Problem mit Spywar (IE, Firefox leiten falsch weiter)

#1 Hallo und ein frohes neues Jahr an alle.

Ich weiß, dass dieses Problem schon besprochen wurde aber ich würde gerne eine Theard nur für mein Problem erstellen.

Also dann fange ich an:
Mein Problem ist praktisch genau das gleiche wie hier schon beschrieben http://board.protecus.de/newtopic.php?boardid=7. Nur das ich anstatt auf eine bestimmte Server-IP zu Seiten verlinkt werde, wo ich "kostengünstig Viagra" kaufen kann...

Also hier die ersten Logs:

Zitat

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 78E8-2645

Verzeichnis von c:\

01.01.2009 17:04 0 dirdat.txt
01.01.2009 16:48 2.145.386.496 pagefile.sys
01.01.2009 12:54 207 boot.ini
13.12.2008 21:08 0 CONFIG.SYS
13.12.2008 21:08 0 AUTOEXEC.BAT
13.12.2008 21:08 0 IO.SYS
13.12.2008 21:08 0 MSDOS.SYS

--------------------------------------------------

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 78E8-2645

Verzeichnis von C:\WINXP\system32

01.01.2009 16:52 427.592 perfh009.dat
01.01.2009 16:52 442.770 perfh007.dat
01.01.2009 16:52 66.376 perfc009.dat
01.01.2009 16:52 1.028.992 PerfStringBackup.INI
01.01.2009 16:52 78.360 perfc007.dat
01.01.2009 16:48 160.100 nvapps.xml
01.01.2009 12:44 2.953 CONFIG.NT
29.12.2008 16:52 2.206 wpa.dbl
22.12.2008 18:03 1.682 KGyGaAvL.sys
21.12.2008 14:36 56 DDC675F152.sys
19.12.2008 13:08 385.536 winscenter.exe
19.12.2008 13:08 441 TDSSosvd.dat
14.12.2008 20:21 144.792 javaw.exe
14.12.2008 20:21 144.792 java.exe
14.12.2008 20:21 73.728 javacpl.cpl
14.12.2008 20:21 148.888 javaws.exe
14.12.2008 20:21 410.984 deploytk.dll
14.12.2008 11:41 130.096 FNTCACHE.DAT
14.12.2008 11:11 107.888 CmdLineExt.dll
13.12.2008 23:38 940.794 LoopyMusic.wav
13.12.2008 23:38 146.650 BuzzingBee.wav
13.12.2008 21:39 219.136 uxtheme.dll
13.12.2008 21:24 884 d3d8caps.dat
13.12.2008 21:11 442 $winnt$.inf
13.12.2008 21:08 16.832 amcompat.tlb
13.12.2008 21:08 23.392 nscompat.tlb
13.12.2008 21:07 488 logonui.exe.manifest
13.12.2008 21:07 488 WindowsLogon.manifest
13.12.2008 21:07 749 sapi.cpl.manifest
13.12.2008 21:07 749 wuaucpl.cpl.manifest
13.12.2008 21:07 749 nwc.cpl.manifest
13.12.2008 21:07 749 ncpa.cpl.manifest
13.12.2008 21:07 749 cdplayer.exe.manifest
13.12.2008 21:05 21.740 emptyregdb.dat
13.12.2008 21:03 0 h323log.txt
13.12.2008 21:00 4.444 pid.PNF
12.12.2008 00:57 78.336 Agent.OMZ.Fix.exe
29.11.2008 17:58 82.944 IEDFix.C.exe
12.11.2008 15:38 2.283.520 ntkrnlpa.exe
12.11.2008 15:38 52.736 wzcsapi.dll
12.11.2008 15:38 483.840 wzcsvc.dll
12.11.2008 15:38 16.896 msyuv.dll
12.11.2008 15:38 20.992 hid.dll
12.11.2008 15:38 15.360 pjlmon.dll
12.11.2008 15:38 59.392 dmutil.dll
12.11.2008 15:38 51.712 cnbjmon.dll
12.11.2008 15:38 35.328 pid.dll
12.11.2008 15:38 47.616 iyuv_32.dll
12.11.2008 15:37 69.700 usrshuta.exe
12.11.2008 15:37 49.211 usrsdpia.dll
12.11.2008 15:37 77.883 usrrtosa.dll
12.11.2008 15:37 61.500 usrcntra.dll
12.11.2008 15:37 41.019 usrsvpia.dll
12.11.2008 15:37 3.200 wowfax.dll
12.11.2008 15:37 14.336 wowfaxui.dll
12.11.2008 15:37 69.699 usrcoina.dll
12.11.2008 15:37 172.544 mdwmdmsp.dll
12.11.2008 15:37 61.508 usrprbda.exe
12.11.2008 15:37 72.192 sprio800.dll
12.11.2008 15:37 77.890 usrdpa.dll
12.11.2008 15:37 102.457 usrv42a.dll
12.11.2008 15:37 82.432 dvdplay.exe
12.11.2008 15:37 49.209 usrv80a.dll
12.11.2008 15:37 323.641 usrdtea.dll
12.11.2008 15:37 86.073 usrfaxa.dll
12.11.2008 15:37 8.192 streamci.dll
12.11.2008 15:37 49.211 usrvpa.dll
12.11.2008 15:37 157.696 paqsp.dll
12.11.2008 15:37 69.632 spnike.dll
12.11.2008 15:37 53.305 usrlbva.dll
12.11.2008 15:37 45.116 usrvoica.dll
12.11.2008 15:37 77.891 usrmlnka.exe
12.11.2008 15:37 8.192 tsbyuv.dll
12.11.2008 15:37 70.656 sprio600.dll
12.11.2008 15:34 1.379.840 msxml6.dll
12.11.2008 15:34 339.456 netapi32.dll
12.11.2008 15:34 1.148.416 msxml3.dll
17.10.2008 20:43 1.847.040 win32k.sys
17.10.2008 20:42 2.404.864 ntoskrnl.exe
03.10.2008 16:58 6.195.712 ieframe.dll
01.10.2008 14:51 87.552 VACFix.exe

