AntiSpywareExpert auf dem Rechner wie Enfernen ?

#0
04.03.2009, 19:05
...neu hier

Beiträge: 8
#1 hallo leute habauch den antispywareexpert auf dem lapi
kann mir jemand helfen das teil nerft wie sau
hab auch schon die logs.

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

04.03.2009 18:22:06
mbam-log-2009-03-04 (18-22-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 75308
Laufzeit: 7 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 12
Infizierte Verzeichnisse: 6
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kddsn.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{03fcc8b9-c433-42b0-aa6b-0708411e0d0e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9d6f3879-6d92-4f3b-a4bb-0fb6a7e9c740}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{03fcc8b9-c433-42b0-aa6b-0708411e0d0e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9d6f3879-6d92-4f3b-a4bb-0fb6a7e9c740}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{03fcc8b9-c433-42b0-aa6b-0708411e0d0e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{9d6f3879-6d92-4f3b-a4bb-0fb6a7e9c740}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Linda Cappello\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Linda Cappello\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\kddsn.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Linda Cappello\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3UvxDjiP.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.

hier noch hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:23, on 04.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/fm/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SecureExpertCleanerDownloader] C:\Dokumente und Einstellungen\Corrado Cappello\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7L1TQ9PW\CleanerInstaller_de[1].exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\981d001c1.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 5899 bytes
Seitenanfang Seitenende
04.03.2009, 19:14
Moderator

Beiträge: 5694
#2 >>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKLM\..\Run: [SecureExpertCleanerDownloader] C:\Dokumente und Einstellungen\Corrado Cappello\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7L1TQ9PW\CleanerInstaller_de[1].exe

O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\981d001c1.dll"" (User 'LOKALER DIENST')
und wähle fix checked.

Starte den Rechner neu.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

DriveCleaner

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.



Gruss Swiss
Seitenanfang Seitenende
04.03.2009, 19:49
...neu hier

Themenstarter

Beiträge: 8
#3 hallo nochmal
hier das logvon bobbi

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 04.03.2009 19:44:54 for strings:
; 'drivecleaner
drivecleaner
drivecleaner'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

combofix geht noch nicht hat geschrieben kann nicht in 1 umbenennen
Seitenanfang Seitenende
04.03.2009, 19:59
Moderator

Beiträge: 5694
#4 Wie nicht in 1 umbenennen?
Seitenanfang Seitenende
04.03.2009, 20:04
...neu hier

Themenstarter

Beiträge: 8
#5 ja hat er so geschrieben aber jetzt läuft er gerade bin jatzt an einem anderen rechner log kommt dann auch gleich ach ja hatte das antivir programm noch an deshalb vieleicht ?
Seitenanfang Seitenende
04.03.2009, 20:08
Moderator

Beiträge: 5694
#6 Ja das kann gut sein.

Gruss Swiss
Seitenanfang Seitenende
04.03.2009, 20:09
...neu hier

Themenstarter

Beiträge: 8
#7 so da ist er

ComboFix 09-03-03.01 - Corrado Cappello 2009-03-04 20:01:03.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.728 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Corrado Cappello\Eigene Dateien\AntiSpyTools\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: Norton Internet Worm Protection *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Software Licensors
c:\dokumente und einstellungen\Corrado Cappello\err.log
c:\dokumente und einstellungen\Corrado Cappello\ResErrors.log
c:\dokumente und einstellungen\Linda Cappello\err.log
c:\dokumente und einstellungen\Linda Cappello\ResErrors.log
c:\windows\system32\init32.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-04 bis 2009-03-04 ))))))))))))))))))))))))))))))
.

