Computer lahm und IE stürzt ständig ab

#1 Hallo,

seit ein Paar Tagen ist mein PC auffällig langsam und der Internet Explorer stürzt ständig ab. Spybot - Search and Destroy und CC Cleaner benutze ich regelmäßig. Ich wäre sehr dankbar, wenn sich jmd. mal mein Hijack-Logfile angucken könnte:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:43, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\SYSTEM32\GEARSEC.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\CTHELPER.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\FeedReader30\feedreader.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe
C:\WINXP\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h****www.google****/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: CoolIrisIEHelperObject.CoolIrisIEBHO - {AD0BAB4B-212D-45D7-9E5B-CB1579132715} - C:\Programme\CoolIris\CoolIrisIEHelperObject.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Cooliris Plug-In for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [feedreader.exe] "C:\Programme\FeedReader30\feedreader.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\****FAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\****FAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Nikon Monitor.lnk = C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Launch Cooliris - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Programme\PicLensIE\cooliris.dll
O9 - Extra button: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - C:\Programme\CoolIris\CoolIrisPreferences.exe
O9 - Extra 'Tools' menuitem: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - C:\Programme\CoolIris\CoolIrisPreferences.exe
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h****www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h****www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208844904359
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h****download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h****www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211882581703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h****fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} - h****piclens.com/shared/plinstll.cab
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINXP\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

#2 SO auf den ersten Blick sehe ich nichts. Mach mal folendes:

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#3 Vielen Dank für deine Antwort.

Zitat

Tonstudio postete
SO auf den ersten Blick sehe ich nichts. Mach mal folendes:

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

Hier der Log:

Zitat

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1725
Windows 5.1.2600 Service Pack 3

04.02.2009 13:26:31
mbam-log-2009-02-04 (13-26-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 250816
Laufzeit: 2 hour(s), 11 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

#4 Hast Du es schon mit einer Systemwiederherstellung zum Zeitpunkt als es noch gut lief versucht?
Also hängt sich der IE einfach auf??

Hast du den schon einmal zurückgesetzt?

Gruss Swiss

#5

Zitat

Tonstudio postete
Hast Du es schon mit einer Systemwiederherstellung zum Zeitpunkt als es noch gut lief versucht?
Also hängt sich der IE einfach auf??

Hast du den schon einmal zurückgesetzt?

Gruss Swiss

Systemwiederherstellung habe ich gestern deaktiviert und jetzt wieder aktviert, um ältere Systemwiederherstellungen zu löschen. Ich schätze mal, dass war wahrscheinlich falsch.

Der IE hängt sich hier und da mal auf. Nicht jeden Tag aber in letzter Zeit ein Paar Mal die Woche.

IE habe ich noch nicht zurückgesetzt. Ist das empfehlenswert? Wie geht das?

Habe gestern Abend folgende Meldung von Avira erhalten: Siehe Anhang

#6 >>
Download auf den Desktop:
http://virus-protect.org/zip/IEreg.zip

entzippen
Klicke: iereg.bat
PC neustarten und prüfen, ob der IE korrekt funktioniert

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#7

Zitat

Tonstudio postete
>>
Download auf den Desktop:
http://virus-protect.org/zip/IEreg.zip

entzippen
Klicke: iereg.bat
PC neustarten und prüfen, ob der IE korrekt funktioniert

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

Nachdem Ausführen der iereg.bat funktionierte der IE korrekt.

Hier das Combofix Log:

Zitat

ComboFix 09-02-04.04 - Administrator 2009-02-05 14:56:34.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2046.1626 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - WINXP: deleted 96 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\inst.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.