----------------------------------------

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 78E8-2645

Verzeichnis von C:\WINXP

01.01.2009 16:54 300.486 WindowsUpdate.log
01.01.2009 16:48 619 win.ini
01.01.2009 16:48 0 0.log
01.01.2009 16:46 763.478 setupapi.log
01.01.2009 16:29 190.502 setupact.log
01.01.2009 14:57 13.554 SchedLgU.Txt
01.01.2009 14:57 311 wiadebug.log
01.01.2009 14:40 50 wiaservc.log
01.01.2009 13:07 387 RTacDbg.txt
01.01.2009 12:54 227 system.ini
31.12.2008 22:34 133 wininit.ini
20.12.2008 11:56 270.198 DirectX.log
14.12.2008 11:41 34.291 spupdsvc.log
14.12.2008 11:11 1.652 Wudf01000Inst.log
14.12.2008 11:11 62.724 iis6.log
14.12.2008 11:11 10.184 ntdtcsetup.log
14.12.2008 11:11 19.597 comsetup.log
14.12.2008 11:11 16.514 tsoc.log
14.12.2008 11:11 1.874 tabletoc.log
14.12.2008 11:11 1.393 imsins.log
14.12.2008 11:11 1.569 ocmsn.log
14.12.2008 11:11 18.543 WMFDist11.log
14.12.2008 11:11 22.965 ocgen.log
14.12.2008 11:11 2.337 MedCtrOC.log
14.12.2008 11:11 1.489 msgsocm.log
14.12.2008 11:11 4.956 netfxocm.log
14.12.2008 11:11 23.925 FaxSetup.log
14.12.2008 11:11 14.150 msmqinst.log
14.12.2008 11:11 1.309 updspapi.log
14.12.2008 10:48 1.393 imsins.BAK
14.12.2008 00:13 394 ODBC.INI
13.12.2008 22:21 4.709 KB888111.log
13.12.2008 22:09 315.392 HideWin.exe
13.12.2008 21:39 8.294.454 startup.bmp
13.12.2008 21:29 0 nsreg.dat
13.12.2008 21:25 0 msicpl.ini
13.12.2008 21:15 5.528 wmsetup.log
13.12.2008 21:14 829 OEWABLog.txt
13.12.2008 21:13 813.228 setuplog.txt
13.12.2008 21:12 8.192 REGLOCS.OLD
13.12.2008 21:10 8.298 WgaNotify.log
13.12.2008 21:10 8.175 KB943729.log
13.12.2008 21:09 8.139 KB956391.log
13.12.2008 21:09 18.285 KB956390-IE7.log
13.12.2008 21:09 5.864 KB954154.log
13.12.2008 21:09 7.699 KB938127-v2-IE7.log
13.12.2008 21:09 7.596 KB946648.log
13.12.2008 21:09 16.986 KB953838-IE7.log
13.12.2008 21:09 6.800 KB953839.log
13.12.2008 21:09 16.259 KB950759-IE7.log
13.12.2008 21:08 8.364 KB898461.log
13.12.2008 21:08 7.407 KB941569.log
13.12.2008 21:08 995 KB942763.log
13.12.2008 21:08 6.714 KB950760.log
13.12.2008 21:08 7.056 KB950762.log
13.12.2008 21:08 7.529 KB951376-v2.log
13.12.2008 21:08 7.027 KB951698.log
13.12.2008 21:08 8.155 KB951748.log
13.12.2008 21:08 9.262 KB951978.log
13.12.2008 21:08 0 control.ini
13.12.2008 21:08 316.640 WMSysPr9.prx
13.12.2008 21:07 4.073 ODBCINST.INI
13.12.2008 21:07 749 WindowsShell.Manifest
13.12.2008 21:05 1.023 sessmgr.setup.log
13.12.2008 21:05 37 vbaddin.ini
13.12.2008 21:05 36 vb.ini
13.12.2008 21:05 130 DtcInstall.log
13.12.2008 21:03 200 cmsetacl.log
13.12.2008 21:02 0 Sti_Trace.log
13.12.2008 21:00 1.340 regopt.log
13.12.2008 20:57 0 setuperr.log