2009-03-04 18:32 . 2009-03-04 18:32 <DIR> d-------- c:\programme\Trend Micro
2009-03-04 18:08 . 2009-03-04 18:08 <DIR> d-------- c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Malwarebytes
2009-03-04 18:08 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-04 18:08 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-04 17:52 . 2009-03-04 17:52 3,660 --a------ c:\windows\aebwlan.cfg
2009-03-04 17:49 . 2006-03-15 09:35 17,664 -ra------ c:\windows\system32\drivers\AWISp50.sys
2009-03-01 14:00 . 2009-03-01 14:00 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten
2009-02-21 18:36 . 2009-02-21 18:36 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-21 18:36 . 2009-02-21 18:36 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 00:04 66,560 ----a-w c:\windows\system32\userinit.exe
2009-01-16 20:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2009-01-14 19:35 --------- d-----w c:\dokumente und einstellungen\Linda Cappello\Anwendungsdaten\Ahead
2009-01-04 16:18 --------- d-----w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Ahead
2009-01-04 16:09 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-01-04 16:09 --------- d-----w c:\programme\Ahead
2009-01-04 16:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2008-12-20 22:30 63,488 ------w c:\windows\system32\dllcache\icardie.dll
2008-12-20 22:30 6,066,688 ------w c:\windows\system32\dllcache\ieframe.dll
2008-12-20 22:30 44,544 ------w c:\windows\system32\dllcache\iernonce.dll
2008-12-20 22:30 384,512 ------w c:\windows\system32\dllcache\iedkcs32.dll
2008-12-20 22:30 383,488 ------w c:\windows\system32\dllcache\ieapfltr.dll
2008-12-20 22:30 347,136 ----a-w c:\windows\system32\dllcache\dxtmsft.dll
2008-12-20 22:30 267,776 ------w c:\windows\system32\dllcache\iertutil.dll
2008-12-20 22:30 230,400 ------w c:\windows\system32\dllcache\ieaksie.dll
2008-12-20 22:30 214,528 ------w c:\windows\system32\dllcache\dxtrans.dll
2008-12-20 22:30 153,088 ------w c:\windows\system32\dllcache\ieakeng.dll
2008-12-20 22:30 133,120 ------w c:\windows\system32\dllcache\extmgr.dll
2008-12-20 22:30 124,928 ------w c:\windows\system32\dllcache\advpack.dll
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 09:09 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-03-21 11:50 9 ----a-w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\mdb.bin
2008-10-01 19:12 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100120081002\index.dat
.

------- Sigcheck -------

2009-03-01 01:04 66560 3ff1df949342f9edd1655815e632cf01 c:\windows\system32\userinit.exe
2004-08-10 05:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 04:23 26624 788f95312e26389d596c0fa55834e106 c:\windows\ServicePackFiles\i386\userinit.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-03-30 421888]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Corrado Cappello\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2006-12-21 679936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"74886787"= 39413443343331442d413632432d343244382d423533412d4344303846
"74
"aux1"= c_886756.nls
"wave1"= c_886756.nls
"mixer1"= c_886756.nls
"midi1"= c_886756.nls
"wave2"= c_886756.nls
"mixer2"= c_886756.nls
"midi2"= c_886756.nls
"aux2"= c_886756.nls
"74886806"=

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acer Empowering Technology.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acer Empowering Technology.lnk
backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer ePresentation HPD]
--a------ 2006-03-31 16:39 204800 c:\acer\Empowering Technology\ePresentation\ePresentation.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
-r------- 2007-06-21 14:42 70952 c:\programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
--------- 2005-06-11 20:51 53248 c:\programme\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 04:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CtrlVol]
--a------ 2003-09-16 14:28 20480 c:\programme\Launch Manager\CtrlVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-08-05 13:34 64512 c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2006-06-01 14:40 413696 c:\acer\Empowering Technology\eRecovery\eRAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
--a------ 2006-11-17 15:16 50736 c:\programme\Gemeinsame Dateien\aol\1177873888\EE\aolsoftware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
--------- 2006-02-07 08:36 77824 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--------- 2006-02-07 08:40 118784 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--------- 2006-02-07 08:39 94208 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-10 05:00 208952 c:\windows\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-04-27 11:25 257088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp]
--a------ 2005-07-25 13:36 32768 c:\programme\Launch Manager\LaunchAp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
--a------ 2006-04-19 15:08 69632 c:\programme\Launch Manager\HotkeyApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LMgrOSD]
--a------ 2005-07-25 10:45 241664 c:\programme\Launch Manager\OSDCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-10 05:00 59392 c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
--a------ 2005-05-11 17:15 45056 c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2006-09-17 01:06 26112 c:\programme\Real\RealPlayer\realplay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rundll32.exe]
--a------ 2009-02-28 19:22 64512 c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Macromedia\Common\981d001c1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-04-02 19:58 68856 c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-12-16 16:32 761945 c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton]
--a------ 2006-04-20 09:23 86016 c:\programme\Launch Manager\WButton.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2005-12-12 14:50 88204 c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-07-21 17:56 16261632 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 19:04 2879488 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\Messenger\\MSMSGS.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=

