Mehrere "np_gp.dll" Dateien als "TR/Dropper.Gen"angezeigt

#1 Seit gestern zeigt AntiVir mehrere "np_gp.dll"-Dateien und "Pluginsnp_gp.dll"-Dateien als Virus an, als "TR/Dropper.Gen".

Gefunden hier: http://www.temp.galerie-der-fotos.de/screenshots/dateien-gefunden.jpg

VirusTotal zeigt das an (weiß nicht, wie man das werten sollte): http://www.temp.galerie-der-fotos.de/screenshots/trojanischer-gaul.png

Habe im Forum hier erstaunlicherweise gar nichts über diese Dateien finden können.

Sind das schädliche Dateien? Falls ja, einfach löschen oder in Quarantäne verschieben, sollte man die wohl nicht, oder? Und falls nicht, weshalb werden diese Dateien, die offenbar schon eine gewisse Zeit auf meiner Festplatte sind, plötzlich als Trojanisches Pferd angezeigt?

Alle diese Dateien haben offenbar identische (Erstell-)Daten, Größen (104 kb): http://www.temp.galerie-der-fotos.de/screenshots/daten.jpg

Kann das etwas damit zu haben, daß sich "Office 2007" nicht installieren läßt? Diese Meldung erscheint sofort nach anklicken der "setup.exe" von "Office": http://www.temp.galerie-der-fotos.de/screenshots/office.jpg

Owohl der Zugriff (wie ich teilweise die entsprechenden Abfragen beim Virenfund beantwortet habe) verweigert wird auf einige dieser Dateien, scheinen die Browser noch zu funktionieren.

Nette Grüße Dirk

P.S. Pro Beitrag, läßt sich wohl nur eine Datei hochladen...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:33:34, on 04.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Virtual CD v9\System\VC9SecS.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\NetDrive\wdService.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Ditto\Ditto.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Copy Handler\ch.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\FreeCommander\FreeCommander.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\PSPad editor\PSPad.exe
C:\Programme\Opera\opera.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Exact Audio Copy\EAC.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Ditto] C:\Programme\Ditto\Ditto.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Copy Handler] C:\Programme\Copy Handler\ch.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICF39~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PicGrab - {18B1FD17-63EA-492F-BD74-875A9CCE5C5A} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: (no name) - {89045B2A-F81D-44ED-81F3-4E6670D23845} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {89045B2A-F81D-44ED-81F3-4E6670D23845} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199439078609
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F55B0D99-BC97-47A9-8807-34F9F953F6A8}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\xampp\apache\bin\apache.exe (file missing)
O23 - Service: Cobian Backup 9 Dienst (CobianBackupAmanita) - Luis Cobian - C:\Programme\Cobian Backup 9\cbService.exe
O23 - Service: ComodoBackupService - COMODO - C:\Programme\Comodo\BackUp\CmdBkSvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - c:\xampp\filezillaftp\filezillaserver.exe (file missing)
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Microsoft Office Groove Audit Service - Unknown owner - C:\Programme\Microsoft Office 07\Office12\GrooveAuditService.exe (file missing)
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Microsoft Office Diagnostics Service (odserv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing)
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - H:\xampp\service.exe

--
End of file - 10606 bytes
__________
Win 11 22H2

#2 Bi den Avira Meldungen könnte es sich evtl um Falschmeldungen handeln. Auch im AviraForum gibt es solche Beiträge:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=87433

Also mal abwarten was die nächsten Updates sagen.

Trotzdem scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#3 Vielen Dank für die Hilfe und Links, Swiss.

Zitat

Trotzdem scanne mit Malwarebytes, lass das gefundene löschen

Aber wenn die Dateien gar keine Schädlinge enthalten und zum Funktionieren von Programmen erforderlich sind, würde das doch bedeuten, daß diese Programme nicht mehr oder nicht mehr richtig funktionierten, oder täusche ich mich?

Nette Grüße Dirk
__________
Win 11 22H2

#4 Es kann sein, dass die Datei einfach abgeändert wurde und trotzdem noch die Funktion audsführt welche sie soll. Was sagt Malwarebytes?

Gruss Swiss

#5 Hallo Swiss,

bin dabei; muß AntiVir während des Scannens mit Malwarbytes ausgeschaltet sein? Es erscheint gelegentlich währenddessen eine Meldung von AntiVir über einen Virenfund, die ich dann mit "Zugriff verweigern" bestätige.

