Google Umleitungen/Redirects bei Suchergebnissen

#1 Hallo,
Ich habe, wie einige andere auch, das Problem der Umleitungen bei Google zu ominösen Seiten.
Windows XP Prof mit SP2
Antiviren- und Malwareprogramme:
F-Secure
Spybot
SUPERAnti-Spyware
Malwarebytes' AntiMalware

Die Programme konnten das Problem leider nicht beseiten, haben aber teilweise etwas gefunden. Letzte Woche habe ich sie mal durchlaufen und aufräumen lassen. Combofix lässt sich nicht mehr starten (es lief letzte Woche noch), ein Herstellung des Systems von einem Wiederherstellungspunkt hat keine Abhilfe geschaffen. Ebenfalls nicht das Umbennen der Combofix.exe. Die Datei "nircmd.com" kann nicht gefunden werden und das sich öffnende Fenster bleibt blau und lässt sich nicht mehr schließen.

Hier die Logs von heute:

AntiMalware

- hat nichts mehr gefunden -

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:58, on 2009-02-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.serienjunkies.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 131.188.44.100:3127
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB946169-16F8-4678-8017-1EF514BB6665}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 11913 bytes

Uninstall List


Adobe After Effects CS3 Presets
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe BridgeTalk Plugin CS3
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color - Photoshop Specific
Adobe Color Common Settings
Adobe Color EU Recommended Settings
Adobe Color JA Extra Settings
Adobe Color NA Extra Settings
Adobe Creative Suite 3 Master Collection
Adobe Creative Suite 3 Master Collection hinzufügen oder entfernen
Adobe Default Language CS3
Adobe Device Central CS3
Adobe ExtendScript Toolkit 2
Adobe Extension Manager CS3
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Fonts All
Adobe Help Viewer CS3
Adobe Illustrator CS3
Adobe InDesign CS3 Icon Handler
Adobe Linguistics CS3
Adobe MotionPicture Color Files
Adobe PDF Library Files
Adobe Photoshop CS3
Adobe Photoshop Lightroom
Adobe Reader 8.1.0 - Deutsch
Adobe Setup
Adobe Shockwave Player
Adobe SING CS3
Adobe Stock Photos CS3
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe Video Profiles
Adobe WAS CS3
Adobe WinSoft Linguistics Plugin
Adobe XMP DVA Panels CS3
Adobe XMP Panels CS3
AFPL Ghostscript 8.54
AFPL Ghostscript Fonts
AHV content for Acrobat and Flash
AnyDVD
Apple Software Update
ATI Display Driver
Call of Duty(R) - World at War(TM)
Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DSLR 5 for ZoomBrowser EX
Canon Camera Window MC 5 for ZoomBrowser EX
Canon EOS Kiss_N REBEL_XT 350D WIA Driver
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon PhotoRecord
Canon RAW Image Task for ZoomBrowser EX
Canon Utilities Digital Photo Professional 2.0
Canon Utilities EOS Capture 1.5
Canon Utilities PhotoStitch 3.1
Canon ZoomBrowser EX (E)
CCleaner (remove only)
CDDRV_Installer
C-Media USB Sound Driver
Compatibility Pack für 2007 Office System
CopyTo Synchronizer v3
CorelDRAW Graphics Suite X3
COWON D2 User's Guide
Day of Defeat: Source Beta
dBpoweramp DSP Effects
dBpoweramp FLAC Codec
dBpoweramp m4a Codec
dBpoweramp Music Converter
dBpoweramp Ogg Vorbis Codec
dBpoweramp Windows Media Audio 10 Codec
DE
DivX Content Uploader
DivX Web Player
East-Tec Eraser 2008 Version 8.8
ElsterFormular 2007/2008
ESET Online Scanner
FDRTools 2.0beta7
FLV Player 1.3.3
FontNav
Foxit PDF Editor
Foxit PDF IFilter
Foxit Reader
F-Secure Internet Security 2009
Gamers.IRC 5.10
G-Force
Google Earth
GSview 4.8
Guitar Pro 5.0
Half-Life 2: Deathmatch
Half-Life Dedicated Server Update Tool
HijackThis 2.0.2
HLSW v1.1.6
Icemat Siberia USB Soundcard
ICQ 5.1
InfoRapid Suchen & Ersetzen
INsanes Small HUD 7 Standard
Internet Explorer 7
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
jetAudio Basic VX
jv16 PowerTools 2007
Kalenderchen 4
KhalInstallWrapper
Logitech G15 Keyboard Software 1.04
Logitech SetPoint
Machinist2DLL
Malwarebytes' Anti-Malware
manfrin it Jägerprüfung-NI 2.0
Marvell Miniport Driver
MediaMonkey 3.0
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft Encarta 2008 – Lernen und Wissen
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Mathe
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
MiKTeX 2.5
Mozilla Firefox (3.0.6)
Mozilla Thunderbird (2.0.0.19)
MSXML 6.0 Parser (KB927977)
Nero 7 Premium
NETGEAR WG311T Wireless Adapter
NewsBin Pro
O&O Defrag Professional Edition
OpenOffice.org 2.3
Panda ActiveScan 2.0
PDF Settings
PL-2303 USB-to-Serial
PowerStrip 3 (remove only)
QIP 2005 8080
QIP 2005 Uninstall
QIP 8040 Jeak Edition
QuickTime
RealPlayer
Rhapsody Player Engine
Saal Digital
Sam And Max Season One Collection Pack
Sereby's Updatepack Version 1.7.3
Skype™ 3.8
SmartCode VNC Manager (Enterprise Edition) 3.6
SoundMAX
Source SDK Base
Source SDK Base - Orange Box
Spamihilator
Spybot - Search & Destroy
Spybot - Search & Destroy 1.5.2.20
Steam
SUPERAntiSpyware Free Edition
Synchronizer - Deinstallation
TeXnicCenter Version 1 Beta 7.01 (Greengrass)
TIPP10 Version 2.0.3
TippKönigin Demo 5.5
TrueCrypt
TuneUp Utilities 2009
Update Manager
USB Scanner
VBA
Ventrilo Client
VentriloMIX
VideoLAN VLC media player 0.8.6i
Virtual Machine Network Services Driver
Visual C++ CRT 9.0 SP1
Vokabel Master PC-Software 1.64
Werkzeuge und Vorlagen für Microsoft Office
Windows Communication Foundation
Windows Installer 3.1 (KB893803)
Windows Media Player Firefox Plugin
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows Workflow Foundation DE Language Pack
WinRAR archiver
XML Paper Specification Shared Components Language Pack 1.0
XP Codec Pack
xp-AntiSpy 3.96-2