R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2006-12-12 9867]
S1 mailKmd;mailKmd; [x]
S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - UBHELPER
.
Inhalt des "geplante Tasks" Ordners

2009-01-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 15:42]

2009-03-03 c:\windows\Tasks\At1.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At2.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At3.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At4.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At5.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At6.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At7.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At8.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At9.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At10.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At11.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At12.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At13.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At14.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At15.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-03 c:\windows\Tasks\At16.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-02 c:\windows\Tasks\At17.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At18.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At19.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At20.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At21.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-03 c:\windows\Tasks\At22.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-03 c:\windows\Tasks\At23.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-03 c:\windows\Tasks\At24.job
- c:\windows\system32\3UvxDjiP.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
MSConfigStartUp-Cognac - c:\dokume~1\CORRAD~1\LOKALE~1\Temp\920.exe
MSConfigStartUp-eLockMonitor - c:\acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
MSConfigStartUp-MSFox - c:\dokume~1\CORRAD~1\LOKALE~1\Temp\video234.cfg.exe
MSConfigStartUp-WA6PU_Check - c:\programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/fm/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-04 20:04:49
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-04 20:07:42
ComboFix-quarantined-files.txt 2009-03-04 19:07:40

Vor Suchlauf: 27 Verzeichnis(se), 34.412.462.080 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 37,293,293,568 Bytes frei

271 --- E O F --- 2009-02-26 16:40:45
Dieser Beitrag wurde am 04.03.2009 um 21:19 Uhr von bigmaus editiert.
Seitenanfang Seitenende
04.03.2009, 20:50
Moderator

Beiträge: 5694
#8 Das sieht nach Silentbanker aus. Zudem hattest du noch einen DNS Changer.
Ich denke das sinnvollste wäre das Neuaufsetzen, vorallem wenn du heikle Daten hast oder Onlinebanking machst:
http://www.zdnet.de/security/news/0,39029460,39160216,00.htm
http://www.pcwelt.de/start/sicherheit/antivirus/news/143049/online_bankraub_in_aller_stille/

Aber mach zur Sicherheit mal folgendes dann sehen wir weiter:
EINFACH KEIN EBANKING MEHR MOMENTAN

>>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\windows\system32\c_886756.nls
c:\windows\system32\3UvxDjiP.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

Gruss Swiss


PS: Editiere den oberen Beitrag indem du die lange Zeile im Combofix Log so weit kürzt dass alles auf der Seite Platz hat.
Seitenanfang Seitenende
04.03.2009, 21:37
...neu hier

Themenstarter

Beiträge: 8
#9 so alles erledigt die zwei dateien c:\windows\system32\c_886756.nls
c:\windows\system32\3UvxDjiP.exe sind nicht mehr auf dem rechner es ist auch keine meldung mehr gekommen ich denke es ist jetzt ruhe der mist ist nicht mehr da alles gelöscht hoffe ich.EBANKING MACHE ICH NICHT heikle daten sind eigentlich auch nichtauf dem lapi keine ahnung wer da wo war ich hoffe jetzt ist ruhe :-)
ich danke dir vielmals für die schnelle und gute hilfe

gruss m.
Seitenanfang Seitenende
04.03.2009, 21:44
Moderator

Beiträge: 5694
#10 Wieso weisst du dass die Dateien weg sind. Also sauber wird das System sicherlich nicht sein. Zudem noch die schädlichen Jobs welche aus dem Log ersichtlich sind:

>>
LOP-uninstall
Download LOP-uninstall zum Desktop
Fuehre bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“
Klicke bei “Legal notice” ok
Schliesse alle Fenster und klicke ok
Warte…..und klicke bei “Uninstall complete for all users “ok


Download Deljob.exe zum Desktop
Doppelklick: Deljob.exe
Ein logfile wird sich oeffnen (logit.txt)
Kopiere den Inhalt des Berichts “ logit.txt in diesen Thread