Verzeihung, ich meinte:

Aber wenn die Dateien gar keine Schädlinge enthalten und zum Funktionieren von Programmen erforderlich sind, würde sie zu löschen doch bedeuten, daß diese Programme nicht mehr oder nicht mehr richtig funktionierten, oder täusche ich mich?

Nette Grüße Dirk
__________
Win 11 22H2

#6 Ja das ist so, aber wie gesagt eigentlich handelt es sich bei solchen Meldungen um Falschmeldungen der Antivirenprogramme welche nach einem Update auch wieder weg sind.

Avira kannst du laufen lassen während dem Scan

Gruss Swiss

#7 Hallo Swiss und vielen Dank,

so, C: ist fertig gescannt, geht gar nicht so schnell, die anderen Platten kommen noch.

Tja, die benannten Dateien werden nicht als schädlich angezeigt (dafür leider anderes); ist denn „Malwarebytes“ zuverlässiger / vertrauenswürdiger im Erkennen schädlicher Software als etwa VirusTotal?

Kann ich die von „Malwarebytes“ angezeigten Funde einfach löschen? Die txt-Datei bestimmt...kann die wirklich schädlich sein? Sind die Registry-Einträge gefährlich? Und wieso hat AntiVir die nicht gefunden?

Die C:\results.txt-Datei mit VirusTotal geprüft zeigt: 0 bytes size received / Se ha recibido un archivo vacio

Vielen Dank, nochmals für Deine Hilfe. Nette Grüße Dirk

---------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1944
Windows 5.1.2600 Service Pack 3

06.04.2009 13:34:31
mbam-log-2009-04-06 (13-32-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 147422
Laufzeit: 1 hour(s), 29 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\results.txt (Malware.Trace) -> No action taken.
__________
Win 11 22H2

#8 Ja die Funde kannst Du löchen lassen.
Dann mach folgendes:

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#9 Vielen Dank, Swiss,

beim zweiten Scannen von C: mit "Malwarebytes", wurde "result.txt" nicht mehr als schädlich angezeigt.

Vielen Dank für Deine Hilfe, nette Grüße Dirk

---------------------------------------------------------------------------

ComboFix 09-04-04.01 - Besitzer 2009-04-07 15:05:56.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.5895.1.1159.16.557.111 [GMT 2:00]
ausgeführt von:: h:\eigene dateien\Software\Downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 ))))))))))))))))))))))))))))))
.