Ich hoffe, jemand kann mir helfen.

Gruß,
Johannes

#2 http://board.protecus.de/t23187.htm
noch combofix ausfüren poste die alten malwarebytes logs
ok combofix läuft net, zeig mal das log von letzter woche zu finden als combofix.txt

#3 Danke schon mal für dein Antwort.
Combofix läuft nicht (mehr).


Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1705
Windows 5.1.2600 Service Pack 2

29.01.2009 17:35:15
mbam-log-2009-01-29 (17-35-15).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 273214
Laufzeit: 55 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> Quarantined and deleted successfully.
C:\Programme\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Sys2657a.DLL (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekagtxlakvh.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\senekamjalipok.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\senekayswcohan.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\senekaotiewuoe.sys (Trojan.Agent) -> Quarantined and deleted successfully.

#4 bitte update malwarebytes und lass es scannen.
wenn was gefunden wird posten

#5 Malwarebytes hat nichts mehr gefunden.

#6 hast du bei malwarebytes auch die neuesten updates?
gehe start ausfüren schreibe
combofix /u
dann wird combofix gelöscht, lad dir die neueste version nenne sie um
versuche die zu starten.
wenn das net geht gehe in den abgesicherten modus und versuche combofix von dort.

#7 Malwarebytes habe ich zuvor auf den neuesten Stand gebracht!

Im abgesicherten Modus habe ich combofix zum Laufen bekommen. Hier der Log:

ComboFix 09-02-08.02 - Joe 2009-02-09 16:00:18.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1748 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Joe\Desktop\CFix.exe
AV: F-Secure Internet Security 2009 9.00 *On-access scanning enabled* (Updated)
FW: F-Secure Internet Security 2009 9.00 *enabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-09 bis 2009-02-09 ))))))))))))))))))))))))))))))
.