--------------------------------------

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 78E8-2645

Verzeichnis von C:\DOKUME~1\Andrez\LOKALE~1\Temp

01.01.2009 16:53 14.794 jusched.log
01.01.2009 16:49 0 JET8F5F.tmp
01.01.2009 16:40 114.688 ~DFF7AF.tmp
01.01.2009 16:28 0 JET9654.tmp
01.01.2009 14:46 32.768 RMS2E.tmp
01.01.2009 14:46 32.768 RMS2D.tmp
01.01.2009 14:41 59.964 Adobelm_Cleanup.0001
01.01.2009 14:41 896 TWAIN.LOG
01.01.2009 14:41 3 Twain001.Mtx
01.01.2009 14:41 156 Twunk001.MTX
01.01.2009 14:41 0 Twunk002.MTX
01.01.2009 13:20 205.312 pdl21.tmp
01.01.2009 13:01 0 JETC321.tmp
01.01.2009 13:01 49.152 ~DF9151.tmp
01.01.2009 12:54 49.152 ~DF6A84.tmp
01.01.2009 03:03 0 JET9B26.tmp
01.01.2009 00:44 32.768 RMS12.tmp
01.01.2009 00:44 32.768 RMS11.tmp
31.12.2008 22:48 9.082 tmpB.tmp
31.12.2008 22:48 678.400 tmpC.tmp
31.12.2008 22:48 9.082 tmp7.tmp
31.12.2008 22:48 678.400 tmp8.tmp
31.12.2008 20:23 9.082 tmp9.tmp
31.12.2008 20:23 678.400 tmpA.tmp
31.12.2008 20:19 0 JET69E5.tmp
31.12.2008 19:08 0 JET7510.tmp
31.12.2008 19:02 0 JET5BBC.tmp
31.12.2008 17:30 33.280 ~WRS0003.tmp
31.12.2008 17:15 69 ~WRD0002.doc
30.12.2008 21:37 16.384 Perflib_Perfdata_f8c.dat
30.12.2008 21:23 1.800 wmplog00.sqm
30.12.2008 21:22 0 cmv3F.tmp
30.12.2008 21:19 0 bmt36.tmp
30.12.2008 21:15 0 t8m2C.tmp
30.12.2008 21:14 0 clb2B.tmp
30.12.2008 11:35 12.304 etilqs_pQny1b4HPCIv8IROpcpQ
30.12.2008 11:34 0 JET535F.tmp
30.12.2008 00:44 12.304 etilqs_qG945PE7AOhJAbCzFCTD
29.12.2008 23:52 0 JETCDB3.tmp
28.12.2008 15:41 4.286 xprt072a.ico
28.12.2008 11:14 0 TempCover2
21.12.2008 09:04 8.970 BtnConfig.ini
19.12.2008 13:08 57.856 LQHvFOTW.exe
19.12.2008 13:08 30.725 sOfWWETI.exe
13.12.2008 23:38 25.753 German.bin
31.10.2006 12:46 30.720 MT6USER.EXE