2009-02-05 14:58 . 2009-02-05 14:58 3,375,327 --a------ c:\winxp\{00000000-00000000-00000009-00001102-00000002-80641102}.BAK
2009-02-04 10:44 . 2009-02-04 10:44 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-04 10:44 . 2009-02-04 10:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-04 10:44 . 2009-02-04 10:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-04 10:44 . 2009-01-14 16:11 38,496 --a------ c:\winxp\system32\drivers\mbamswissarmy.sys
2009-02-04 10:44 . 2009-01-14 16:11 15,504 --a------ c:\winxp\system32\drivers\mbam.sys
2009-01-29 08:02 . 2009-01-29 08:02 4,804 --a------ c:\winxp\system32\GoogleUpdater_Download
2009-01-28 18:17 . 2009-01-28 18:17 0 --a------ c:\winxp\ViewNX.INI
2009-01-28 17:26 . 2008-04-14 04:22 159,232 --a------ c:\winxp\system32\ptpusd.dll
2009-01-28 17:26 . 2001-08-18 04:54 5,632 --a------ c:\winxp\system32\ptpusb.dll
2009-01-28 17:22 . 2009-01-28 17:30 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nikon
2009-01-28 16:47 . 2009-01-28 17:30 20 ---h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2009-01-28 16:46 . 2009-01-28 16:47 <DIR> d-------- c:\programme\Nikon
2009-01-28 16:46 . 2009-01-28 16:49 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nikon
2009-01-28 16:46 . 2009-01-28 16:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\muvee Technologies
2009-01-28 16:46 . 2009-01-28 16:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ultima_T15
2009-01-28 16:46 . 2009-01-28 16:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nikon
2009-01-28 16:46 . 2009-01-28 16:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EnterNHelp
2009-01-28 16:46 . 2009-01-28 17:22 20 ---h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
2009-01-27 19:07 . 2009-01-27 19:07 26 --a------ C:\UpdaterforApp.ini
2009-01-27 19:06 . 2009-01-27 19:06 <DIR> d-------- c:\winxp\system32\MediaImpression Slideshow
2009-01-27 19:06 . 2009-01-27 19:07 <DIR> d-------- c:\programme\Gemeinsame Dateien\ArcSoft
2009-01-27 19:06 . 2009-01-27 19:06 <DIR> d-------- c:\programme\ArcSoft
2009-01-27 19:06 . 2005-04-27 16:36 245,408 --a------ c:\winxp\system32\unicows.dll
2009-01-27 19:06 . 2007-03-07 16:05 126,976 --a------ c:\winxp\system32\MediaImpression Slideshow.scr
2009-01-27 19:06 . 2005-02-23 14:58 11,776 --a------ c:\winxp\system32\drivers\afc.sys
2009-01-27 19:02 . 2005-03-07 19:44 45,056 --a------ c:\winxp\system32\PhDi2.sys
2009-01-22 19:15 . 2009-01-22 19:15 <DIR> d-------- c:\programme\Notepad++
2009-01-07 12:54 . 2009-01-07 12:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\Logitech

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 13:58 0 ----a-w c:\winxp\system32\drivers\lvuvc.hs
2009-02-05 13:58 0 ----a-w c:\winxp\system32\drivers\logiflt.iad
2009-02-05 13:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-05 12:05 --------- d-----w c:\programme\WS_FTP Professional
2009-02-05 11:20 --------- d-----w c:\programme\phase5
2009-02-04 13:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-03 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-02-03 15:53 --------- d-----w c:\programme\Red Kings Poker
2009-02-03 15:50 --------- d-----w c:\programme\OpenOffice.org 2.4
2009-02-03 15:43 --------- d-----w c:\programme\HyCam2
2009-02-02 10:36 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\WordToPDF
2009-02-01 18:19 --------- d-----w c:\programme\PokerStars
2009-02-01 10:49 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Vso
2009-01-27 18:06 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-27 18:02 --------- d-----w c:\programme\Panasonic
2009-01-23 16:58 --------- d-----w c:\programme\Google
2009-01-22 18:16 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Notepad++
2009-01-15 16:25 --------- d-----w c:\programme\TuneUp Utilities 2009
2009-01-13 10:07 --------- d-----w c:\programme\Winamp
2009-01-07 13:25 --------- d-----w c:\programme\No23 Recorder
2009-01-04 18:05 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Azureus
2009-01-04 10:52 42,336 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-29 17:55 --------- d-----w c:\programme\PokerStrategy
2008-12-29 12:29 --------- d-----w c:\programme\Wisdom-soft AutoScreenRecorder 3 Free
2008-12-29 09:37 --------- d-----w c:\programme\Audacity
2008-12-29 09:28 --------- d-----w c:\programme\TechSmith
2008-12-29 09:28 --------- d-----w c:\programme\Gemeinsame Dateien\TechSmith Shared
2008-12-28 18:43 --------- d-----w c:\programme\PartyPoker
2008-12-27 08:35 --------- d-----w c:\programme\PokerTracker 3
2008-12-20 08:41 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-20 08:41 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-12-20 08:40 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-17 12:19 --------- d-----w c:\programme\Java
2008-12-11 10:57 333,952 ----a-w c:\winxp\system32\drivers\srv.sys
2008-12-10 08:48 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Buhl Data Service GmbH
2008-12-10 08:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-12-10 08:15 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Buhl Data Service
2008-12-10 08:14 --------- d-----w c:\programme\Buhl
2008-12-05 14:27 --------- d-----w c:\programme\notepad2_30
2008-11-28 07:29 47,360 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
2008-11-14 15:27 2,133,207 ----a-w c:\programme\AccessLog.ali
2008-06-23 10:32 14,336 ----a-w c:\programme\wmdmhelper.dll
2004-10-01 13:00 40,960 ----a-w c:\programme\Uninstall_CDS.exe
2006-05-03 09:06 163,328 --sh--r c:\winxp\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\winxp\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\winxp\system32\nbDX.dll
2008-09-23 04:06 16,384 --sha-w c:\winxp\system32\config\systemprofile\Cookies\index.dat
2008-09-23 04:06 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-09-23 04:06 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-09-23 04:06 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008092320080924\index.dat
.

------- Sigcheck -------

2004-08-03 22:57 15360 7ce20569925df6789c31799f0c538f29 c:\winxp\$NtServicePackUninstall$\ctfmon.exe
2008-11-19 18:57 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\winxp\ServicePackFiles\i386\ctfmon.exe
2008-11-19 18:57 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\winxp\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"feedreader.exe"="c:\programme\FeedReader30\feedreader.exe" [2008-05-26 2042880]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-22 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-05-03 86016]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 2622104]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"nwiz"="nwiz.exe" [2008-05-03 c:\winxp\system32\nwiz.exe]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 c:\winxp\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-11-19 24064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-10-16 c:\winxp\system32\advpack.dll]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Nikon Monitor.lnk - c:\programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe [2008-06-05 479232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2007-11-15 09:10 72208 c:\programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= c:\winxp\system32\l3codecp.acm
"msacm.l3codec"= c:\winxp\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\winxp\pss\Last.fm Helper.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Logitech-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Logitech-Produktregistrierung.lnk
backup=c:\winxp\pss\Logitech-Produktregistrierung.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Woopra.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Woopra.lnk
backup=c:\winxp\pss\Woopra.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\winxp\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\winxp\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\winxp\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LUMIX Simple Viewer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk
backup=c:\winxp\pss\LUMIX Simple Viewer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\winxp\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHOTOfunSTUDIO -viewer-.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO -viewer-.lnk
backup=c:\winxp\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Tutorial_SW.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Tutorial_SW.lnk
backup=c:\winxp\pss\Tutorial_SW.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Watch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk
backup=c:\winxp\pss\Watch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-08-22 15:56 89024 c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
--a------ 2007-10-11 08:45 31232 c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\feedreader.exe]
--a------ 2008-05-26 10:05 2042880 c:\programme\FeedReader30\feedreader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 19:27 312320 c:\programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2007-08-31 20:01 1037736 c:\programme\Microsoft IntelliPoint\ipoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2008-08-14 17:15 2407184 c:\programme\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\winxp\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 09:50 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
--a------ 2004-10-11 13:54 589824 c:\programme\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-12-08 16:35 32768 c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-06-23 11:31 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
--a------ 2007-03-29 11:05 90112 c:\progra~1\MAGIX\VIDEO_~1\Trayserver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vspdfprsrv.exe]
--a------ 2007-08-08 05:43 966656 c:\programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2007-09-21 02:10 55824 c:\winxp\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"UpdReg"=c:\winxp\UpdReg.EXE
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"AdobeVersionCue"=c:\programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"Jet Detection"=c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" /hide
"AcronisTimounterMonitor"=c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Woopra\\Woopra.exe"=
"c:\\WINXP\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=

R2 ACEDRV09;ACEDRV09;c:\winxp\system32\drivers\ACEDRV09.sys [2008-05-25 110304]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\winxp\system32\drivers\ASPI32.SYS [2008-06-14 16512]
S3 Lvctcarv;Lvctcarv; [x]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2008-05-25 544768]
.
Inhalt des "geplante Tasks" Ordners

2009-02-05 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1004336348-839522115-500.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 05:17]

2009-02-05 c:\winxp\Tasks\User_Feed_Synchronization-{A4E6DEFF-75D4-434B-BF54-83B059D0056E}.job
- c:\winxp\system32\msfeedssync.exe [2007-10-09 16:19]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AVG7_CC - c:\progra~1\Grisoft\AVG7\avgcc.exe
MSConfigStartUp-ClipIncSrvTray - c:\programme\Tobit ClipInc\Player\ClipIncTray.exe
MSConfigStartUp-CloneCDTray - c:\programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-DAEMON Tools-1033 - c:\programme\D-Tools\daemon.exe
MSConfigStartUp-dvd43 - c:\programme\dvd43\dvd43_tray.exe
MSConfigStartUp-MSMSGS - c:\programme\Messenger\msmsgs.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre1.6.0_05\bin\jusched.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: {{449DB14A-F988-4fd8-9361-F212D7B6414B} - c:\programme\CoolIris\CoolIrisPreferences.exe
DPF: Microsoft XML Parser for Java - file:///C:/WINXP/Java/classes/xmldso.cab
DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} - hxxp://piclens.com/shared/plinstll.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\obf4wmfw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\obf4wmfw.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.133.33\npGoogleOneClick7.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 14:59:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C925DBC2-2F83-42AD-B0CBB854A5BF695B}\{7C26F213-28FC-ED62-CBDE7EE0F1CEF59B}\{619A38BB-0D53-1157-F7C7CBB2EE20607F}*]
"MNUANRETNQORKOKBIUN6BTGMUH1"=hex:01,00,01,00,00,00,00,00,ad,94,5a,57,99,37,24,
4c,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F71B406A-64B6-7890-A4E79C228CB5B5C7}\{B2D97AB2-1AAA-0E19-47D2DF75F80031A6}\{B1F98325-4C85-36BE-448BCE0A416EDA34}*]
"MNUANRETNQORKOKBIUN6BTGMUH1"=hex:01,00,01,00,00,00,00,00,ad,94,5a,57,99,37,24,
4c,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'lsass.exe'(996)
c:\winxp\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\winxp\system32\GearSec.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\winxp\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\winxp\system32\rundll32.exe
c:\programme\Microsoft IntelliType Pro\dpupdchk.exe
c:\winxp\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-05 15:01:26 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2009-02-05 14:01:18

Vor Suchlauf: 16 Verzeichnis(se), 20.896.059.392 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 20,840,554,496 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

319 --- E O F --- 2009-01-14 06:10:35

#8 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Lade Dir Registry Search by Bobbi Flekman
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)


Lvctcarv

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Gruss Swiss

#9 Hier die regsearch Ergebnisse:

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.02.2009 09:44:15 for strings:
; 'lvctcarv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Lvctcarv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Lvctcarv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Lvctcarv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Lvctcarv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lvctcarv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lvctcarv\Security]

; End Of The Log...

Hier Avira (4 Viren bzw. unerwünschte Programme wurden gefunden):

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 6. Februar 2009 09:50

Es wird nach 1318891 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BESITZER-C4E1B5

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 12:52:34
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 08:55:03
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 10:14:11
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 15:41:04
ANTIVIR3.VDF : 7.1.1.235 252928 Bytes 06.02.2009 07:56:22
Engineversion : 8.2.0.74
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 15:42:00
AESCRIPT.DLL : 8.1.1.42 344441 Bytes 04.02.2009 19:20:23
AESCN.DLL : 8.1.1.6 127348 Bytes 31.01.2009 15:41:54
AERDL.DLL : 8.1.1.3 438645 Bytes 10.11.2008 08:55:13
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 19:20:19
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 12:37:46
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 04.02.2009 19:20:17
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 09:47:13
AEGEN.DLL : 8.1.1.12 328053 Bytes 31.01.2009 15:41:30
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.4 176501 Bytes 02.02.2009 19:19:07
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 10.11.2008 08:55:07
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 6. Februar 2009 09:50

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '112520' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NkMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dpupdchk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GearSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'feedreader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'itype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Daten>
D:\Datenübernahme\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ff0494.qua' verschoben!
D:\Datenübernahme\Dokumente und Einstellungen\Administrator\Desktop\viren tools\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ff04a4.qua' verschoben!
D:\System Volume Information\_restore{8862D7AA-E9EB-4DE5-9BC8-E4AED02AFED5}\RP363\A0093672.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bc08e3.qua' verschoben!
D:\System Volume Information\_restore{8862D7AA-E9EB-4DE5-9BC8-E4AED02AFED5}\RP363\A0093673.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bc08eb.qua' verschoben!


Ende des Suchlaufs: Freitag, 6. Februar 2009 10:54
Benötigte Zeit: 1:04:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

17542 Verzeichnisse wurden überprüft
504089 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
504084 Dateien ohne Befall
3142 Archive wurden durchsucht
1 Warnungen
4 Hinweise
112520 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

#10 >>

Zitat

D:\Datenübernahme\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

Hast du mit Smitfraudfix GEARBEITET?

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
Lvctcarv

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Lvctcarv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Lvctcarv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lvctcarv]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

Gruss Swiss

#11 @Hast du mit Smitfraudfix GEARBEITET?

Ja, anfang letzen Jahres mal. Der Ordner mit der Datei ist von einem Backup von meiner letzen Festplatte.

Hier der Log:

Zitat

ComboFix 09-02-05.02 - Administrator 2009-02-06 19:48:15.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2046.1596 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-06 bis 2009-02-06 ))))))))))))))))))))))))))))))
.

2009-02-06 19:52 . 2009-02-06 19:52 3,375,327 --a------ c:\winxp\{00000000-00000000-00000009-00001102-00000002-80641102}.BAK
2009-02-04 10:44 . 2009-02-04 10:44 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-04 10:44 . 2009-02-04 10:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-04 10:44 . 2009-02-04 10:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-04 10:44 . 2009-01-14 16:11 38,496 --a------ c:\winxp\system32\drivers\mbamswissarmy.sys
2009-02-04 10:44 . 2009-01-14 16:11 15,504 --a------ c:\winxp\system32\drivers\mbam.sys
2009-01-29 08:02 . 2009-01-29 08:02 4,804 --a------ c:\winxp\system32\GoogleUpdater_Download
2009-01-28 18:17 . 2009-01-28 18:17 0 --a------ c:\winxp\ViewNX.INI
2009-01-28 17:26 . 2008-04-14 04:22 159,232 --a------ c:\winxp\system32\ptpusd.dll
2009-01-28 17:26 . 2001-08-18 04:54 5,632 --a------ c:\winxp\system32\ptpusb.dll
2009-01-28 17:22 . 2009-01-28 17:30 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nikon
2009-01-28 16:47 . 2009-01-28 17:30 20 ---h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2009-01-28 16:46 . 2009-01-28 16:47 <DIR> d-------- c:\programme\Nikon
2009-01-28 16:46 . 2009-01-28 16:49 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nikon
2009-01-28 16:46 . 2009-01-28 16:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\muvee Technologies
2009-01-28 16:46 . 2009-01-28 16:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ultima_T15
2009-01-28 16:46 . 2009-01-28 16:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nikon
2009-01-28 16:46 . 2009-01-28 16:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EnterNHelp
2009-01-28 16:46 . 2009-01-28 17:22 20 ---h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
2009-01-27 19:07 . 2009-01-27 19:07 26 --a------ C:\UpdaterforApp.ini
2009-01-27 19:06 . 2009-01-27 19:06 <DIR> d-------- c:\winxp\system32\MediaImpression Slideshow
2009-01-27 19:06 . 2009-01-27 19:07 <DIR> d-------- c:\programme\Gemeinsame Dateien\ArcSoft
2009-01-27 19:06 . 2009-01-27 19:06 <DIR> d-------- c:\programme\ArcSoft
2009-01-27 19:06 . 2005-04-27 16:36 245,408 --a------ c:\winxp\system32\unicows.dll
2009-01-27 19:06 . 2007-03-07 16:05 126,976 --a------ c:\winxp\system32\MediaImpression Slideshow.scr
2009-01-27 19:06 . 2005-02-23 14:58 11,776 --a------ c:\winxp\system32\drivers\afc.sys
2009-01-27 19:02 . 2005-03-07 19:44 45,056 --a------ c:\winxp\system32\PhDi2.sys
2009-01-22 19:15 . 2009-01-22 19:15 <DIR> d-------- c:\programme\Notepad++
2009-01-07 12:54 . 2009-01-07 12:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\Logitech