2009-02-09 15:46 . 2009-02-09 15:48 <DIR> d-------- C:\combofix
2009-02-09 01:07 . 2009-02-09 11:40 <DIR> d-------- c:\programme\TELL ME MORE NV
2009-02-09 01:07 . 1998-09-02 09:02 194,320 --a------ c:\windows\system32\qcut.dll
2009-02-09 01:07 . 1998-08-27 05:51 182,032 --a------ c:\windows\system32\dxtmsft3.dll
2009-02-09 01:07 . 1998-08-20 12:02 140,800 --a------ c:\windows\system32\tm20dec.ax
2009-02-09 01:07 . 1998-09-02 09:28 63,488 --a------ c:\windows\system32\unam4ie.exe
2009-02-09 01:07 . 1998-09-02 09:28 38,160 --a------ c:\windows\system32\LMRTREND.dll
2009-02-09 01:07 . 1998-08-17 10:21 11,776 --a------ c:\windows\system32\mciqtz.drv
2009-02-09 01:07 . 1998-08-17 10:21 10,240 --a------ c:\windows\system32\vidx16.dll
2009-02-09 01:07 . 1998-08-17 10:21 5,672 --a------ c:\windows\system32\quartz.vxd
2009-02-04 20:34 . 2009-02-04 20:34 <DIR> d-------- c:\programme\CCleaner
2009-02-04 18:29 . 2009-02-04 18:28 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-02-04 18:28 . 2009-02-04 18:29 <DIR> d-------- c:\dokumente und einstellungen\Joe\.housecall6.6
2009-02-03 16:00 . 2009-02-03 17:20 <DIR> d-------- c:\programme\EsetOnlineScanner
2009-02-03 15:38 . 2009-02-03 15:38 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-03 15:38 . 2009-02-03 15:38 <DIR> d-------- c:\dokumente und einstellungen\Joe\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-03 15:38 . 2009-02-03 15:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-03 11:35 . 2009-02-04 20:47 <DIR> d-------- c:\dokumente und einstellungen\Joe\Anwendungsdaten\F-Secure
2009-02-03 10:43 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-02-03 10:42 . 2009-02-03 10:42 <DIR> d-------- c:\programme\Panda Security
2009-02-03 10:35 . 2009-02-03 10:35 33,408 --a------ c:\windows\system32\drivers\fsbts.sys
2009-02-03 10:19 . 2008-10-14 14:01 79,904 --a------ c:\windows\system32\drivers\fsdfw.sys
2009-02-03 10:18 . 2009-02-09 15:56 <DIR> d-------- c:\programme\F-Secure Internet Security
2009-02-03 10:18 . 2009-02-03 10:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\fssg
2009-02-03 10:17 . 2009-02-03 10:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\f-secure
2009-02-01 15:45 . 2009-02-01 15:45 <DIR> d-------- c:\windows\system32\xircom
2009-02-01 15:45 . 2009-02-01 15:45 <DIR> d-------- c:\programme\microsoft frontpage
2009-01-29 18:29 . 2009-01-29 18:29 164 --a-s---- C:\158508124794.kwm
2009-01-29 18:28 . 2009-01-29 21:07 <DIR> d-------- c:\dokumente und einstellungen\Joe\Anwendungsdaten\WebMoney
2009-01-29 16:38 . 2009-01-29 16:38 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-29 16:38 . 2009-01-29 16:38 <DIR> d-------- c:\dokumente und einstellungen\Joe\Anwendungsdaten\Malwarebytes
2009-01-29 16:38 . 2009-01-29 16:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-29 16:38 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 16:38 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-26 08:35 . 2009-01-26 08:35 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-01-26 08:35 . 2009-01-26 08:35 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-01-26 08:35 . 2009-01-26 08:35 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-01-26 08:35 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2009-01-26 08:34 . 2009-01-26 08:34 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-01-26 00:02 . 2009-01-26 09:38 249,856 --------- c:\windows\Setup1.exe
2009-01-26 00:02 . 2009-01-26 09:38 73,216 --a------ c:\windows\ST6UNST.EXE
2009-01-25 23:49 . 2009-01-25 23:49 <DIR> d-------- c:\dokumente und einstellungen\Joe\Anwendungsdaten\Mael
2009-01-25 23:23 . 2009-01-25 23:23 <DIR> d-------- c:\programme\JägerprüfungNI
2009-01-22 14:52 . 2009-01-22 15:05 <DIR> d-------- c:\dokumente und einstellungen\Joe\Anwendungsdaten\Creative
2009-01-22 14:50 . 2009-01-22 22:32 <DIR> d-------- c:\programme\Creative Installation Information
2009-01-21 22:33 . 2009-02-09 15:47 <DIR> d-------- c:\programme\Spamihilator
2009-01-18 15:24 . 2009-01-28 20:34 <DIR> d-------- c:\programme\NewsBin
2009-01-18 15:24 . 2009-02-03 10:20 <DIR> d-------- c:\dokumente und einstellungen\Joe\Anwendungsdaten\Newsbin
2009-01-17 19:41 . 2009-01-17 19:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NewsBin

