Internet Explorer extrem langsam

#1 Hallo bin mal wieder auf eure Hilfe angewiesen, habe zwar schon was rumgegooglet wegen meinem Problem, allerdings wäre ein individuelle Problemlösung für mich am optimalsten.

Und zwar ist mein Internet Explorer extrem langsam, wenn ich ein neues Tab öffne, friert für einen moment alles ein und kurz darauf, kann ich im Internet Explorer nichts mehr machen. Dann muss ich warten, bis sich die Seite geladen hat.
Wenn ich mit dem Firefox ins Internet gehe ist es so schnell wie zuvor, allerdings nicht beim Internet Explorer.

Nun könnte man sagen, dass zwei Browser sich gegenseitig behindern etc. aber ich benutze den Explorer schon sehr lange. Nur ist er von jetzt auf gleich sau langsam geworden.

Logfile of HijackThis v1.99.1
Scan saved at 12:01:41, on 17.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: mscorewr - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\mscorewr.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: p6übersicht.lnk = C:\Programme\phase6\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136469868593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)



Hoffe ihr könnt mir helfen

#2 http://board.protecus.de/t23187.htm
genauestens abarbeiten, logs posten.

#3 Hatte Malware schon gestartet, während ich den Beitrag schrieb, allerdings hats ewig gedauert.

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1219
Windows 5.1.2600 Service Pack 3

17.03.2009 17:21:44
mbam-log-2009-03-17 (17-21-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 254980
Laufzeit: 1 hour(s), 27 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000} (Spyware.Passwords) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000} (Spyware.Passwords) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mscorewr.dll (Spyware.Passwords) -> No action taken.



Es wurden 3 Dateien gefunden, die ich gelöscht habe.


Als ich jetzt eben online gegangen bin, lief der Explorer wieder normal (hö)
Wieso hat er das nicht die letzten drei Tage gemacht, bzw. woran lags

#4 weil du spyware auf dem pc hast.
1. arbeite den rest ab
2. update malwareBytes und scanne noch mal

#5 Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1859
Windows 5.1.2600 Service Pack 3

17.03.2009 20:12:15
mbam-log-2009-03-17 (20-12-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 294354
Laufzeit: 1 hour(s), 20 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000} (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP1112\A0178797.DLL (Adware.MyWeb) -> Quarantined and deleted successfully.



combofix

ComboFix 09-03-15.01 - Roitzheim 2009-03-17 20:17:30.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.343 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Roitzheim\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated)
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated)
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-17 bis 2009-03-17 ))))))))))))))))))))))))))))))
.