Poste ein neues Combofix-Log

Gruss Swiss
Seitenanfang Seitenende
04.03.2009, 22:12
...neu hier

Themenstarter

Beiträge: 8
#11 hab sie nicht gefunden wo sie sein sollen aber mein antivir hat das eine beim hochfahren gefunden habs jetzt mal in quarantäne geschickt und irgendwas stimmt jetzt mit dem laptop nicht das desktop steht ohne symbole und irgend welche anderen sachen einfach nur der hintergrund ist da ?
Seitenanfang Seitenende
04.03.2009, 22:32
Moderator

Beiträge: 5694
#12 Mach was ich geschrieben habe.

Gruss Swiss
Seitenanfang Seitenende
04.03.2009, 22:44
...neu hier

Themenstarter

Beiträge: 8
#13 deljob log

--------------------------------------------------------
No LOP job-files found
--------------------------------------------------------
Files in Windows Tasks folder

AppleSoftwareUpdate.job
At1.job
At2.job
At3.job
At4.job
At5.job
At6.job
At7.job
At8.job
At9.job
At10.job
At11.job
At12.job
At13.job
At14.job
At15.job
At16.job
At17.job
At18.job
At19.job
At20.job
At21.job
At22.job
At23.job
At24.job
--------------------------------------------------------
Export App Data folders
--------------------------------------------------------
Datenträger in Laufwerk C: ist ACER
Volumeseriennummer: 47A9-2B0B

Verzeichnis von C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten

12.12.2006 02:11 <DIR> .
12.12.2006 02:11 <DIR> ..
16.04.2005 06:47 <DIR> IDENTI~1 Identities
17.09.2006 01:07 <DIR> YOU'VE~1 You've Got Pictures Screensaver
17.09.2006 01:07 <DIR> AOL
15.04.2005 16:46 <DIR> MICROS~1 Microsoft
12.12.2006 02:17 <DIR> MACROM~1 Macromedia
12.12.2006 02:52 <DIR> ADOBE Adobe
12.12.2006 02:53 <DIR> ADOBEUM AdobeUM
12.12.2006 02:55 <DIR> CYBERL~1 CyberLink
12.12.2006 23:59 <DIR> HELP Help
30.12.2006 20:37 <DIR> GOOGLE Google
13.05.2007 18:40 <DIR> APPLEC~1 Apple Computer
20.05.2007 17:25 <DIR> CANON Canon
30.09.2007 19:07 <DIR> MSNINS~1 MSNInstaller
16.03.2008 16:40 <DIR> T-ONLINE T-Online
04.01.2009 17:18 <DIR> AHEAD Ahead
04.03.2009 18:08 <DIR> MALWAR~1 Malwarebytes
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 37.295.357.952 Bytes frei
Datenträger in Laufwerk C: ist ACER
Volumeseriennummer: 47A9-2B0B

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

23.10.2006 11:34 <DIR> .
23.10.2006 11:34 <DIR> ..
15.04.2005 16:46 <DIR> MICROS~1 Microsoft
17.09.2006 01:06 <DIR> QUICKT~1 QuickTime
17.09.2006 01:07 <DIR> VIEWPO~1 Viewpoint
12.12.2006 03:37 <DIR> CYBERL~1 CyberLink
30.12.2006 20:36 <DIR> GOOGLE~1 Google Updater
25.03.2007 17:44 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
25.03.2007 18:53 <DIR> ADOBE Adobe
22.04.2007 12:30 <DIR> WINDOW~1 Windows Genuine Advantage
13.05.2007 18:37 <DIR> APPLEC~1 Apple Computer
20.05.2007 17:12 <DIR> CANONBJ CanonBJ
16.03.2008 16:38 <DIR> T-ONLINE T-Online
06.04.2008 16:00 <DIR> T-DSLS~1 T-DSL SpeedManager
06.04.2008 19:38 <DIR> AOL(2)
06.04.2008 20:17 <DIR> AOL
04.01.2009 17:09 <DIR> AHEAD Ahead
04.03.2009 18:07 <DIR> MALWAR~1 Malwarebytes
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 37.295.357.952 Bytes frei
--------------------------------------------------------
All User Accounts
--------------------------------------------------------
All Users
Administrator
Corrado Cappello
Linda Cappello
Gast
--------------------------------------------------------

ComboFix 09-03-03.01 - Corrado Cappello 2009-03-04 22:46:57.3 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.662 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Corrado Cappello\Eigene Dateien\AntiSpyTools\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: Norton Internet Worm Protection *disabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-04 bis 2009-03-04 ))))))))))))))))))))))))))))))
.