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-09 14:47 --------- d-----w c:\programme\Mozilla Thunderbird
2009-02-09 12:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-09 10:40 --------- d-----w c:\programme\The Rosetta Stone
2009-02-08 13:09 2,828 --sha-w c:\windows\system32\KGyGaAvL.sys
2009-02-03 14:38 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-03 14:14 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-03 11:02 --------- d-----w c:\programme\Gamers.IRC
2009-01-26 07:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-01-22 13:50 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-17 21:05 --------- d-----w c:\programme\JetAudio
2009-01-03 20:05 --------- d-----w c:\dokumente und einstellungen\Joe\Anwendungsdaten\skypePM
2009-01-03 20:05 --------- d-----w c:\dokumente und einstellungen\Joe\Anwendungsdaten\Skype
2009-01-03 19:42 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-01-03 11:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ElsterFormular
2009-01-03 11:32 --------- d-----w c:\programme\ElsterFormular
2009-01-02 20:51 --------- d-----w c:\programme\Steam
2008-12-29 12:38 --------- d-----w c:\programme\QuickTime
2008-12-29 12:38 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-29 12:38 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-29 12:35 --------- d-----w c:\programme\Apple Software Update
2008-12-29 12:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-28 00:06 --------- d-----w c:\programme\Call of Duty - World at War
2008-12-23 09:24 665,088 ----a-w c:\windows\system32\spsplib1.dll
2008-12-17 09:22 --------- d-----w c:\programme\Tipp10
2008-12-16 19:39 --------- d-----w c:\programme\MediaMonkey
2008-12-14 20:11 --------- d-----w c:\programme\QIP
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-03-04 12:31 22,328 ----a-w c:\dokumente und einstellungen\Joe\Anwendungsdaten\PnkBstrK.sys
2008-02-03 15:37 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-07-05 04:33 472,000 ----a-w c:\windows\inf\WG311T\WG311T13.sys
2006-04-25 16:30 35,232 ----a-w c:\windows\inf\WG311T\ME_INST.EXE
2006-04-25 16:30 26,112 ----a-w c:\windows\inf\WG311T\install.exe
2007-08-09 14:42 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007080920070810\index.dat
.

------- Sigcheck -------

2007-03-17 20:06 508928 10d53e677a6962b964839073e492c84b c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2008-02-18 1065152]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LCDMon"="c:\programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" [2007-04-26 774168]
"Launch LGDCore"="c:\programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2007-04-26 1132056]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-10-05 868352]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-27 185896]
"Adobe Photo Downloader"="c:\programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe" [2007-08-30 61440]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"Spamihilator"="c:\programme\Spamihilator\spamihilator.exe" [2008-12-23 1321984]
"F-Secure Manager"="c:\programme\F-Secure Internet Security\Common\FSM32.EXE" [2008-10-14 182936]
"F-Secure TNB"="c:\programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" [2008-10-14 957024]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2007-03-17 172544]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2007-06-25 c:\windows\system32\advpack.dll]
"IE7"="advpack.dll" [2007-06-25 c:\windows\system32\advpack.dll]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2007-08-14 805392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\Steam\\steam.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Spamihilator\\cdcc.exe"=
"c:\\Programme\\Spamihilator\\dccproc.exe"=
"c:\\Programme\\Spamihilator\\spamihilator.exe"=
"c:\\Programme\\NewsBin\\nbpro.exe"=

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2009-02-03 79904]
S0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2009-02-03 33408]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-03 28544]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\programme\F-Secure Internet Security\HIPS\drivers\fshs.sys [2009-02-03 66720]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
S2 PStrip;PStrip;c:\windows\system32\drivers\PStrip.sys [2004-11-09 21968]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-26 603904]
S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\CM108.sys --> c:\windows\system32\drivers\CM108.sys [?]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programme\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys [2009-02-03 72288]
S3 FSORSPClient;F-Secure ORSP Client;c:\programme\F-Secure Internet Security\ORSP Client\fsorsp.exe [2009-02-03 55904]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [2007-02-15 26624]
S4 F-Secure Filter;F-Secure File System Filter;c:\programme\F-Secure Internet Security\Anti-Virus\win2k\fsfilter.sys [2009-02-03 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\programme\F-Secure Internet Security\Anti-Virus\win2k\fsrec.sys [2009-02-03 25184]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{924990ba-48cd-11dc-9fd4-001a92811187}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-02-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.serienjunkies.org/
uInternet Settings,ProxyServer = 131.188.44.100:3127
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL
TCP: {EB946169-16F8-4678-8017-1EF514BB6665} = 192.168.2.1
DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} - hxxps://w3s.webmoney.ru/WMAcceptor.dll
FF - ProfilePath - c:\dokumente und einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-09 16:02:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1220945662-1532298954-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9b,aa,e1,b3,26,80,8a,f4,4f,68,26,fa,ee,82,d2,99,14,eb,d7,59,c3,01,75,
f9,61,30,72,b2,16,2e,4e,99,67,14,4a,e3,7d,fc,58,76,5f,80,e2,fa,46,cb,49,a2,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="9294A786264525D4F8E1313F06756300D3052441FEC31538E254588C0D54
8A5836B7B4FCE336A01FFECFCF717D2DEBFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127B
ECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933BA7FD869164D67948EDD5E5BE2F6E667A9C6A
ECB7A5D1407623F7A5666AEF26BA1A007913B23294B4FC3ED72CE5B67A8118B9028176D81417CD8EEDA2F4D42C6D
452C548FDE12D0917BC7EF4A8241B285A6BF2E95755A2E1F4347C83C83E4DDF8080D0CD3A8224A42261B975178508
7E253E8E45025956116F8D0AB4A6C462E6B4A1E687DE52441F8800D179A675679CBA4CAA00E2BAFAD07F461617F18
CA6917150581F9205147E5C0C0D4C1BCF4778D403A4A6F79CC5A92E64B11684229117AE4A8D012D31F1CB1E1D49FB
E755888F26F06B877208BA28798E01E1ED77EE35D4727FDD3B508E95466C74D9B727615DD04B84B63B6AB7595192BF
EEF1E0DEABC14C3DACFCC06EEDBF59117B664EDBE56DE7870B6B12E8541C6239F4091953C04803E824E64569E8E86
837BC873655B008C3219E51B5D1AE31914F705D3C17BB2FE3B8C321842D21153E923BE0AD01C720FE91D170EAC883
5ED9F6A1504C4369AEE1F54B0A88BAB38CA7E15869E7E2392BDD2C477E31F9F3E517B98DF3AEC81BF51301BF30BFE
6C28812F73BD0FCD49710C65A65E567E2A3F9CBB57A8FACEBA427304A6BD9FD5A7338913D4E776885F9AAC71859C6
D1D6B8461C9A759EF4C25FD718D8DAFCF69070405C2C3EF38876FBCB8EF5907197FC6066502FCE52963BA6124BC6DE
4846DCE6B5CD547D8FA0FD3A37F018BE6D48CF49EC56CB9A0D0913DC5471C18D9C6BE187A464D8C2C65AC3592464B5
DAF4529CA7DC3D5EB065A3DF6690D30EBE0C4719898BC27009CBBEC87E40081D21F70A09B3303C66AD29A6872BABDE0
09061A14FA55EB0E70D05BFDB552A99AC0F172889A7D32B7CF1D530C718812782631923A49983181DD18AADA48B767D
D9E7AA4AE9432908C6A09F48AF1DDEE0145DE1DB8FA6D688049C2B411C552DBBAC35BAEE494B84F10423EE57A2B0856
6466722BD579326B42478E7968F68490040BF097A9887B02E84245E2A5849ABB5C02E711F19A8B47397B3F5ACA2FEBD1
A461705B721426726AF153D73DC65FCEF3CA21DB9463539C08F5F3E664958EA7E838E57CF7B4CDC67FB290FC78F0495D
B877BA4AC220A60B94DD1600BCDB62B44CE3D59551878B5A1F9590CA0A52B88E3062FBC7AC7FBC7A229272C474E61C9
2894FE1ABCB81F88AAC7619F5B25E3DA14AC7E4E88A16682610EBA272ABC22078956725CDDF31C64F91B41E9BAEA398
79F8567F5A271259802FBB00CA5DD48176DA77A16F3364E4BAE3F3EBBE1A63DFCDBB03084F5CC1B04B1066E4692CC262179AFBEF1A1BC992F"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(424)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2009-02-09 16:03:55
ComboFix-quarantined-files.txt 2009-02-09 15:03:54
ComboFix2.txt 2009-02-01 14:49:25