2009-04-07 14:24 . 2009-04-07 14:46 <DIR> d-------- c:\programme\CleanUp!
2009-04-06 21:41 . 2009-04-06 21:41 <DIR> d-------- c:\programme\Microsoft Visual Studio 8
2009-04-05 16:42 . 2009-04-07 10:55 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-05 16:42 . 2009-04-05 16:42 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-04-05 16:42 . 2009-04-05 16:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-05 16:42 . 2009-04-06 15:32 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-05 16:42 . 2009-04-06 15:32 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-04 22:38 . 2009-04-04 22:38 <DIR> d-------- c:\programme\Microsoft.NET
2009-04-04 20:04 . 2009-04-04 20:04 604,416 --a------ c:\windows\system32\TUProgSt.exe
2009-04-04 20:04 . 2009-04-04 20:04 360,704 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-04-04 20:04 . 2009-03-20 16:01 28,416 --a------ c:\windows\system32\uxtuneup.dll
2009-04-04 01:49 . 2009-04-04 01:49 <DIR> d-------- c:\programme\microsoft frontpage
2009-04-03 22:27 . 2009-04-07 10:48 <DIR> d-------- c:\programme\Your Uninstaller 2008
2009-04-03 22:27 . 2009-04-03 22:27 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\URSoft
2009-04-03 22:27 . 2009-04-07 10:17 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-03 22:21 . 2009-01-24 11:19 210,944 --a------ c:\windows\mobackup1.exe
2009-04-03 22:21 . 2009-04-03 22:21 2,190 -r------- c:\windows\MOBackup-DatensicherungfürOutlook1_Uninstall.in
2009-04-03 22:17 . 2009-04-03 22:21 <DIR> d-------- c:\programme\MOBackup 1.3
2009-04-03 22:17 . 2009-01-24 11:19 210,944 --a------ c:\windows\mobackup0.exe
2009-04-03 22:17 . 2009-04-03 22:17 2,256 -r------- c:\windows\MOBackup-DatensicherungfürOutlook0_Uninstall.in
2009-04-03 22:10 . 2009-04-03 22:10 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\MOBackup
2009-04-03 22:00 . 2008-09-05 10:52 210,944 --a------ c:\windows\mobackup.EXE
2009-04-03 22:00 . 2009-04-03 22:00 1,722 -r------- c:\windows\MOBackup-DatensicherungfürOutlook_Uninstall.in
2009-04-03 21:59 . 2009-04-06 16:13 <DIR> d-------- c:\programme\MOBackup
2009-03-31 22:27 . 2009-03-31 22:27 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\HDRsoft
2009-03-31 22:07 . 2009-03-31 22:07 <DIR> d-------- c:\programme\PhotomatixPro3
2009-03-31 22:02 . 2009-03-31 22:04 <DIR> d-------- c:\windows\system32\URTTemp
2009-03-31 15:03 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2009-03-31 14:57 . 2009-04-04 22:41 <DIR> d-------- c:\programme\MSBuild
2009-03-31 14:10 . 2007-11-14 12:42 113,168 --a------ c:\windows\system32\drivers\vdrv9000.sys
2009-03-31 14:10 . 2006-09-20 11:42 11,392 --a------ c:\windows\system32\drivers\HH9Help.sys
2009-03-31 14:05 . 2004-07-13 10:57 1,843,200 --a------ c:\windows\system32\NCTAudioFile2.dll
2009-03-31 14:05 . 2007-04-16 13:58 1,097,728 --a------ c:\windows\system32\NMSDVDX.dll
2009-03-31 14:05 . 2003-07-24 17:01 1,044,480 --------- c:\windows\system32\ROBOEX32.DLL
2009-03-31 14:05 . 2004-07-13 10:58 315,392 --a------ c:\windows\system32\NCTAudioPlayer2.dll
2009-03-31 14:04 . 2009-03-31 14:11 <DIR> d-------- c:\programme\Virtual CD v9
2009-03-31 14:01 . 2009-03-31 14:01 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\InstallShield
2009-03-30 14:04 . 2009-04-04 01:45 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Desktop - original von früher
2009-03-26 18:42 . 2009-03-26 18:42 <DIR> d-------- c:\programme\SpeedProject
2009-03-26 18:42 . 2009-03-26 18:42 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SpeedProject
2009-03-25 22:09 . 2009-03-25 22:51 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\orig-Desktop
2009-03-23 22:47 . 2009-03-23 23:19 <DIR> d-------- c:\programme\ERUNT
2009-03-23 22:07 . 2009-03-23 22:55 319,498 --a------ c:\windows\system32\prfh0407.dat
2009-03-23 22:07 . 2009-03-23 22:55 49,000 --a------ c:\windows\system32\prfc0407.dat
2009-03-22 00:03 . 2009-03-22 00:03 <DIR> d-------- c:\programme\Microsoft Works
2009-03-21 23:55 . 2009-04-06 21:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-21 23:53 . 2009-03-21 23:53 <DIR> dr-h----- C:\MSOCache
2009-03-20 23:17 . 2009-03-20 23:17 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\TuneUp Software
2009-03-20 23:16 . 2009-04-04 21:26 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-03-20 23:16 . 2009-03-20 23:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-03-20 23:14 . 2009-03-20 23:14 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-03-20 00:19 . 2009-03-20 00:19 <DIR> d-------- c:\programme\Accalio
2009-03-20 00:19 . 2009-03-20 00:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7C312D55-0C2E-4964-AB42-371BFC6779A2}
2009-03-18 22:42 . 2009-03-18 22:42 <DIR> d-------- c:\windows\system32\Nexus Radio
2009-03-18 22:42 . 2009-03-18 22:42 <DIR> d-------- C:\My Saved Files
2009-03-18 22:42 . 2009-03-18 22:42 <DIR> d-------- C:\My Recorded Files
2009-03-18 22:17 . 2009-03-18 22:17 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\flexdock
2009-03-18 22:17 . 2009-03-18 22:17 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\.columba
2009-03-18 22:16 . 2009-03-18 22:16 <DIR> d-------- c:\programme\columba
2009-03-17 02:15 . 2009-03-17 02:15 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\TechSmith
2009-03-16 20:44 . 2009-03-16 20:44 <DIR> d-------- c:\programme\TechSmith
2009-03-16 20:44 . 2009-03-16 20:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TechSmith
2009-03-16 20:40 . 2009-03-16 20:40 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-14 20:56 . 2009-03-14 20:56 <DIR> d-------- c:\programme\Sylpheed
2009-03-14 20:56 . 2009-03-18 01:46 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sylpheed
2009-03-12 23:30 . 2009-03-16 13:29 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\FireShot
2009-03-12 23:26 . 2009-03-12 23:26 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\System Restore