2009-03-04 18:32 . 2009-03-04 18:32 <DIR> d-------- c:\programme\Trend Micro
2009-03-04 18:08 . 2009-03-04 18:08 <DIR> d-------- c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Malwarebytes
2009-03-04 18:08 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-04 18:08 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-04 17:52 . 2009-03-04 17:52 3,660 --a------ c:\windows\aebwlan.cfg
2009-03-04 17:49 . 2006-03-15 09:35 17,664 -ra------ c:\windows\system32\drivers\AWISp50.sys
2009-03-01 14:00 . 2009-03-01 14:00 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten
2009-02-21 18:36 . 2009-02-21 18:36 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-21 18:36 . 2009-02-21 18:36 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 00:04 66,560 ----a-w c:\windows\system32\userinit.exe
2009-01-16 20:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2009-01-14 19:35 --------- d-----w c:\dokumente und einstellungen\Linda Cappello\Anwendungsdaten\Ahead
2009-01-04 16:18 --------- d-----w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Ahead
2009-01-04 16:09 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-01-04 16:09 --------- d-----w c:\programme\Ahead
2009-01-04 16:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2008-12-20 22:30 63,488 ------w c:\windows\system32\dllcache\icardie.dll
2008-12-20 22:30 6,066,688 ------w c:\windows\system32\dllcache\ieframe.dll
2008-12-20 22:30 44,544 ------w c:\windows\system32\dllcache\iernonce.dll
2008-12-20 22:30 384,512 ------w c:\windows\system32\dllcache\iedkcs32.dll
2008-12-20 22:30 383,488 ------w c:\windows\system32\dllcache\ieapfltr.dll
2008-12-20 22:30 347,136 ----a-w c:\windows\system32\dllcache\dxtmsft.dll
2008-12-20 22:30 267,776 ------w c:\windows\system32\dllcache\iertutil.dll
2008-12-20 22:30 230,400 ------w c:\windows\system32\dllcache\ieaksie.dll
2008-12-20 22:30 214,528 ------w c:\windows\system32\dllcache\dxtrans.dll
2008-12-20 22:30 153,088 ------w c:\windows\system32\dllcache\ieakeng.dll
2008-12-20 22:30 133,120 ------w c:\windows\system32\dllcache\extmgr.dll
2008-12-20 22:30 124,928 ------w c:\windows\system32\dllcache\advpack.dll
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 09:09 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-03-21 11:50 9 ----a-w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\mdb.bin
2008-10-01 19:12 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100120081002\index.dat
.

------- Sigcheck -------

2009-03-01 01:04 66560 3ff1df949342f9edd1655815e632cf01 c:\windows\system32\userinit.exe
2004-08-10 05:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 04:23 26624 788f95312e26389d596c0fa55834e106 c:\windows\ServicePackFiles\i386\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-03-04_20.05.40,37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-04 21:29:24 16,384 ----a-w c:\windows\Temp\Perflib_Perfdata_84c.dat
+ 2009-03-04 21:02:18 16,384 ----a-w c:\windows\Temp\Perflib_Perfdata_ec.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-03-30 421888]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 204800]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Corrado Cappello\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2006-12-21 679936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"74886787"= 39413443343331442d413632432d343244382d423533412d434430384631383536334331
"74886776"= 28994cddc53df689c907f8302ed2d521510bdf9a9d90131e000
"aux1"= c_886756.nls
"wave1"= c_886756.nls
"mixer1"= c_886756.nls
"midi1"= c_886756.nls
"wave2"= c_886756.nls
"mixer2"= c_886756.nls
"midi2"= c_886756.nls
"aux2"= c_886756.nls
"74886806"=
"74886786"= 74235916edd4dcc45f89d40d86f8175fa007ea8810bc746b401d1018a72ce5f514188ff