Vor Suchlauf: 16 Verzeichnis(se), 207,049,699,328 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 207,045,562,368 Bytes frei

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
268

#8 ein frisches hijackthis-log + teile mit ob dein problem besteht

#9 Problem besteht weiterhin.

Hier das Hijackthis-Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:25, on 2009-02-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.serienjunkies.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 131.188.44.100:3127
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB946169-16F8-4678-8017-1EF514BB6665}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 11930 bytes

#10 nutzt du n proxy?
131.188.44.100

#11 Den habe ich beim Internet Explorer noch eingestellt, aber nicht aktiviert. Normalerweise surfe ich mit Firefox.

#12 Suche die Dateien
system.ini
wininit.ini
und poste deren inhalt hier.

#13 system.ini

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON


wininit.ini

[Rename]
NUL=

#14 start ausfüren kopiere rein
combofix /u
www.kaspersky.com/de/virusscanner - 22k -
ausfüren untersuchungsobjekt arbeitsplatz, log posten

#15 Kaspersky log:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
2009-02-09 20:20:20
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 9/02/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1774542
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
F:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 216703
Viren gefunden 1
Infizierte Objekte gefunden 1
Verdächtige Objekte gefunden 0
Untersuchungszeit 02:05:42

Name des infizierten Objekts Virusname Letzte Aktion
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f-secure\logs\FSMA\fsma.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-2-9-2009( 16-6-11 ).SDB Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\abook.mab Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\Mail\Local Folders\Inbox.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\Mail\Local Folders\Sent.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\Mail\Local Folders\Trash.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\panacea.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Anwendungsdaten\Thunderbird\Profiles\kcad43pf.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Eigene Dateien\Downloads\CryptLoad_1.1.6\router\FRITZ!Box\nc.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.NetCat.a übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Identities\{729E649E-75C7-49B4-BFC1-4C5428045CF0}\Microsoft\Outlook Express\Folders.dbx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Identities\{729E649E-75C7-49B4-BFC1-4C5428045CF0}\Microsoft\Outlook Express\Offline.dbx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gybklffr.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\temp\etilqs_F8scwGLuCVSAaqa9bFzU Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009020920090210\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Joe\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\Anti-Virus\dbupdate.log Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\Anti-Virus\deleteme_msg.log Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe.Qrt.log Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\Anti-Virus\power.dat Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\Common\policy.bpf Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\Common\policy.ipf Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.dbg Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.log Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\FSAUA\program\fsbwupst.log Das Objekt ist gesperrt übersprungen
C:\Programme\F-Secure Internet Security\Spam Control\log\fs_sa_log.txt Das Objekt ist gesperrt übersprungen
C:\Programme\Spamihilator\plugins\linkfilter\linkfilter.db Das Objekt ist gesperrt übersprungen
C:\Programme\Spamihilator\SPA3726.tmp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Spamihilator\SPA3727.tmp.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{B61BD45B-A145-45D2-8A7F-0EDFE999607A}\RP1\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\S86EDA54D.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SmartCod.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\TuneUp.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\atapi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_b70.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.