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 13:08 222,353,440 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-07 12:49 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Ditto
2009-04-07 12:20 2,611,868 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-07 08:47 --------- d-----w c:\programme\seRapid
2009-04-07 08:47 --------- d-----w c:\programme\Nvu
2009-04-07 08:47 --------- d-----w c:\programme\Mozilla Thunderbird
2009-04-07 08:47 --------- d-----w c:\programme\Mozilla Sunbird
2009-04-07 08:47 --------- d-----w c:\programme\KompoZer
2009-04-07 08:47 --------- d-----w c:\programme\ConTEXT
2009-04-07 08:47 --------- d-----w c:\programme\CDex_150
2009-04-06 21:37 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Free Download Manager
2009-04-05 23:58 --------- d-----w c:\programme\Ditto
2009-04-05 18:59 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\foobar2000
2009-04-04 09:18 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\XnView
2009-04-03 22:47 --------- d-----w c:\programme\Folder View
2009-04-02 17:56 --------- d-----w c:\programme\Java
2009-04-02 11:35 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-02 11:34 --------- d-----w c:\programme\Allway Sync
2009-04-02 11:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-02 11:14 --------- d-----w c:\programme\Qtpfsgui
2009-04-02 11:04 --------- d-----w c:\programme\OpenOffice.org 3
2009-04-02 10:03 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\TOPOS
2009-04-02 10:02 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-30 19:19 --------- d-----w c:\programme\PhraseExpress
2009-03-30 08:46 --------- d-----w c:\programme\FlashGet
2009-03-29 19:13 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\FileZilla
2009-03-28 20:19 --------- d-----w c:\programme\FileZilla FTP Client
2009-03-28 00:06 --------- d-----w c:\programme\foobar2000
2009-03-26 21:11 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-26 19:13 --------- d-----w c:\programme\CCleaner
2009-03-23 21:19 --------- d-----w c:\programme\Free Download Manager
2009-03-20 19:53 --------- d-----w c:\programme\WinTextFilePatch
2009-03-19 22:10 --------- d-----w c:\programme\Nexus Radio
2009-03-17 22:14 --------- d-----w c:\programme\Avidemux 2.4
2009-03-16 14:59 --------- d-----w c:\programme\ScreenshotCaptor
2009-03-16 14:20 --------- d-----w c:\programme\XnView
2009-03-16 00:30 --------- d-----w c:\programme\Notepad++
2009-03-15 00:12 57,472 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-13 22:51 --------- d-----w c:\programme\Personal Backup 4
2009-03-12 12:47 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\AccurateRip
2009-03-12 12:35 --------- d-----w c:\programme\WinMerge
2009-03-09 03:19 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-03-05 01:44 --------- d-----w c:\programme\FreeCommander
2009-03-03 21:19 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Thunderbird
2009-03-03 19:31 --------- d-----w c:\programme\Opera
2009-03-01 08:54 14,512,225 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-02-24 22:59 --------- d-----w c:\programme\Copy Handler
2009-02-23 21:36 --------- d-----w c:\programme\FileZilla
2009-02-23 20:50 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\avidemux
2009-02-23 20:49 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\gtk-2.0
2009-02-22 22:42 --------- d-----w c:\programme\TV-Browser
2009-02-22 01:05 --------- d-----w c:\programme\aTunes
2009-02-22 00:57 --------- d-----w c:\programme\MediaCoder
2009-02-21 21:31 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2008-04-24 10:39 1,089,328 ----a-w c:\programme\CHsetup1.28.exe
2008-04-24 10:37 1,807,380 ----a-w c:\programme\chsetup32_1.30_final.exe
2008-04-24 10:11 642,632 ----a-w c:\programme\hdtune_255.exe
2008-04-24 10:11 1,084,311 ----a-w c:\programme\hdtunepro_300_trial.exe
2008-04-24 09:15 658,687 ----a-w c:\programme\cspy23.zip
2008-04-14 11:35 14,852 ----a-w c:\programme\settings.dat
2007-10-14 08:12 10,340 ----a-w c:\programme\mailform.php
2007-10-13 00:30 9,185 ----a-w c:\programme\kontakt_formular.php
2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 13:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ditto"="c:\programme\Ditto\Ditto.exe" [2008-01-16 684032]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Copy Handler"="c:\programme\Copy Handler\ch.exe" [2009-02-02 436224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Besitzer\Startmen�\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
PhraseExpress.lnk - c:\programme\PhraseExpress\phraseexpress.exe [2007-08-19 3783064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cobian Backup 9 interface]
--a------ 2008-09-21 23:21 2748928 c:\programme\Cobian Backup 9\cbInterface.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 04:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2008-07-22 22:44 357376 c:\programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nexus Radio]
--a------ 2009-03-08 23:08 4685312 c:\programme\Nexus Radio\Nexus Radio.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPDRM_Install_1]
--a------ 2008-04-14 04:22 87040 c:\windows\system32\drmstor.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPDRM_Install_2]
--a------ 2008-04-14 04:23 299520 c:\windows\system32\drmclien.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPDRM_Install_4]