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acer Empowering Technology.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acer Empowering Technology.lnk
backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
-r------- 2007-06-21 14:42 70952 c:\programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
--------- 2005-06-11 20:51 53248 c:\programme\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Boot]
--a------ 2006-03-15 22:12 579584 c:\acer\Empowering Technology\ePower\Boot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 04:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CtrlVol]
--a------ 2003-09-16 14:28 20480 c:\programme\Launch Manager\CtrlVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-08-05 13:34 64512 c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2006-06-01 14:40 413696 c:\acer\Empowering Technology\eRecovery\eRAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
--a------ 2006-11-17 15:16 50736 c:\programme\Gemeinsame Dateien\aol\1177873888\EE\aolsoftware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
--------- 2006-02-07 08:36 77824 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--------- 2006-02-07 08:40 118784 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--------- 2006-02-07 08:39 94208 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-10 05:00 208952 c:\windows\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-04-27 11:25 257088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp]
--a------ 2005-07-25 13:36 32768 c:\programme\Launch Manager\LaunchAp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
--a------ 2006-04-19 15:08 69632 c:\programme\Launch Manager\HotkeyApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LMgrOSD]
--a------ 2005-07-25 10:45 241664 c:\programme\Launch Manager\OSDCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-10 05:00 59392 c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
--a------ 2005-05-11 17:15 45056 c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2006-09-17 01:06 26112 c:\programme\Real\RealPlayer\realplay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rundll32.exe]
--a------ 2009-02-28 19:22 64512 c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Macromedia\Common\981d001c1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-04-02 19:58 68856 c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-12-16 16:32 761945 c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton]
--a------ 2006-04-20 09:23 86016 c:\programme\Launch Manager\WButton.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2005-12-12 14:50 88204 c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-07-21 17:56 16261632 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 19:04 2879488 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\Messenger\\MSMSGS.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=

R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2006-12-12 9867]
S1 mailKmd;mailKmd; [x]
S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
.
Inhalt des "geplante Tasks" Ordners

2009-01-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 15:42]

2009-03-03 c:\windows\Tasks\At1.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At2.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At3.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At4.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At5.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At6.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At7.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At8.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At9.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At10.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At11.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At12.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At13.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At14.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-01 c:\windows\Tasks\At15.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-03 c:\windows\Tasks\At16.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-02 c:\windows\Tasks\At17.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At18.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At19.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At20.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At21.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At22.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-04 c:\windows\Tasks\At23.job
- c:\windows\system32\3UvxDjiP.exe []

2009-03-03 c:\windows\Tasks\At24.job
- c:\windows\system32\3UvxDjiP.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/fm/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-04 22:49:53
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-04 22:52:51
ComboFix-quarantined-files.txt 2009-03-04 21:52:48
ComboFix3.txt 2009-03-04 19:07:48
ComboFix2.txt 2009-03-04 21:29:06

Vor Suchlauf: 27 Verzeichnis(se), 37.285.756.928 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 37,276,811,264 Bytes frei

259 --- E O F --- 2009-02-26 16:40:45
Dieser Beitrag wurde am 04.03.2009 um 23:11 Uhr von bigmaus editiert.
Seitenanfang Seitenende
04.03.2009, 23:23
Moderator

Beiträge: 5694
#14 >>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
c:\windows\system32\3UvxDjiP.exe
c:\windows\system32\c_886756.nls

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"74886787"=-
"74886776"=-
"aux1"=-
"wave1"=-
"mixer1"=-
"midi1"=-
"wave2"=-
"mixer2"=-
"midi2"=-
"aux2"=-
"74886806"=-
"74886786"=-
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log

>>
Durchsuche die Registry
doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

mailKmd

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Das gleiche mit

c_886756


Gruss Swiss

PS: Beitrag bitte wieder editieren ;)
Seitenanfang Seitenende
04.03.2009, 23:58
...neu hier

Themenstarter

Beiträge: 8
#15 sorry ich gebe auf das laptop fährt jetzt schon seit 10 min hoch und läuft immer noch nich hab nur den desktop hintergrund ohne symbole werde es formatieren muss um 6 uhr wieder arbeiten hab keine böcke mehr
trotzdem vielen dank für die mühe hoffe es läuft nach dem formatieren wieder

also wünsche eine gute nacht

gruss m.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: