tr/dropper.gen von antivir gefunden

#1 Hi auf dem Rechner von meiner freundin hab ich nen Trojaner gefunden.
Popt öfters mal auf. Ständig werden neue Browserfenster geöffnet trotz
pop up blocker.


Hijackthis (in rot gehört zum trojaner)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:56, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\jenni\lokale einstellungen\anwendungsdaten\hchmmkzm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [hchmmkzm] c:\dokumente und einstellungen\jenni\lokale einstellungen\anwendungsdaten\hchmmkzm.exe hchmmkzm
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Jenni\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5423 bytes

#2 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .
Auch wenn man die Updates runter geladenhat ,sollte vor den Scan nochmal nach Updates
Gesucht werden !

Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen

Poste danach nochmal ein log von Hijack This
__________
MfG Argus

#3 hab grad kurz 2-3 sachen in hijackthis gefixed.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:31:31, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4578 bytes


malwarebites hab ich bereits mit voll scan drüber laufen lassen.
hat 10 sachen gefunden und entfernt. danach wars immer noch da.
hatte allerdings auch noch keinen reboot

anbei der log von malware nach dem gerade durchgeführten reboot

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 2

14.09.2008 23:26:28
mbam-log-2008-09-14 (23-26-28).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 93778
Laufzeit: 54 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

#4 Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche c:\dokumente und einstellungen\jenni\lokale einstellungen\anwendungsdaten\hchmmkzm.exe und klicke OK
__________
MfG Argus

#5 jo hat er trotzdem noch gefunden....antivir hat sofort alarm geschlagen...wurde gelöscht....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:45:08, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4595 bytes

#6 popcaploader kommt mit Bejeweled von Zango

Also alles wieder in Ordnung
__________
MfG Argus

#7

Zitat

Arnold postete
popcaploader kommt mit Bejeweled von Zango

auch wenn es mich freut dass alles wieder in ordnung ist
was heisst das?

#8 Wenn man dieses Spiel "Bejeweled" online spielt muss ein ActiveX runter geladen werden weil mann sonst dieses Spiel nicht spielen kann
__________
MfG Argus

#9 aso ok dankeschön für deine hilfe....kommen auch keine pop ups mehr

#10

Zitat

PH0ENlX postete

Zitat

Arnold postete
popcaploader kommt mit Bejeweled von Zango

auch wenn es mich freut dass alles wieder in ordnung ist
was heisst das?

hab eine erneute warnung bekommen vom antivirus
bin es doch noch nicht ganz los....
der selbe scheiss..allerdings eine datein mit a am anfang

unter hijackthis sehe ich die datei nicht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:07, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice DSL 16000.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1375DBAF-FD8E-4044-9C13-5BD3AF5D72CF}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4591 bytes


der befund vom antivir. 2 funde



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 20. September 2008 21:16

Es wird nach 1626845 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: NENNI01

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 18:57:36
ANTIVIR3.VDF : 7.0.6.188 217088 Bytes 19.09.2008 06:54:36
Engineversion : 8.1.1.34
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 19:19:21
AESCN.DLL : 8.1.0.23 119156 Bytes 14.09.2008 18:57:42
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 19:19:20
AEPACK.DLL : 8.1.2.1 364917 Bytes 14.09.2008 18:57:41
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 19:19:20
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 19:19:19
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.36 315764 Bytes 14.09.2008 18:57:39
AEEMU.DLL : 8.1.0.7 430452 Bytes 14.09.2008 18:57:38
AECORE.DLL : 8.1.1.11 172406 Bytes 14.09.2008 18:57:38
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 14.09.2008 18:57:37
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 20. September 2008 21:16

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLVoice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SecondLifeReleaseCandidate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '45' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jenni\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\362cfe3-21adaec1
[0] Archivtyp: ZIP
--> OP.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49074f4d.qua' verschoben!
C:\System Volume Information\_restore{DEBCF2B4-4E4F-44B4-B56A-7C39A439C181}\RP297\A0029584.VIR
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490555ff.qua' verschoben!


Ende des Suchlaufs: Samstag, 20. September 2008 22:19
Benötigte Zeit: 1:02:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7760 Verzeichnisse wurden überprüft
178212 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
178209 Dateien ohne Befall
1369 Archive wurden durchsucht
1 Warnungen
2 Hinweise

#11 Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Benutze ATF Cleaner

Doppelklick ATFcleaner um das Program zu starten
Auf tab “Main“ Select All anhaaken.
Klicke den Knopf Empty selected

Wenn man Opera als browser hat:
Klicke auf tab “Opera“ Select All anhaaken.
Willst du die durch Opera aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Wenn man [b ]Firefox [/b] als browser hat:
Klicke auf tab “Firefox“ Select All anhaaken.
Willst du die durch Firefox aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Geh zum tab“Main“und klicke Exit um das Program
zu schliessen.
__________
MfG Argus

#12 Hale an alle,

mit Interesse habe ich Eure Diskussion über das Löschen des Trojaners verfolgt, weil mich seit einigen Tagen dasselbe Problem plagt und ich bis jetzt mit keinem Programm außer dem Malwarebytes weitergekommen bin.

Bisher habe ich einen ganze Latte von infizierten Dateien und Registry-Einträge löschen können; bis auf einen.

Leider bin ich nicht in der Lage, diesen einen einzigen, infizierten Eintrag in der Registy zu säubern. Vielleicht hat jemand einen Tipp für mich, wie ich den Trojaner erwische.

Nachfolgend das Log aus dem letzten Durchlauf von Malwarebytes:

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1298
Windows 5.1.2600 Service Pack 2

20.10.2008 22:12:25
mbam-log-2008-10-20 (22-12-16).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49958
Laufzeit: 30 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36dbc179-a19f-48f2-b16a-6a3e19b42a87} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Für einen Tipp wäre ich echt dankbar.

Viele Grüße
Lui

#13 RSIT
Download RSIT(by random/random zum Desktop
Doppelklick RSIT um es zu starten
Klicke auf Continue in das disclaimer Fenster
Wenn der scan be-endet ist werden zwei logs oeffnen
Poste den Inhalt von log.txt und info.txt in dein naechsten Antwort
__________
MfG Argus

#14 Voila.

Logfile of random's system information tool 1.04 (written by random/random)
Run by Standard at 2008-10-20 22:42:26
Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (27%) free of 14 GB
Total RAM: 255 MB (19% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:04, on 20.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\SYSTEM32\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Lui\Austausch\RSIT.exe
C:\Programme\trend micro\Standard.exe
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AWMON] "D:\PROGRA~1\AD-AWARE\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\PROGRAMME\AVPERSONAL\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe
O4 - HKLM\..\Run: [@RegRunOnSecure] d:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Regrun2] d:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - HKCU\..\Run: [Registry] "d:\Programme\Greatis\RegRunSuite\lsoon.exe" -1 30 "d:\Programme\Greatis\RegRunSuite\rescue.exe" /a "c:\backreg\rstore.ini"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Global Startup: Verknüpfung mit SpeedMgr.exe.lnk = D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
O4 - Global Startup: Verknüpfung mit avgnt.exe.lnk = C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: tkhjia.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

--
End of file - 6719 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Programmstart beschleunigen.job
C:\WINDOWS\tasks\PCHealth-Planer für die Zusammenstellung der Daten.job
C:\WINDOWS\tasks\{6F0499F3-1CAE-4449-80C5-93AD0BB0BDCB}_LUDWIG_Standard.job
C:\WINDOWS\tasks\{5CD1461E-0A7D-4EAC-AD37-0B1C2B5BBC9B}_LUDWIG_Standard.job
C:\WINDOWS\tasks\{9BF3D73C-2025-4DBC-9271-F508DAAA07FD}_LUDWIG_Standard.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2006-04-18 552960]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"=D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe [2003-11-18 689248]
"AWMON"=D:\PROGRA~1\AD-AWARE\AD-AWA~1\Ad-Watch.exe []
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"AVGCtrl"=D:\PROGRAMME\AVPERSONAL\AVGNT.EXE /min []
"PestPatrol Control Center"=D:\Programme\PestPatrol\PPControl.exe [2005-02-28 98816]
"CookiePatrol"=D:\Programme\PestPatrol\CookiePatrol.exe [2005-02-28 105472]
"QuickTime Task"=C:\WINDOWS\SYSTEM32\qttask.exe [2002-12-01 77824]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
"RegRun WinBait"=C:\WINDOWS\winbait.exe [2000-12-12 16384]
"@RegRunOnSecure"=d:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe [2003-01-22 57856]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"H/PC Connection Agent"=C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE [2005-01-04 405583]
"Regrun2"=d:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe [2008-07-14 356864]
"Registry"=d:\Programme\Greatis\RegRunSuite\lsoon.exe [2008-07-14 390656]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Verknüpfung mit SpeedMgr.exe.lnk - D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
Verknüpfung mit avgnt.exe.lnk - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
WISO Urteilsmonitor.lnk - C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="tkhjia.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-04 240128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F552DDE6-2090-4bf4-B924-6141E87789A5}"=d:\Programme\Greatis\RegRunSuite\RRShell.dll [2004-11-02 368711]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=91000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE:*:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"="C:\Program Files\Internet Explorer\IEXPLORE.EXE:*isabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2008-10-20 22:42:44 ----D---- C:\Programme\trend micro
2008-10-20 22:42:26 ----D---- C:\rsit
2008-10-20 20:54:37 ----D---- C:\Avenger
2008-10-20 20:54:36 ----A---- C:\avenger.txt
2008-10-20 19:50:56 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Malwarebytes
2008-10-20 19:50:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-20 19:42:03 ----A---- C:\WINDOWS\lsoon.ini
2008-10-20 19:16:42 ----D---- C:\WINDOWS\RestoreSafeDeleted
2008-10-20 19:09:24 ----A---- C:\WINDOWS\Partizan.txt
2008-10-20 19:09:17 ----A---- C:\WINDOWS\system32\PARTIZAN.TXT
2008-10-20 19:03:28 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Regrun
2008-10-20 19:03:28 ----D---- C:\backreg
2008-10-20 19:02:38 ----A---- C:\WINDOWS\system32\Partizan.exe
2008-10-20 19:01:25 ----A---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\ShLog.txt
2008-10-20 18:59:11 ----A---- C:\WINDOWS\WinBait.exe
2008-10-20 18:59:11 ----A---- C:\WINDOWS\RunGuard.exe
2008-10-18 19:23:34 ----D---- C:\WINDOWS\Prefetch
2008-10-18 18:50:17 ----A---- C:\WINDOWS\002706_.tmp
2008-10-18 18:44:50 ----HD---- C:\WINDOWS\$NtServicePackUninstall$
2008-10-18 15:49:43 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest
2008-10-18 15:48:32 ----A---- C:\WINDOWS\system32\safrslv.dll
2008-10-18 15:48:32 ----A---- C:\WINDOWS\system32\safrdm.dll
2008-10-18 15:48:32 ----A---- C:\WINDOWS\system32\safrcdlg.dll
2008-10-18 15:48:31 ----A---- C:\WINDOWS\system32\racpldlg.dll
2008-10-18 15:48:30 ----A---- C:\WINDOWS\system32\mnmsrvc.exe
2008-10-18 15:48:30 ----A---- C:\WINDOWS\system32\isrdbg32.dll
2008-10-18 15:48:29 ----A---- C:\WINDOWS\system32\inetres.dll
2008-10-18 15:48:28 ----A---- C:\WINDOWS\system32\icwphbk.dll
2008-10-18 15:48:27 ----A---- C:\WINDOWS\system32\isign32.dll
2008-10-18 15:48:27 ----A---- C:\WINDOWS\system32\inetcfg.dll
2008-10-18 15:48:27 ----A---- C:\WINDOWS\system32\icwdial.dll
2008-10-18 15:48:19 ----A---- C:\WINDOWS\system32\qmgrprxy.dll
2008-10-18 15:48:18 ----A---- C:\WINDOWS\system32\qmgr.dll
2008-10-18 15:48:11 ----A---- C:\WINDOWS\system32\srsvc.dll
2008-10-18 15:48:11 ----A---- C:\WINDOWS\system32\srrstr.dll
2008-10-18 15:48:11 ----A---- C:\WINDOWS\system32\srclient.dll
2008-10-18 15:48:10 ----A---- C:\WINDOWS\system32\nmmkcert.dll
2008-10-18 15:48:10 ----A---- C:\WINDOWS\system32\msconf.dll
2008-10-18 15:48:10 ----A---- C:\WINDOWS\system32\mnmdd.dll
2008-10-18 15:48:10 ----A---- C:\WINDOWS\system32\ils.dll
2008-10-18 15:48:06 ----A---- C:\WINDOWS\system32\msoert2.dll
2008-10-18 15:48:06 ----A---- C:\WINDOWS\system32\msoeacct.dll
2008-10-18 15:48:05 ----A---- C:\WINDOWS\system32\schedsvc.dll
2008-10-18 15:48:05 ----A---- C:\WINDOWS\system32\inetcomm.dll
2008-10-18 15:48:04 ----A---- C:\WINDOWS\system32\mstinit.exe
2008-10-18 15:48:04 ----A---- C:\WINDOWS\system32\mstask.dll
2008-10-18 15:45:15 ----A---- C:\WINDOWS\system32\accwiz.exe
2008-10-18 15:45:14 ----A---- C:\WINDOWS\system32\sndrec32.exe
2008-10-18 15:45:14 ----A---- C:\WINDOWS\system32\rdshost.exe
2008-10-18 15:45:14 ----A---- C:\WINDOWS\system32\hypertrm.dll
2008-10-18 15:45:13 ----A---- C:\WINDOWS\system32\xolehlp.dll
2008-10-18 15:45:13 ----A---- C:\WINDOWS\system32\qprocess.exe
2008-10-18 15:45:13 ----A---- C:\WINDOWS\system32\mtxoci.dll
2008-10-18 15:45:13 ----A---- C:\WINDOWS\system32\msdtcuiu.dll
2008-10-18 15:45:13 ----A---- C:\WINDOWS\system32\msdtctm.dll
2008-10-18 15:45:13 ----A---- C:\WINDOWS\system32\msdtclog.dll
2008-10-18 15:45:13 ----A---- C:\WINDOWS\system32\msdtc.exe
2008-10-18 15:45:12 ----A---- C:\WINDOWS\system32\colbact.dll
2008-10-18 15:45:12 ----A---- C:\WINDOWS\system32\catsrvps.dll
2008-10-18 15:45:11 ----A---- C:\WINDOWS\system32\comuid.dll
2008-10-18 15:45:11 ----A---- C:\WINDOWS\system32\clbcatex.dll
2008-10-18 15:45:11 ----A---- C:\WINDOWS\system32\catsrv.dll
2008-10-18 15:45:10 ----A---- C:\WINDOWS\system32\clbcatq.dll
2008-10-18 15:45:07 ----A---- C:\WINDOWS\system32\servdeps.dll
2008-10-18 15:45:06 ----A---- C:\WINDOWS\system32\mspaint.exe
2008-10-18 15:45:06 ----A---- C:\WINDOWS\system32\mplay32.exe
2008-10-18 15:45:06 ----A---- C:\WINDOWS\system32\mmfutil.dll
2008-10-18 15:45:06 ----A---- C:\WINDOWS\system32\cmprops.dll
2008-10-18 15:45:06 ----A---- C:\WINDOWS\system32\clipbrd.exe
2008-10-18 15:45:05 ----A---- C:\WINDOWS\system32\wuauserv.dll
2008-10-18 15:45:05 ----A---- C:\WINDOWS\system32\wuaueng.dll
2008-10-18 15:45:05 ----A---- C:\WINDOWS\system32\wuauclt.exe
2008-10-18 15:45:05 ----A---- C:\WINDOWS\system32\spider.exe
2008-10-18 15:45:04 ----A---- C:\WINDOWS\system32\tscfgwmi.dll
2008-10-18 15:45:04 ----A---- C:\WINDOWS\system32\sessmgr.exe
2008-10-18 15:45:04 ----A---- C:\WINDOWS\system32\remotepg.dll
2008-10-18 15:45:04 ----A---- C:\WINDOWS\system32\rdsaddin.exe
2008-10-18 15:45:04 ----A---- C:\WINDOWS\system32\mstscax.dll
2008-10-18 15:45:04 ----A---- C:\WINDOWS\system32\mstsc.exe
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\tscupgrd.exe
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\termsrv.dll
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\rdpwsx.dll
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\rdpsnd.dll
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\rdpclip.exe
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\rdchost.dll
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\icaapi.dll
2008-10-18 15:45:03 ----A---- C:\WINDOWS\system32\cfgbkend.dll
2008-10-18 15:45:02 ----A---- C:\WINDOWS\system32\msdtcprx.dll
2008-10-18 15:45:02 ----A---- C:\WINDOWS\system32\comsvcs.dll
2008-10-18 15:45:02 ----A---- C:\WINDOWS\system32\catsrvut.dll
2008-10-18 15:44:58 ----A---- C:\WINDOWS\system32\licwmi.dll
2008-10-18 15:41:35 ----A---- C:\WINDOWS\system32\nv4_disp.dll
2008-10-18 15:41:20 ----A---- C:\WINDOWS\pnplog.txt
2008-10-18 15:29:12 ----A---- C:\WINDOWS\system32\spxcoins.dll
2008-10-18 15:29:12 ----A---- C:\WINDOWS\system32\irclass.dll
2008-10-18 15:29:11 ----A---- C:\WINDOWS\system32\storprop.dll
2008-10-18 15:28:56 ----RA---- C:\WINDOWS\SET55.tmp
2008-10-18 15:28:51 ----RA---- C:\WINDOWS\SET40.tmp
2008-10-18 14:53:24 ----A---- C:\WINDOWS\ntbtlog.txt
2008-10-17 20:00:53 ----A---- C:\WINDOWS\system32\wstest.dll
2008-10-11 10:32:45 ----SH---- C:\WINDOWS\system32\gbglqeax.ini
2008-10-11 10:30:43 ----A---- C:\WINDOWS\system32\204cd604-.txt
2008-10-11 10:29:39 ----ASH---- C:\WINDOWS\system32\uwxIlUtv.ini2
2008-10-11 10:29:36 ----ASH---- C:\WINDOWS\system32\uwxIlUtv.ini
2008-10-09 21:35:56 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Downloaded Installations

======List of files/folders modified in the last 1 months======

2008-10-20 22:16:46 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-20 19:03:34 ----A---- C:\WINDOWS\winstart.bat
2008-10-19 19:50:20 ----A---- C:\WINDOWS\WINAMP.INI
2008-10-19 11:46:12 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-18 19:25:14 ----A---- C:\WINDOWS\setuplog.txt
2008-10-18 19:20:38 ----A---- C:\WINDOWS\imsins.BAK
2008-10-18 19:09:56 ----RASH---- C:\boot.ini
2008-10-18 18:56:22 ----RASH---- C:\ntdetect.com
2008-10-18 15:52:46 ----A---- C:\WINDOWS\OEWABLog.txt
2008-10-18 15:52:32 ----A---- C:\WINDOWS\ODBCINST.INI
2008-10-18 15:49:52 ----RD---- C:\WINDOWS\WEB
2008-10-18 15:49:52 ----RD---- C:\Programme
2008-10-18 15:49:26 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2008-10-18 15:49:00 ----A---- C:\WINDOWS\win.ini
2008-10-18 15:29:20 ----A---- C:\WINDOWS\system.ini
2008-10-18 15:29:06 ----ASH---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
2008-10-10 21:02:58 ----A---- C:\WINDOWS\NeroDigital.ini
2008-10-10 21:00:14 ----A---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2008-09-25 16:06:30 ----A---- C:\WINDOWS\gswin32.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2008-07-19 45376]
R1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\p3.sys [2004-08-04 46592]
R1 SSHDRV61;SSHDRV61; \??\C:\WINDOWS\System32\drivers\SSHDRV61.sys []
R2 ACEDRV05;ACEDRV05; \??\C:\WINDOWS\System32\drivers\ACEDRV05.sys []
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2004-07-06 9728]
R2 PfModNT;PfModNT; \??\C:\WINDOWS\System32\drivers\PfModNT.sys []
R2 vsdatant;vsdatant; \??\C:\WINDOWS\System32\vsdatant.sys []
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2004-07-09 17920]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2004-01-27 3840]
R3 GETNDIS;VIA Networking Velocity Family Giga-bit Ethernet Adapter Driver; C:\WINDOWS\System32\DRIVERS\getnd5b.sys [2003-09-02 44032]
R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver; C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2003-05-12 433732]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 MxlW2k;MxlW2k; C:\WINDOWS\system32\drivers\MxlW2k.sys [2006-01-06 28276]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2007-01-06 10368]
R3 RegGuard;RegGuard; \??\C:\WINDOWS\system32\Drivers\regguard.sys []
R3 TNPacket;T-Systems Nova Packet Capture Driver; \??\D:\Programme\T-DSL SpeedManager\tnpacket.sys []
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 VIAudio;VIA AC'97 Audiocontroller (WDM); C:\WINDOWS\system32\drivers\ac97via.sys [2002-08-28 84480]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 Jukebox3;Jukebox3; C:\WINDOWS\System32\DRIVERS\ctpdusb.sys [2003-10-23 16848]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2005-05-27 7288]
S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2005-05-27 11001]
S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2005-05-27 128295]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\D:\PROGRA~1\T-DSLS~1\PCANDIS5.SYS []
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\System32\DRIVERS\wceusbsh.sys [2004-12-06 104064]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir Scheduler; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-07-19 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Service; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-08-15 149761]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\System32\CTSvcCDA.EXE [1999-12-13 44032]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe [2003-11-18 824408]
R3 TSMService;TSMService; D:\Programme\T-DSL SpeedManager\tsmsvc.exe [2005-06-22 147456]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912]

-----------------EOF-----------------

info.txt logfile of random's system information tool 1.04 2008-10-20 22:43:14

======Uninstall list======

-->D:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee 9 Foto-Manager-->MsiExec.exe /I{7AE25201-3E12-4FA2-9E65-67CD475D9263}
Ad-Aware SE Personal-->D:\PROGRA~1\LAVASOFT\AD-AWA~1\UNWISE.EXE D:\PROGRA~1\LAVASOFT\AD-AWA~1\INSTALL.LOG
Adobe Flash Player ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
AFPL Ghostscript 8.51-->D:\Programme\gs\uninstgs.exe "D:\Programme\gs\gs8.51\uninstal.txt"
AFPL Ghostscript Fonts-->D:\Programme\gs\uninstgs.exe "D:\Programme\gs\fonts\uninstal.txt"
ArcSoft PhotoStudio 5.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{230CCBE9-14B0-4008-97AF-30C10F99E42C}\setup.exe" -l0x7
AvantGo Client-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A90DCEC1-22DE-11D4-B8A9-0050DAB648C6}\setup.exe" -l0x7 CP
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Canon CanoScan Toolbox 4.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{143FB15C-0C48-41E3-9C30-F56FB69BF3D7}\setup.exe" -l0x7 anything
Canon iP3300 Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP3300\UNINST.EXE
Canon iP3300-->"C:\WINDOWS\System32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300 /L0x0007
Canon Setup Utility 2.3-->"C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.3\uninst.ini
Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox-->C:\WINDOWS\BJPSUNST.EXE
DAEMON Tools-->MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}
Data LifeSaver-->MsiExec.exe /I{CE83500A-D08A-45AA-B6C0-25D7F8E11653}
Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
File Scavenger 3.2-->"D:\Programme\File Scavenger 3.2-2\unins000.exe"
FileZilla (remove only)-->"D:\Programme\FileZilla\uninstall.exe"
FreePDF XP (Remove only)-->C:\Programme\FreePDF_XP\fpsetup.exe /r
GetDataBack for NTFS-->"D:\Programme\Runtime Software\GetDataBack for NTFS\Uninstall.exe" "D:\Programme\Runtime Software\GetDataBack for NTFS\install.log" -u
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Macromedia Flash Player 8-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\swflash.inf,DefaultUninstall,5
Malwarebytes' Anti-Malware-->"d:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Manual CanoScan 3200,3200F-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B9C54C44-BB5A-4B03-8907-C01A9790195A}\setup.exe" -l0x7
Media Center 12-->C:\Programme\J River\Media Center 12\JRMediaUninstall.exe
Microsoft ActiveSync 3.8-->"C:\WINDOWS\ISUN0407.EXE" -f"C:\Programme\Microsoft ActiveSync\DeIsL1.isu" -c"C:\Programme\Microsoft ActiveSync\ceuninst.dll"
Microsoft Bootvis-->MsiExec.exe /I{0F9196C6-58B4-445B-B56E-B1200FECC151}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Office Project Professional 2003-->MsiExec.exe /I{903B0407-6000-11D3-8CFE-0150048383C9}
Microsoft Office Visio Professional 2003-->MsiExec.exe /I{90510407-6000-11D3-8CFE-0150048383C9}
Microsoft Reader für Pocket PC-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AEFD48FE-2A76-11D3-928B-00C04FB90523}\Setup.exe" UninstReg
Microsoft Visual C++ 2005 SP1 CRT Redistributable-->MsiExec.exe /I{CC038D57-788A-4544-BF8F-179E5CF50D2F}
Mobipocket Reader 5.0-->MsiExec.exe /I{7C5B3483-284D-4F9D-A3F1-0E9151342C04}
myCodes-lite 1.2-->C:\Programme\pocketWorks\myCodes-lite\uninst.exe
Nero Suite-->C:\Programme\Gemeinsame Dateien\Ahead\Uninstall\setup.exe /uninstall ExtraUninstallID=""
Nokia Connectivity Cable Driver-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{3D249F10-79EC-48D4-93E5-C470ABE523FA}
Nokia PC Suite-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{617095DB-B523-4D11-BBFD-2D74C2AD98B8}
OmniPage SE 2.0-->MsiExec.exe /I{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}
Online-KeyToolBox-v1.1beta-->D:\Programme\Online-KeyToolBox-v1.1beta\Uninstal.exe
PestPatrol-->D:\PROGRA~1\PESTPA~1\UNWISE.EXE D:\PROGRA~1\PESTPA~1\INSTALL.LOG
Pocket Innovation System Monitor 1.1-->"D:\Programme\System Monitor for PPC\unins000.exe"
RedMon - Redirection Port Monitor-->C:\WINDOWS\System32\unredmon.exe
RegRun Security Suite Platinum-->d:\Programme\Greatis\RegRunSuite\R3UR.exe
Shareaza Version 2.2.1.0-->"d:\Programme\Shareaza\Uninstall\unins000.exe"
T-DSL SpeedManager-->D:\PROGRA~1\T-DSLS~1\TSMInst.exe /u
Total Commander (Remove or Repair)-->d:\totalcmd\tcuninst.exe
Ulead DVD PictureShow 2 SE Basic-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A9212616-FCA2-4173-BD99-5C741EB3A068}\setup.exe" -l0x7
VideoLAN VLC media player 0.8.6e-->D:\Programme\VideoLAN\VLC\uninstall.exe
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
WinRAR-->d:\Programme\WinRAR\uninstall.exe
WISO Sparbuch 2005-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CEFD7155-9C9A-4D20-8DEC-3961BBBB0001}\setup.exe" -l0x7 -removeonly
WISO Sparbuch 2006-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AEBC4CA2-B05F-47E3-8680-B2CDB6E12006}\setup.exe" -l0x7 -removeonly
WISO Sparbuch 2007-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5EDB9281-1F84-4195-9CDD-85985D17DDC7}\setup.exe" -l0x7 -removeonly