2009-03-16 12:33 . 2009-03-16 14:52 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-16 12:33 . 2009-03-16 14:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-15 15:46 . 2009-03-15 15:46 32,018 --a------ c:\windows\system32\msrfcint.dat
2009-03-15 15:46 . 2009-03-17 11:52 13,282 --a------ c:\windows\system32\mscomct2.dat
2009-03-15 15:46 . 2009-03-17 11:52 9,115 --a------ c:\windows\system32\ntrdectr.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-17 19:18 49,990 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wklnhst.dat
2009-03-17 19:18 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Skype
2009-03-17 18:34 --------- d-----w c:\programme\Mozilla Thunderbird
2009-03-17 17:31 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-03-17 17:16 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\skypePM
2009-03-17 10:42 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-17 10:41 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-03-16 13:53 --------- d-----w c:\programme\Enigma Software Group
2009-03-13 13:45 --------- d-----w c:\programme\ICQ6
2009-03-12 19:28 --------- d-----w c:\programme\Lx_cats
2009-03-09 20:27 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Hamachi
2009-02-28 15:22 --------- d-----w c:\programme\No23 Recorder
2009-02-28 13:42 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\phonostar-Player
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 15:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiComponents
2009-02-01 20:45 --------- d-----w c:\programme\AbiSuite2
2009-02-01 14:53 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\photoposcomtbr
2009-02-01 14:21 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\FrmMain
2009-02-01 13:22 122,662 ----a-w c:\windows\Pos Free Photo Editor Uninstaller.exe
2009-02-01 13:22 --------- d-----w c:\programme\Pos Free Photo Editor
2009-02-01 13:22 --------- d-----w c:\programme\photoposcomtbr
2009-02-01 13:22 --------- d-----w c:\programme\Gemeinsame Dateien\Thraex Software
2009-01-21 21:45 21,840 ----atw c:\windows\system32\SIntfNT.dll
2009-01-21 21:45 17,212 ----atw c:\windows\system32\SIntf32.dll
2009-01-21 21:45 12,067 ----atw c:\windows\system32\SIntf16.dll
2009-01-08 16:41 98,304 ----a-w c:\windows\system32\CmdLineExt.dll
2009-01-08 16:41 122,880 ----a-w c:\windows\system32\UAService7.exe
2008-12-23 13:33 69,632 ----a-w c:\windows\system32\PosMessageLib.dll
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-04-17 16:59 288 ----a-w c:\dokumente und einstellungen\Bine\Anwendungsdaten\wklnhst.dat
2008-03-11 09:48 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-28 16:29 101,872 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-02-21 15:07 56 --sha-r c:\windows\system32\41D12D28A0.sys
2005-02-06 13:08 8 --sha-r c:\windows\system32\D5D86239B1.sys
2008-10-23 12:43 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008102320081024\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}]
2007-10-16 19:58 1923584 --a------ c:\programme\photoposcomtbr\photoposcomtbr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}"= "c:\programme\photoposcomtbr\photoposcomtbr.dll" [2007-10-16 1923584]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-9f9d-3befcfbe6e86}]
[HKEY_CLASSES_ROOT\photoposcomtbr.PHOTOPOSCOMTBR]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}"= "c:\programme\photoposcomtbr\photoposcomtbr.dll" [2007-10-16 1923584]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-9f9d-3befcfbe6e86}]
[HKEY_CLASSES_ROOT\photoposcomtbr.PHOTOPOSCOMTBR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-06 98304]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-02-19 3042816]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Dit"="Dit.exe" [2004-07-20 c:\windows\Dit.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Roitzheim\Startmen�\Programme\Autostart\
Watch.lnk - c:\windows\twain_32\A4CIS600\WATCH.exe [2005-04-02 371200]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-02-21 1048576]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2002-12-19 65588]
p6�bersicht.lnk - c:\programme\phase6\phase6\WinStart\WinStart.exe [2003-10-09 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\rise of Nations gold\\thrones.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-02 14848]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-02-02 40000]
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-06-27 3026]
R2 auwmac;Auerswald ISDN WAN Driver (Ver. %V_VERSION%);c:\windows\system32\drivers\auwmac.sys [2005-04-02 65587]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-20 61440]
R2 Oscapi;Auerswald CAPI2.0 Treiber;c:\windows\system32\drivers\Oscapi20.sys [2005-04-02 164930]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-02-14 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-01-27 1272000]
R3 SFC4;SFC4;c:\windows\system32\drivers\SFC4.SYS [2005-04-02 41472]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-01-27 19928]
S0 oldfhfg;oldfhfg;c:\windows\system32\drivers\sxpuuwi.sys --> c:\windows\system32\drivers\sxpuuwi.sys [?]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [2005-04-02 200573]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-01-27 17408]
S3 cdrmkaun;cdrmkaun;\??\c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys --> c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys [?]
S3 FXDRV;FXDRV;\??\c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys --> c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2007-01-20 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2007-01-20 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2007-01-20 17536]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [2005-04-02 193421]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f039ae1-8468-11d9-8a72-001109df9636}]
\Shell\AutoRun\command - L:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176ebe7a-8522-11d9-8a7e-001109df94c7}]
\Shell\AutoRun\command - K:\OEMBranding.exe
.
Inhalt des "geplante Tasks" Ordners