Und hier die von HJK:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:10:41, on 01.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\atwtusb.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINXP\system32\atwtusb.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\Programme\Mozilla Firefox 3 Beta 5\firefox.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\MediaMonkey\MediaMonkey.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINXP\TEMP\E_SCA.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINXP\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINXP\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: WTService - Unknown owner - C:\WINXP\system32\atwtusb.exe

--
End of file - 5968 bytes

Wie muss ich jetzt weiter vorgehen, damit ihr mir helfen könnt?

Wünsche euch einen schönen Abend

MfG

Andrez

#2 Hallo Andrez,

Arbeite bitte die Punkte 2-4 aus http://board.protecus.de/t23187.htm ab und poste die Ergebnisse.
__________
MfG Ralf
SEO-Spam Hunter

#3 Habe die 3 Schritte gemacht...

Log von Combofix:

Zitat

ComboFix 09-01-01.01 - Andrez 2009-01-02 14:00:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1592 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andrez\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winxp\system32\404Fix.exe
c:\winxp\system32\drivers\msqpdxbnroypxm.sys
c:\winxp\system32\drivers\msqpdxbpxovdho.sys
c:\winxp\system32\dumphive.exe
c:\winxp\system32\IEDFix.C.exe
c:\winxp\system32\IEDFix.exe
c:\winxp\system32\msqpdxprjxthfv.dll
c:\winxp\system32\o4Patch.exe
c:\winxp\system32\Process.exe
c:\winxp\system32\SrchSTS.exe
c:\winxp\system32\TDSSosvd.dat
c:\winxp\system32\VACFix.exe
c:\winxp\system32\VCCLSID.exe
c:\winxp\system32\winscenter.exe
c:\winxp\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSQPDXSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-12-02 bis 2009-01-02 ))))))))))))))))))))))))))))))
.