======Security center information======

AV: Avira AntiVir PersonalEdition

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;%SYSTEMROOT%\COMMAND;D:\PROGRA~1\WINLINK;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG
"windir"=C:\WINDOWS
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0806
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=C:\WINDOWS\TEMP
"TMP"=C:\WINDOWS\TEMP
"winbootdir"=C:\WINDOWS
"PROMPT"=$p$g
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

Danke für die schnelle Antwort.
Lui

#15 Lui

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:
Versteckte Dateien sichtbar machen:
http://virus-protect.org/invisible.html


C:\WINDOWS\system32\gbglqeax.ini
C:\WINDOWS\system32\uwxIlUtv.ini
C:\WINDOWS\system32\Drivers\regguard.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)

O20 - AppInit_DLLs: tkhjia.dll

und wähle fix checked.

Starte den Rechner neu.


>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb


>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Sagen Dir diese Tasks etwas:

Zitat

C:\WINDOWS\tasks\{6F0499F3-1CAE-4449-80C5-93AD0BB0BDCB}_LUDWIG_Standard.job
C:\WINDOWS\tasks\{5CD1461E-0A7D-4EAC-AD37-0B1C2B5BBC9B}_LUDWIG_Standard.job
C:\WINDOWS\tasks\{9BF3D73C-2025-4DBC-9271-F508DAAA07FD}_LUDWIG_Standard.job

Für mich:

Zitat

2008-10-11 10:32:45 ----SH---- C:\WINDOWS\system32\gbglqeax.ini
2008-10-11 10:30:43 ----A---- C:\WINDOWS\system32\204cd604-.txt
2008-10-11 10:29:39 ----ASH---- C:\WINDOWS\system32\uwxIlUtv.ini2
2008-10-11 10:29:36 ----ASH---- C:\WINDOWS\system32\uwxIlUtv.ini