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 18:51 0 ----a-w c:\winxp\system32\drivers\lvuvc.hs
2009-02-06 18:51 0 ----a-w c:\winxp\system32\drivers\logiflt.iad
2009-02-06 18:45 --------- d-----w c:\programme\WS_FTP Professional
2009-02-06 15:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-05 13:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-05 11:20 --------- d-----w c:\programme\phase5
2009-02-03 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-02-03 15:53 --------- d-----w c:\programme\Red Kings Poker
2009-02-03 15:50 --------- d-----w c:\programme\OpenOffice.org 2.4
2009-02-03 15:43 --------- d-----w c:\programme\HyCam2
2009-02-02 10:36 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\WordToPDF
2009-02-01 18:19 --------- d-----w c:\programme\PokerStars
2009-02-01 10:49 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Vso
2009-01-27 18:06 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-27 18:02 --------- d-----w c:\programme\Panasonic
2009-01-23 16:58 --------- d-----w c:\programme\Google
2009-01-22 18:16 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Notepad++
2009-01-15 16:25 --------- d-----w c:\programme\TuneUp Utilities 2009
2009-01-13 10:07 --------- d-----w c:\programme\Winamp
2009-01-07 13:25 --------- d-----w c:\programme\No23 Recorder
2009-01-04 18:05 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Azureus
2009-01-04 10:52 42,336 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-29 17:55 --------- d-----w c:\programme\PokerStrategy
2008-12-29 12:29 --------- d-----w c:\programme\Wisdom-soft AutoScreenRecorder 3 Free
2008-12-29 09:37 --------- d-----w c:\programme\Audacity
2008-12-29 09:28 --------- d-----w c:\programme\TechSmith
2008-12-29 09:28 --------- d-----w c:\programme\Gemeinsame Dateien\TechSmith Shared
2008-12-28 18:43 --------- d-----w c:\programme\PartyPoker
2008-12-27 08:35 --------- d-----w c:\programme\PokerTracker 3
2008-12-20 08:41 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-20 08:41 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-12-20 08:40 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-17 12:19 --------- d-----w c:\programme\Java
2008-12-11 10:57 333,952 ----a-w c:\winxp\system32\drivers\srv.sys
2008-12-10 08:48 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Buhl Data Service GmbH
2008-12-10 08:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-12-10 08:15 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Buhl Data Service
2008-12-10 08:14 --------- d-----w c:\programme\Buhl
2008-11-28 07:29 47,360 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
2008-11-14 15:27 2,133,207 ----a-w c:\programme\AccessLog.ali
2008-06-23 10:32 14,336 ----a-w c:\programme\wmdmhelper.dll
2004-10-01 13:00 40,960 ----a-w c:\programme\Uninstall_CDS.exe
2006-05-03 09:06 163,328 --sh--r c:\winxp\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\winxp\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\winxp\system32\nbDX.dll
2008-09-23 04:06 16,384 --sha-w c:\winxp\system32\config\systemprofile\Cookies\index.dat
2008-09-23 04:06 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-09-23 04:06 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-09-23 04:06 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008092320080924\index.dat
.