2009-03-17 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aol.de/
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
FF - ProfilePath - c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 20:19:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="17081B02B3D7422C39A094EE706F066
F368015C9A856E45AA84268C77324823CE03EBD45017580C421436A7901B627F
BAE657FB9DC78624FB0E02F4
9C1D28DA8E384003C73E2131E1B30D06E7AC855A58AE7AE809CC6EB68EF6A79
6BA1E1B412FB675827FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC
74CFEBC9E127BECC74CFEBC9E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566DA7447369F2E4B525EDD6774834BF24CB6664321D071D3AEED6D525AFC4
D1C5D7DA6E59F74B84AA578BBE71EC096E9C19FEB8906165B32B0C91C080F4
753F195909
5F3C91FB3B0266F8F63879C50E55F1831009E647709F3565B34F399511209D5
3D8FC342641331024575F4E68BD8BC44F7C070F28FE3927389A72FEBF9981D1
4D3D10A3
21338993ED5E910F2505CD01303289FE376DEB2466825B0C4111B6AA7D15FD
E5F5112333AAAC0B23E44C811C670E2220DA2C8071BD1F116B9C928C5EE10C
E148E4C073B725061
EB8C0E05C8DAC0C769E2A9415570147B16A851E2726E8F1ED
57E088BFEB97D32F3D89F26B5328CE41ECF2DF19A5E7F66A9BE616F9C1783A
E4E80E9524
A035233768431A0DEC789CD1BE352C52AD9DCAFD545E425073E5FD1F
92C8798F2823A5442FA34FF6DF2FDD898EA4FB58C3C087C4B03C4FC7827F78
89AF20A7445B79AEF7
4E19EEAF35D321DE182A35984364142A0C07CBD138850AA3DE54775915C339
8647403C93785F985C5E63A3D308907BAC
8B782933E4AAB58305DD2738B60760BADD6E5A523B3F1B1FA49F759FF4BE6A
DF127DC108DA17A3CEC667D622A034
E46F99AAD36F1157205A75E43B63EE5E36EB4D3750BB6FE6A0C3124D09A73D
372D9747AF954293F
B48D41E69EC5CE0D3550B297CF291FD2B1BB1142428B0776CC1B9756E7278D
E7753E7AE1B659CB7
73E08CD7D42D9EE56629FD40B180F63E23CEEB7A899D8F1488A802FC9B6186
648B9A545080E7CC0A91801F4E
F0C18B86A225DDECD8B25C58E051A6A1BC05D4DC58E358CC6E6DDA4F977DA
2B91080CEC
722BAD02AE7AC07D226FAE97A89D4939C8E43264A466ED8225AA0A94071357
8FBD0279
851F56F0A31737877A7BD3DA21E5464"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-17 20:22:07
ComboFix-quarantined-files.txt 2009-03-17 19:21:47
ComboFix2.txt 2008-09-28 19:51:04

Vor Suchlauf: 3.976.581.120 Bytes frei
Nach Suchlauf: 4,377,858,048 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

195 --- E O F --- 2009-03-17 07:13:58

#6 Hattest du combofix neu runtergeladen?
c:\windows\system32\msrfcint.dat
c:\windows\system32\ntrdectr.dat

nacheinander abkopieren und hier prüfen:
http://www.virustotal.com/en/indexf.html
ergebnisse posten.

#7 Datei msrfcint.dat empfangen 2009.03.18 13:52:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

Datei ntrdectr.dat empfangen 2009.03.18 15:50:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/37 (0%)

ja hab combofix neu runtergeladen

#8 start ausfüren
combofix /u
enter
deine passwörter sind alle abgegriffen worden, du musst sie dann, wenn dein pc sauber ist, endern.
Rootkitscan:
http://virus-protect.org/rootkitscanner.html
gmer catchme blackligt laden.
Trenne die verbindung zum internet also netzwerkkabel raus, wlan aus
Schalte alle Programme aus, auch Antivirensoftware. Lasse alle scanner laufen, ohne neustart.
Vergiss nicht dein antivirenprogramm anzuschalten, wenn du die logs postest.

#9 catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\DSC006071.jpg 28672 bytes
C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\Thumbs.db 8192 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2


03/18/09 19:12:48 [Info]: BlackLight Engine 2.2.1092 initialized
03/18/09 19:12:48 [Info]: OS: 5.1 build 2600 (Service Pack 3)
03/18/09 19:12:50 [Note]: 7019 4
03/18/09 19:12:50 [Note]: 7005 0
03/18/09 19:12:54 [Note]: 7006 0
03/18/09 19:12:54 [Note]: 7011 812
03/18/09 19:12:54 [Note]: 7035 0
03/18/09 19:12:54 [Note]: 7026 0
03/18/09 19:12:54 [Note]: 7026 0
03/18/09 19:13:00 [Note]: FSRAW library version 1.7.1024
03/18/09 19:32:11 [Note]: 2000 1012
03/18/09 19:32:11 [Note]: 2000 1012
03/18/09 19:32:11 [Note]: 2000 1012
03/18/09 19:35:44 [Note]: 7007 0


GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-18 21:30:46
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwCreateKey [0xF748CAC8]
SSDT F7CEDAE4 ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF748CC22]
SSDT sptd.sys ZwEnumerateValueKey [0xF748CF9A]
SSDT sptd.sys ZwOpenKey [0xF748C98E]
SSDT F7CEDAD0 ZwOpenProcess
SSDT F7CEDAD5 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF748D064]
SSDT sptd.sys ZwQueryValueKey [0xF748CEFC]
SSDT sptd.sys ZwSetValueKey [0xF748D0EC]
SSDT F7CEDADF ZwTerminateProcess
SSDT F7CEDADA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS\System32\Drivers\SPTD0109.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 F673C4F0 16 Bytes [0A, 0F, F7, 08, 66, C9, 95, ...]
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 F673C501 31 Bytes [B0, 73, F6, BE, 66, D3, 11, ...]
? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. !
? C:\DOKUME~1\ROITZH~1\LOKALE~1\Temp\F-Secure\BlackLight\fsbldrv.sys Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7488AD2] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7488C0E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7488B96] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F748976C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F7489642] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86FC5398

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira Antivir File Filter Driver Manager/AVIRA GmbH)

Device \FileSystem\Fastfat \FatCdrom 86D48EB0
Device \Driver\Ftdisk \Device\HarddiskVolume1 86FC5A40
Device \Driver\Ftdisk \Device\HarddiskVolume2 86FC5A40
Device \Driver\Cdrom \Device\CdRom0 86D7CD38
Device \FileSystem\Rdbss \Device\FsWrap 86D3BAB8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86FC5A40
Device \Driver\Cdrom \Device\CdRom1 86D7CD38
Device \Driver\Cdrom \Device\CdRom2 86D7CD38
Device \Driver\00000070 \Device\00000069 sptd.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 86C93CA8
Device \Driver\NetBT \Device\NetbiosSmb 86C93CA8
Device \Driver\Disk \Device\Harddisk0\DR0 86FC55D0
Device \Driver\NetBT \Device\NetBT_Tcpip_{86F58EC0-34C5-4C5C-A343-06D2AA5B5B85} 86C93CA8
Device \Driver\NetBT \Device\NetBT_Tcpip_{29FE2BA4-EEAB-4859-B8B6-5B603B7F5183} 86C93CA8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86BA0D58
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86BA0D58
Device \FileSystem\Npfs \Device\NamedPipe 86C54E08
Device \Driver\Ftdisk \Device\FtControl 86FC5A40
Device \FileSystem\Msfs \Device\Mailslot 86DF2B48
Device \Driver\dtscsi \Device\Scsi\dtscsi1 86C2B930
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port3Path0Target0Lun0 86C2B930
Device \FileSystem\Fastfat \Fat 86D48EB0

AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira Antivir File Filter Driver Manager/AVIRA GmbH)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 86D410E8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6B 0x84 0x6A 0xAB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -672187030
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 2027942169
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1430325466
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6B 0x84 0x6A 0xAB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x89 0xAF 0x47 0xFB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x7E 0xEE 0x18 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6B 0x84 0x6A 0xAB ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 17081B02B3D7422C39A094EE706F066F368015C9A856E45AA84268C773248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---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\DSC006071.jpg 25599 bytes
File C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\Thumbs.db 6144 bytes

---- EOF - GMER 1.0.15 ----

#10 File C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\DSC006071.jpg 25599 bytes
File C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\Thumbs.db 6144 bytes
sgen die dir was, vor allem das erste?

#11 öhm nein, kann sie aber auch nicht einfach so löschen. Es wird mir dann ne Fehlermeldung angezeigt, von wegen die Datei würd sich auf nen Pfad beziehen, der nicht verfügbar wäre.

#12 avenger laden und ein script erstellen wie beschrieben:
http://virus-protect.org/artikel/tools/avenger.html
files to delete:
C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\DSC006071.jpg
C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\Thumbs.db
das log posten.

#13 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Thu Mar 19 14:14:04 2009

14:14:04: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\DSC006071.jpg" deleted successfully.
File "C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ\305840157\ReceivedFiles\409622115 ..xD.. rené ..xD.\Thumbs.db" deleted successfully.

Error: file "das log posten." not found!
Deletion of file "das log posten." failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Der Ordner an sich, wo die Dateien waren ist aber immer noch da

#14 lösche den ordner, schicke das avenger backup an
markusg@paules-pc-forum.de
ich will es mir ansehen, da jpg's tteoretisch auch infiziert sein könnten.
bitte ein neues hijackthis log.

#15 habe den Ordner mit Avenger nun gelöscht, nun ist er jedoch im Avengerordner, wo auch die Backups sind und ich kann ihn dort nicht löschen



hier noch das neue Hijackthislog

Logfile of HijackThis v1.99.1
Scan saved at 15:09:15, on 19.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Roitzheim\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: p6übersicht.lnk = C:\Programme\phase6\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136469868593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)