2009-01-01 21:51 . 2009-01-01 21:52 <DIR> d-------- C:\!FixIEDef
2009-01-01 21:14 . 2009-01-01 21:14 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-01-01 20:46 . 2009-01-01 20:46 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\MiniLyrics
2009-01-01 20:43 . 2009-01-01 20:43 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2009-01-01 20:41 . 2008-12-13 21:04 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-01 20:41 . 2008-12-13 21:00 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-01 20:41 . 2008-12-13 21:00 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-01 20:41 . 2009-01-02 14:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-01 20:41 . 2008-12-13 21:00 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-01 20:41 . 2008-12-13 21:00 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-01 20:41 . 2009-01-01 21:14 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-01 20:41 . 2009-01-01 20:41 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-01-01 20:38 . 2009-01-01 21:48 <DIR> d-------- c:\programme\Spotterbase
2009-01-01 20:19 . 2009-01-01 20:19 <DIR> d-------- c:\programme\Lavasoft
2009-01-01 20:19 . 2009-01-01 20:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-01 17:21 . 2009-01-01 17:21 <DIR> d-------- C:\fsaua.data
2009-01-01 17:13 . 2009-01-01 17:13 <DIR> d-------- c:\programme\CleanUp!
2009-01-01 16:46 . 2009-01-01 16:46 <DIR> d-------- c:\winxp\BDOSCAN8
2009-01-01 16:40 . 2009-01-01 16:40 <DIR> d-------- c:\programme\Trend Micro
2009-01-01 16:30 . 2009-01-02 13:55 <DIR> d-------- C:\Lyrics
2009-01-01 14:51 . 2009-01-01 20:10 <DIR> d-------- c:\dokumente und einstellungen\Andrez\SmitfraudFix
2009-01-01 14:51 . 2008-12-12 00:57 78,336 --a------ c:\winxp\system32\Agent.OMZ.Fix.exe
2009-01-01 12:57 . 2009-01-01 12:57 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\Malwarebytes
2009-01-01 12:57 . 2009-01-01 12:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-01 02:59 . 2009-01-01 02:59 <DIR> d-------- c:\programme\TuneUp Utilities 2007
2009-01-01 02:59 . 2009-01-01 02:59 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\TuneUp Software
2009-01-01 02:59 . 2006-11-23 16:45 24,072 --a------ c:\winxp\system32\uxtuneup.dll
2009-01-01 02:58 . 2009-01-01 20:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-01 02:58 . 2009-01-01 02:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-01-01 02:08 . 2009-01-01 02:08 <DIR> d-------- c:\programme\Alwil Software
2008-12-31 22:34 . 2008-12-31 22:34 133 --a------ c:\winxp\wininit.ini
2008-12-31 20:53 . 2008-12-31 20:53 <DIR> d-------- c:\programme\MagicISO
2008-12-31 20:33 . 2008-12-31 20:44 <DIR> d-------- c:\programme\Okoker ISO Maker
2008-12-31 19:04 . 2006-11-15 16:23 38,144 -ra------ c:\winxp\system32\drivers\EAPPkt.sys
2008-12-31 19:04 . 2008-12-31 19:04 21,035 --a------ c:\winxp\system32\drivers\AegisP.sys
2008-12-31 19:04 . 2007-01-08 11:41 3,078 -ra------ c:\winxp\system32\drivers\EAPPkt.inf
2008-12-30 21:36 . 2009-01-01 13:08 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-12-30 21:36 . 2009-01-01 13:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-30 12:38 . 2008-12-30 12:38 <DIR> d-------- c:\programme\Minilyrics
2008-12-30 12:38 . 2009-01-01 20:06 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\MiniLyrics
2008-12-29 23:49 . 2008-12-29 23:51 <DIR> d-------- c:\programme\NetBattle
2008-12-29 23:49 . 2001-09-24 17:48 159,744 --a------ c:\winxp\system32\DMC2.ocx
2008-12-29 23:49 . 2004-03-09 00:00 152,848 --a------ c:\winxp\system32\comdlg32.ocx
2008-12-26 11:22 . 2008-12-26 11:22 <DIR> d-------- c:\winxp\Icons
2008-12-24 20:23 . 2008-12-24 21:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tablet
2008-12-24 14:18 . 2000-05-16 10:40 83,968 --a------ c:\winxp\UnGins.exe
2008-12-23 00:15 . 2008-12-23 00:15 <DIR> d-------- c:\programme\FileZilla
2008-12-21 15:10 . 2008-12-21 15:25 <DIR> d-------- c:\programme\Gemeinsame Dateien\Enterbrain
2008-12-21 15:09 . 2009-01-02 11:36 <DIR> d-------- c:\programme\Enterbrain
2008-12-21 14:26 . 2008-12-30 21:53 1,682 --ahs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-12-21 14:26 . 2008-12-21 14:29 88 -r-hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\52F175C6DD.sys
2008-12-21 11:00 . 2001-08-18 02:22 12,288 --a------ c:\winxp\system32\drivers\mouhid.sys
2008-12-21 11:00 . 2001-08-18 02:22 12,288 --a--c--- c:\winxp\system32\dllcache\mouhid.sys
2008-12-20 21:08 . 2008-12-20 21:08 <DIR> d-------- c:\programme\Foxit Software
2008-12-20 21:08 . 2008-12-20 21:08 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\Foxit
2008-12-20 20:07 . 2008-12-22 18:03 1,682 --ahs---- c:\winxp\system32\KGyGaAvL.sys
2008-12-20 20:07 . 2008-12-21 14:36 56 -r-hs---- c:\winxp\system32\DDC675F152.sys
2008-12-20 19:49 . 2008-12-20 19:54 <DIR> d-------- c:\programme\Game_Maker7
2008-12-19 13:05 . 2008-12-19 13:05 <DIR> d-------- c:\programme\Intelore
2008-12-16 18:40 . 2008-12-20 19:13 <DIR> d-------- c:\programme\Oberon Media
2008-12-16 18:40 . 2008-12-16 18:40 <DIR> d-------- c:\programme\Gemeinsame Dateien\Oberon Media
2008-12-16 18:40 . 2008-12-16 18:45 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-14 21:46 . 2005-02-25 00:00 46,080 --a------ c:\winxp\system32\escimgd.dll
2008-12-14 21:46 . 2005-02-25 00:00 29,696 --a------ c:\winxp\system32\escwiad.dll
2008-12-14 21:46 . 2005-02-25 00:00 22,016 --a------ c:\winxp\system32\esccmd.dll
2008-12-14 21:40 . 2004-11-25 05:07 79,679 --a------ c:\winxp\system32\E_FLMADE.DLL
2008-12-14 21:40 . 2003-05-21 02:27 64,000 --a------ c:\winxp\system32\E_FBCBADE.DLL
2008-12-14 21:40 . 2004-09-10 20:12 49,152 --a------ c:\winxp\system32\E_DCINST.DLL
2008-12-14 21:40 . 2000-06-07 01:01 34,304 --a------ c:\winxp\system32\E_FBCHADE.DLL
2008-12-14 21:39 . 2008-12-14 21:40 <DIR> d-------- c:\programme\EPSON
2008-12-14 21:37 . 2008-04-13 23:15 32,128 --a------ c:\winxp\system32\drivers\usbccgp.sys
2008-12-14 21:37 . 2008-04-13 23:15 32,128 --a--c--- c:\winxp\system32\dllcache\usbccgp.sys
2008-12-14 21:37 . 2008-04-13 22:17 25,856 --a------ c:\winxp\system32\drivers\usbprint.sys
2008-12-14 21:37 . 2008-04-13 22:17 25,856 --a--c--- c:\winxp\system32\dllcache\usbprint.sys
2008-12-14 20:22 . 2008-12-14 20:22 <DIR> d-------- c:\winxp\Sun
2008-12-14 20:21 . 2008-12-14 20:21 <DIR> d-------- c:\programme\Java
2008-12-14 20:21 . 2008-12-14 20:21 410,984 --a------ c:\winxp\system32\deploytk.dll
2008-12-14 20:21 . 2008-12-14 20:21 73,728 --a------ c:\winxp\system32\javacpl.cpl
2008-12-14 20:13 . 2009-01-02 13:50 <DIR> d-------- c:\programme\Mozilla Firefox 3 Beta 5
2008-12-14 16:57 . 2008-12-14 16:57 <DIR> d-------- c:\programme\TVUPlayer
2008-12-14 16:57 . 2008-12-14 16:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-12-14 11:26 . 2008-12-14 11:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MediaMonkey
2008-12-14 11:23 . 2008-12-30 12:38 <DIR> d-------- c:\programme\MediaMonkey
2008-12-14 11:10 . 2008-03-05 15:56 3,786,760 --a------ c:\winxp\system32\D3DX9_37.dll
2008-12-14 11:10 . 2008-03-05 15:56 1,420,824 --a------ c:\winxp\system32\D3DCompiler_37.dll
2008-12-14 11:10 . 2008-02-05 23:07 462,864 --a------ c:\winxp\system32\d3dx10_37.dll
2008-12-14 11:10 . 2007-04-04 18:53 81,768 --a------ c:\winxp\system32\xinput1_3.dll
2008-12-14 11:09 . 2008-12-14 11:09 <DIR> d-------- c:\programme\TeamViewer
2008-12-14 11:09 . 2008-12-14 11:09 <DIR> d-------- c:\dokumente und einstellungen\Andrez\temp
2008-12-14 11:09 . 2008-12-14 11:09 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\TeamViewer
2008-12-14 10:46 . 2008-12-14 10:46 <DIR> d-------- c:\programme\MSBuild
2008-12-14 10:43 . 2008-12-14 10:47 <DIR> d-------- c:\winxp\system32\XPSViewer
2008-12-14 10:43 . 2008-12-14 10:43 <DIR> d-------- c:\programme\Reference Assemblies
2008-12-14 10:43 . 2006-06-29 13:07 14,048 --------- c:\winxp\system32\spmsg2.dll
2008-12-14 10:39 . 2009-01-01 20:23 <DIR> d-------- c:\programme\DAEMON Tools
2008-12-14 00:51 . 2008-12-14 00:51 639,224 --a------ c:\winxp\system32\drivers\sptd.sys
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe Systems Shared
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-12-14 00:11 . 2008-12-20 11:52 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\Ahead
2008-12-14 00:11 . 2008-12-14 00:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2008-12-14 00:10 . 2008-12-14 00:10 <DIR> d-------- c:\programme\Nero
2008-12-14 00:10 . 2008-12-14 00:11 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2008-12-14 00:10 . 2008-12-14 00:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2008-12-14 00:06 . 2008-12-14 00:13 394 --a------ c:\winxp\ODBC.INI
2008-12-14 00:05 . 2008-12-14 00:05 <DIR> d-------- c:\winxp\SHELLNEW
2008-12-14 00:05 . 2003-06-18 17:31 17,920 --a------ c:\winxp\system32\mdimon.dll
2008-12-14 00:01 . 2008-12-14 00:01 <DIR> d-------- c:\programme\RocketDock
2008-12-13 23:58 . 2008-12-13 23:58 <DIR> d-------- c:\programme\Rainlendar2
2008-12-13 23:58 . 2009-01-02 13:39 <DIR> d-------- c:\dokumente und einstellungen\Andrez\.rainlendar2
2008-12-13 23:40 . 2009-01-02 13:50 <DIR> d-------- c:\programme\Mozilla Thunderbird
2008-12-13 23:38 . 2008-12-13 23:38 940,794 --a------ c:\winxp\system32\LoopyMusic.wav
2008-12-13 23:38 . 2008-12-13 23:38 146,650 --a------ c:\winxp\system32\BuzzingBee.wav
2008-12-13 23:01 . 2008-12-13 23:02 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\Thunderbird
2008-12-13 22:28 . 2009-01-02 11:48 <DIR> d-------- c:\dokumente und einstellungen\Andrez\Anwendungsdaten\TeraCopy
2008-12-13 22:27 . 2008-12-13 22:27 <DIR> d-------- c:\programme\TeraCopy
2008-12-13 22:21 . 2008-12-13 22:21 <DIR> d-------- c:\programme\Realtek
2008-12-13 22:21 . 2007-07-05 09:08 16,380,416 -r------- c:\winxp\RTHDCPL.exe
2008-12-13 22:21 . 2007-03-23 12:19 9,715,200 -r------- c:\winxp\RTLCPL.exe
2008-12-13 22:21 . 2007-07-10 02:56 4,449,280 -r------- c:\winxp\system32\drivers\RtkHDAud.sys
2008-12-13 22:21 . 2006-05-04 09:26 2,808,832 -r------- c:\winxp\alcwzrd.exe
2008-12-13 22:21 . 2007-06-28 09:44 2,165,760 -r------- c:\winxp\MicCal.exe
2008-12-13 22:21 . 2007-06-15 09:45 1,826,816 -r------- c:\winxp\SkyTel.exe
2008-12-13 22:21 . 2007-01-16 03:39 1,191,936 -r------- c:\winxp\RtlUpd.exe
2008-12-13 22:21 . 2007-01-12 09:54 520,192 -r------- c:\winxp\RtlExUpd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-01 15:27 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-01 13:46 --------- d-----w c:\dokumente und einstellungen\Andrez\Anwendungsdaten\ICQ
2008-12-14 19:13 --------- d-----w c:\programme\Mozilla Firefox 3 Beta 4
2008-12-14 10:11 107,888 ----a-w c:\winxp\system32\CmdLineExt.dll
2008-12-13 20:39 219,136 ----a-w c:\winxp\system32\uxtheme.dll
2008-12-13 20:31 --------- d-----w c:\programme\ICQ6
2008-12-13 20:20 --------- d-----w c:\dokumente und einstellungen\Andrez\Anwendungsdaten\InstallShield
2008-12-13 20:19 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-13 20:10 --------- d-----w c:\programme\microsoft frontpage
2008-12-13 20:07 --------- d-----w c:\programme\Online-Dienste
2008-12-13 20:06 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-13 20:05 --------- d-----w c:\programme\Windows Media Connect 2
2008-11-12 14:37 86,073 ----a-w c:\winxp\system32\usrfaxa.dll
2008-11-12 14:34 455,936 ----a-w c:\winxp\system32\drivers\mrxsmb.sys
2008-11-12 14:34 1,379,840 ----a-w c:\winxp\system32\msxml6.dll
2008-11-12 14:34 1,148,416 ----a-w c:\winxp\system32\msxml3.dll
2008-10-17 19:43 1,847,040 ----a-w c:\winxp\system32\win32k.sys
2008-10-17 19:42 2,404,864 ----a-w c:\winxp\system32\ntoskrnl.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 25088]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-01-03 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-14 136600]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-01-03 13508608]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 79224]
"SkyTel"="SkyTel.EXE" [2007-06-15 c:\winxp\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 25088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= wdmaud.sys

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 07:52 1826816 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-01-03 15:26 13508608 c:\winxp\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MacrokeyManager]
--a------ 2007-09-03 11:46 1969824 c:\winxp\system32\WTMKM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-01-03 15:26 1626112 c:\winxp\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2007-06-15 09:45 1826816 c:\winxp\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\NetBattle\\PokeBattle.exe"=
"c:\\WINXP\\system32\\dpnsvr.exe"=

R1 aswSP;avast! Self Protection;c:\winxp\system32\drivers\aswSP.sys [2009-01-01 75856]
R2 aswFsBlk;aswFsBlk;c:\winxp\system32\DRIVERS\aswFsBlk.sys [2009-01-01 20560]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\winxp\system32\DRIVERS\EAPPkt.sys [2008-12-31 38144]
R2 WTService;WTService;c:\winxp\system32\atwtusb.exe -s []
S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\winxp\system32\DRIVERS\RTL8187B.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2009-01-01 c:\winxp\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 16:46]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-RGSC - f:\spiele\GTA 4\Social\Rockstar Games Social Club\RGSCLauncher.exe


.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\system32\blank.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

c:\winxp\bdoscandellang.ini - c:\winxp\bdoscandel.exe
c:\winxp\Downloaded Program Files\live.ini
c:\winxp\Downloaded Program Files\scanoptions.tsi
c:\winxp\Downloaded Program Files\lang.ini
c:\winxp\Downloaded Program Files\ipsupd.dll
c:\winxp\Downloaded Program Files\bdupd.dll
c:\winxp\Downloaded Program Files\libfn.dll
c:\winxp\Downloaded Program Files\bdcore.dll
c:\winxp\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
c:\winxp\Downloaded Program Files\oscan8.inf

c:\winxp\Downloaded Program Files\OberonGameHost.dll - O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8}
hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
c:\winxp\Downloaded Program Files\OberonGameHost_dbg.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-02 14:01:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msqpdxserv.sys]
"imagepath"="\systemroot\system32\drivers\msqpdxbpxovdho.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(744)
c:\winxp\system32\sfc_os.dll
c:\winxp\system32\cscui.dll
.
Zeit der Fertigstellung: 2009-01-02 14:01:43
ComboFix-quarantined-files.txt 2009-01-02 13:01:41

Vor Suchlauf: 10 Verzeichnis(se), 24,939,593,728 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 24,928,993,280 Bytes frei

281

Werde trotzdem immer noch zu anderen Seiten weitergeleitet
(bsp.: meinsuchbegriff-best-deal.com)

Andrez

#4 Schau, ob du diese Datei findest

C:\WINDOWS\system32\wdmaud.sys

wenn ja, teste sie bei Virustotal

Mbam hat nichts gefunden?
__________
MfG Ralf
SEO-Spam Hunter

#5 Nein, Mbam hat nichts gefunden.

Aber bei VirusTotal sagten einige Antivirus-Programme, dass es sich bei der Datei um ein Rootkit handelt?!

Meine Ergebnisse:

Ergebnis

Weitere Informationen

Andrez //Edit: Ich habe die Datei gelöscht. Bis jetzt funktioniert alles ohne Probleme. Vielen Dank für deine Hilfe! Werde mich melden, falls wieder ein Problem auftaucht.

#6 Da du ja kein Av Programm installiert hast, nimm die kostenlose Version von Antivir, die erkennt die Variante ja auch....
http://board.protecus.de/t23979.htm