-7adcfdf6b4ac} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{6da06cee-c3b8-4ea1-a29f-0212470f00fc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{23e0807b-33ba-4d75-970f-d4bb67290cce} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5309604a-f274-46f0-874d-4405b97ccc4c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{af57398c-e09d-4229-b2d5-12e909dcc730} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af57398c-e09d-4229-b2d5-12e909dcc730} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f5541c1b-feb3-4ebf-be9c-f14cc0edf24e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{2fa1a9cc-5215-42cd-b6ae-23b77d5f0e24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{707ce553-99aa-4c24-92be-e2a8d2f99ebd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0caa216d-b1af-4c4a-8edc-fb2d822570cb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gksraemq.btga (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gksraemq.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\e0742679 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{da16164d-96d5-4acb-bcf7-ba486b8abc1a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\dgksvbpn (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\xrdwbfgn (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0caa216d-b1af-4c4a-8edc-fb2d822570cb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\khfetkja -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfetkja -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0011903-00384) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\ljgzgf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\khfETkJA.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\AJkTEfhk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AJkTEfhk.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yaywurPf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\csujhtag.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gathjusc.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oskemsfp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pfsmekso.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\dgksvbpn.dll (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\Roland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1WPVMAE1\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U568T7JW\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\elkg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dvchmyup.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ropxnsni.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rxaxuj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxyyxuuU.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\vanwxemggfb.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\xrdwbfgn.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\sxmaokgf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gksraemq.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Birgit\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
combofix:
ComboFix 08-09-05.02 - Birgit 2008-09-06 14:56:43.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1421 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Birgit\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Frank\Cookies\frank@a.geo[2].txt
.
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-06 12:43 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-06 12:37 . 2008-09-06 12:37 <DIR> d-------- C:\Programme\CCleaner
2008-08-22 12:55 . 2008-08-22 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AdobeUM
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 08:30 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-09-04 19:17 --------- d-----w C:\Programme\AntiVirenKit 2006
2008-09-04 13:29 --------- d-----w C:\Programme\Profi cash
2008-08-26 07:17 --------- d-----w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Apple Computer
2008-07-13 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2008-07-13 09:35 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-07-12 05:19 --------- d-----w C:\Programme\Apple Software Update
2008-07-11 19:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-11 19:59 --------- d-----w C:\Programme\SanDisk
2008-07-09 18:40 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2006-10-14 15:11 53,176 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-05 19:09 1,642 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\wklnhst.dat
2006-05-11 17:31 0 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\wklnhst.dat
2006-03-24 14:17 952 ----a-w C:\Programme\Nero Online Upgrade.lnk
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [X]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"watchdog"="C:\Programme\WatchDog\Watchdog.exe" [2004-09-13 732672]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 1236992]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-03-24 26112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-06-02 267048]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-11 C:\WINDOWS\RTHDCPL.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2006-11-24 82944]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2005-11-30 479232]
Zahlungserinnerung.lnk - C:\Programme\Profi cash\wzed.exe [2007-08-21 40960]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=ljgzgf.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RealTray"=C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
R1 bizVSerial;Franson VSerial;C:\WINDOWS\system32\drivers\bizVSerialNT.sys [2007-05-30 14949]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 180224]
R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2006\AVKService.exe [2004-09-28 299008]
R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2006\AVKWCtl.exe [2005-08-15 602112]
R2 cjpcsc;cyberJack PC/SC COM Service ;C:\WINDOWS\system32\cjpcsc.exe [2007-09-11 652592]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2007-05-30 23040]
R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2006-05-02 52858]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2006-05-02 28066]
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-11-23 237568]
S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 12032]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
R0 -: HKLM-Main,Start Page = hxxp://www.arcor.de
R0 -: HKLM-Main,Window Title = Arcor AG & Co. KG
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O18 -: Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 -: Handler: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} - C:\Programme\Microsoft ActiveSync\aatp.dll
O18 -: WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O16 -: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.de/static/download/pixacodndupload.cab
C:\WINDOWS\Downloaded Program Files\PIXACODnDUpload.inf
C:\WINDOWS\Downloaded Program Files\tra2_2_5.rc
C:\WINDOWS\Downloaded Program Files\PIXACODnDUpload.ocx
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 14:59:33
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 15:01:27
ComboFix-quarantined-files.txt 2008-09-06 13:00:41
Pre-Run: 18 Verzeichnis(se), 228,760,109,056 Bytes frei
Post-Run: 22 Verzeichnis(se), 229,450,178,560 Bytes frei
140 --- E O F --- 2008-08-20 17:07:46
Hijackthis-Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:17, on 06.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\WatchDog\Watchdog.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Birgit\Eigene Dateien\HJT.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [watchdog] C:\Programme\WatchDog\Watchdog.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176126396062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: ljgzgf.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
--
End of file - 7620 bytes
So, das war´s.
Ich hoffe, Ihr könnt mir helfen.
Viele Grüsse
RolSei