--a------ 2008-04-14 04:23 695808 c:\windows\system32\drmv2clt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPDRM_Install_6]
--a------ 2008-04-14 04:23 259072 c:\windows\system32\msnetobj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMDM_Install_7]
--a------ 2004-08-11 01:45 25088 c:\windows\system32\MsPMSNSv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_20]
--a------ 2004-08-11 01:45 380144 c:\windows\system32\wmadmod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_21]
--a------ 2008-04-14 04:22 240640 c:\windows\system32\mpg4dmod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_22]
--a------ 2008-04-14 04:22 310272 c:\windows\system32\mp43dmod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_23]
--a------ 2008-04-14 04:22 384512 c:\windows\system32\mp4sdmod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_24]
--a------ 2004-08-11 01:45 773368 c:\windows\system32\wmsdmod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_30]
--a------ 2004-08-11 01:45 6656 c:\windows\system32\laprxy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_32]
--a------ 2008-06-10 12:57 2364472 c:\windows\system32\WMVCore.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMFSDK_Install_9]
--a------ 2008-04-14 04:22 115200 c:\windows\system32\wmsdmoe.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_0]
--a------ 2008-04-14 04:23 212992 c:\windows\inf\unregmp2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_1]
--a------ 2008-04-14 04:22 786432 c:\programme\Windows Media Player\migrate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_10]
--a------ 2008-04-14 04:22 233472 c:\windows\system32\wmpdxm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_11]
--a------ 2008-04-14 04:22 368640 c:\programme\Windows Media Player\mpvis.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_2]
--a------ 2008-04-14 04:22 4874240 c:\windows\system32\wmp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_20]
--a------ 2008-04-14 04:23 212992 c:\windows\inf\unregmp2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_8]
--a------ 2008-04-14 04:22 102400 c:\windows\system32\wmpshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OE_WMPWMP7_Install_9]
--a------ 2008-04-14 04:22 114688 c:\windows\system32\wmpasf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-03-09 05:19 148888 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC9Player]
--a------ 2008-11-06 16:42 202056 c:\programme\Virtual CD v9\System\vc9play.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2003-12-01 11:38 892928 c:\programme\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiSpyWareDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\xampp\\apache\\bin\\apache.exe"=
"c:\\Programme\\xampp\\mysql\\bin\\mysqld.exe"=
"h:\\xampp\\apache\\bin\\apache.exe"=
"h:\\xampp\\mysql\\bin\\mysqld.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Personal Backup 4\\Persbackup.exe"=
"c:\\Programme\\FileZilla Client\\filezilla.exe"=
"c:\\Programme\\PSPad editor\\PSPad.exe"=
"c:\\Programme\\FlashGet\\FlashGet.exe"=
"c:\\Programme\\PhraseExpress\\PhraseExpress.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R1 vdrv9000;vdrv9000;c:\windows\system32\drivers\vdrv9000.sys [2009-03-31 113168]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-04-04 604416]
R2 VC9SecS;Virtual CD v9 Management Service;c:\programme\Virtual CD v9\System\VC9SecS.exe [2009-03-31 132424]
R2 WebDriveFSD;WebDrive File System Driver;c:\programme\NetDrive\rffsd.sys [2008-01-18 67032]
S3 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" -k runservice --> c:\xampp\apache\bin\apache.exe [?]
S3 CobianBackupAmanita;Cobian Backup 9 Dienst;c:\programme\Cobian Backup 9\cbService.exe [2009-01-01 583168]
S3 ComodoBackupService;ComodoBackupService;c:\programme\Comodo\BackUp\CmdBkSvc.exe [2009-01-04 1023488]
S3 CrystalSysInfo;CrystalSysInfo;c:\programme\MediaCoder\SysInfo.sys [2007-09-25 15152]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-10-19 33752]
S3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [2009-03-31 11392]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]
S3 pfsvgae;pfsvgae;\??\c:\dokume~1\Besitzer\LOKALE~1\Temp\pfsvgae.sys --> c:\dokume~1\Besitzer\LOKALE~1\Temp\pfsvgae.sys [?]
S3 XAMPP;XAMPP Service;h:\xampp\service.exe [2007-12-15 60928]
S4 RFNP32;WebDrive Provider; [x]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-Eraser - c:\programme\Eraser\Eraser.exe
MSConfigStartUp-Folder View - c:\programme\Folder View\folderview.exe
MSConfigStartUp-GrooveMonitor - c:\programme\Microsoft Office 07\Office12\GrooveMonitor.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
TCP: {F55B0D99-BC97-47A9-8807-34F9F953F6A8} = 213.191.74.19 62.109.123.197
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\extensions\CiFFToolbarE@craftec.co.jp\components\CiFFToolBar.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\np_gp.dll
FF - plugin: c:\programme\Opera\program\plugins\np_gp.dll
FF - plugin: c:\programme\Opera\program\plugins\npdrmv2.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 18
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 15:08:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
.
Zeit der Fertigstellung: 2009-04-07 15:11:26
ComboFix-quarantined-files.txt 2009-04-07 13:11:02

Vor Suchlauf: 5.439.643.648 Bytes frei
Nach Suchlauf: 5,468,626,944 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

329 --- E O F --- 2009-04-04 18:03:42
__________
Win 11 22H2

#10 Kann auch hier nichts erkennen...
Also vermutlich ist die Meldung bezüglich der erwähnten Datei eine Fals Positiv (Falschmeldung):
http://forum.avira.com/wbb/index.php?page=Thread&threadID=87381

Kommt die MEldung denn noch?

Noch andere Probleme?

Gruss Swiss

#11 Dankeschön, Swiss,

nein, keine Meldung mehr, habe alle diese Dateien, fünf waren es glaube ich, mit meinem AntiVir einzelnd untersucht, keine positive Meldung mehr, offenbar nach einer der täglichen Aktualisierungen meiner AntiVir-Viren-Datenbank upgedated worden.

VirusTotal zeigt das:
https://www.virustotal.com/de/analisis/5efeaad0be0ebac993e264a985be7f61

Sehr merkwürdig für mich, daß Dateien, die offenbar schon länger unbehelligt auf der Festplatte sind, plötzlich als schadhaft angezeigt werden...und dann wieder nicht.

Nein, im Moment scheinen hier wegen Schädlinge keine weiteren Probleme zu bestehen...ärgerlich, der ganze Aufwand umsonst...

Auf jeden Fall ganz vielen Dank für Deine Hilfe, hat alles wunderbar geklappt, nette Grüße Dirk
__________
Win 11 22H2

#12 Der Grund für die plötzliche einstuufung als Virus eines Antivirenprogramms ist, dass die Signaturen der Programme ständig geupdatet werden. Folglich kann es vorkommen, dass die Strukuren einer Datei plötzlich aufgrund einer neuen Signatur als gefährlich eingestuuft wird

Gruss Swiss