------- Sigcheck -------

2004-08-03 22:57 15360 7ce20569925df6789c31799f0c538f29 c:\winxp\$NtServicePackUninstall$\ctfmon.exe
2008-11-19 18:57 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\winxp\ServicePackFiles\i386\ctfmon.exe
2008-11-19 18:57 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\winxp\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"feedreader.exe"="c:\programme\FeedReader30\feedreader.exe" [2008-05-26 2042880]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-22 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-05-03 86016]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 2622104]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"nwiz"="nwiz.exe" [2008-05-03 c:\winxp\system32\nwiz.exe]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 c:\winxp\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-11-19 24064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-10-16 c:\winxp\system32\advpack.dll]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Nikon Monitor.lnk - c:\programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe [2008-06-05 479232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2007-11-15 09:10 72208 c:\programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= c:\winxp\system32\l3codecp.acm
"msacm.l3codec"= c:\winxp\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\winxp\pss\Last.fm Helper.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Logitech-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Logitech-Produktregistrierung.lnk
backup=c:\winxp\pss\Logitech-Produktregistrierung.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Woopra.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Woopra.lnk
backup=c:\winxp\pss\Woopra.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\winxp\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\winxp\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\winxp\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LUMIX Simple Viewer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk
backup=c:\winxp\pss\LUMIX Simple Viewer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\winxp\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHOTOfunSTUDIO -viewer-.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO -viewer-.lnk
backup=c:\winxp\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Tutorial_SW.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Tutorial_SW.lnk
backup=c:\winxp\pss\Tutorial_SW.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Watch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk
backup=c:\winxp\pss\Watch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-08-22 15:56 89024 c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
--a------ 2007-10-11 08:45 31232 c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\feedreader.exe]
--a------ 2008-05-26 10:05 2042880 c:\programme\FeedReader30\feedreader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 19:27 312320 c:\programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2007-08-31 20:01 1037736 c:\programme\Microsoft IntelliPoint\ipoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2008-08-14 17:15 2407184 c:\programme\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\winxp\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 09:50 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
--a------ 2004-10-11 13:54 589824 c:\programme\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-12-08 16:35 32768 c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-06-23 11:31 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
--a------ 2007-03-29 11:05 90112 c:\progra~1\MAGIX\VIDEO_~1\Trayserver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vspdfprsrv.exe]
--a------ 2007-08-08 05:43 966656 c:\programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2007-09-21 02:10 55824 c:\winxp\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"UpdReg"=c:\winxp\UpdReg.EXE
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"AdobeVersionCue"=c:\programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"Jet Detection"=c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" /hide
"AcronisTimounterMonitor"=c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Woopra\\Woopra.exe"=
"c:\\WINXP\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=

R2 ACEDRV09;ACEDRV09;c:\winxp\system32\drivers\ACEDRV09.sys [2008-05-25 110304]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\winxp\system32\drivers\ASPI32.SYS [2008-06-14 16512]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2008-05-25 544768]
.
Inhalt des "geplante Tasks" Ordners

2009-02-06 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1004336348-839522115-500.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 05:17]

2009-02-06 c:\winxp\Tasks\User_Feed_Synchronization-{A4E6DEFF-75D4-434B-BF54-83B059D0056E}.job
- c:\winxp\system32\msfeedssync.exe [2007-10-09 16:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: {{449DB14A-F988-4fd8-9361-F212D7B6414B} - c:\programme\CoolIris\CoolIrisPreferences.exe
DPF: Microsoft XML Parser for Java - file:///C:/WINXP/Java/classes/xmldso.cab
DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} - hxxp://piclens.com/shared/plinstll.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\obf4wmfw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\obf4wmfw.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 20:25:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C925DBC2-2F83-42AD-B0CBB854A5BF695B}\{7C26F213-28FC-ED62-CBDE7EE0F1CEF59B}\{619A38BB-0D53-1157-F7C7CBB2EE20607F}*]
"MNUANRETNQORKOKBIUN6BTGMUH1"=hex:01,00,01,00,00,00,00,00,ad,94,5a,57,99,37,24,
4c,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F71B406A-64B6-7890-A4E79C228CB5B5C7}\{B2D97AB2-1AAA-0E19-47D2DF75F80031A6}\{B1F98325-4C85-36BE-448BCE0A416EDA34}*]
"MNUANRETNQORKOKBIUN6BTGMUH1"=hex:01,00,01,00,00,00,00,00,ad,94,5a,57,99,37,24,
4c,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'lsass.exe'(988)
c:\winxp\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\winxp\system32\GearSec.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\winxp\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\winxp\system32\rundll32.exe
c:\programme\Microsoft IntelliType Pro\dpupdchk.exe
c:\winxp\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-06 20:27:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-06 19:27:30
ComboFix2.txt 2009-02-05 14:01:28

Vor Suchlauf: 16 Verzeichnis(se), 20.734.349.312 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 20,727,291,904 Bytes frei

297 --- E O F --- 2009-01-14 06:10:35

#12 Hast du noch Probleme?

Hier kannst du noch Onlinescans machen zum schauen ob noch was gefunden wird:
http://virus-protect.org/onlinescan.html

Gruss Swiss

#13 Aktuell läuft alle wieder gut. Dank dir vielmalls!

#14 Gern geschehen. Viel Spass beim surfen.. aber mit Vorsicht

Gruss Swiss