Kurzzeitiger Befall mit UACxxx Dateien - alle weg, wie ist die Gefahr?

#1 Moin,

heute morgen machte ich ein Windows Update (XP SP2).
Alles verlief soweit wie immer. Kurz danach meldete sich Antivir mit mehreren UACxxx Dateien im System32 Ordner (TR/Rootkit.Gen). Ich ließ es von Antivir fixen. Ich hatte daraufhin im Netz nach den genauen Bezeichnungen geschaut, aber überhaupt nichts zu den Dateinamen gefunden. Vorhin auf der Arbeit hatte ich dann noch mal etwas genauer geschaut und bin dann auf einige wenige Meldungen von anderen mit UACxx Dateien gestossen. Die Dateien benennen sich also wohl jesemal anders.

Naja, war eben nochmal kurz zu Hause. Antivir und Spybot laufen gerade durch, dauert aber noch. Ich habe meinen PC nach UAC* durchsucht, aber nichts gefunden. Versteckte Dateien etc. werden angezeigt. Es gibt auch sonst keine Anomalien. MSConfig etc. geht alles. Anbei schon mal ein HJThis logfile. Auf Anhieb kann ich da nichts Verdächtiges entdecken.

Kann es sein, daß Antivir den Mist gerade nochmal abgefangen hat, oder hat sich das Zeug versteckt? Das MS update habe ich ganz normal über die MS Seite gemacht, also keine Links aus emails o.ä. aufgerufen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:56, on 16.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
F:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O1 - Hosts: 87.118.121.244 jdservice.ath.cx
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)
O2 - BHO: Cooliris Plug-In for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Launch Cooliris - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Programme\PicLensIE\cooliris.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c9dd7b942eff96) (gupdate1c9dd7b942eff96) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\DOKUME~1\marco\LOKALE~1\Temp\RarSFX0\Macromedia Licensing.exe (file missing)
O23 - Service: NewServiceInstall1 - Unknown owner - F:\Programme\SDL.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
O24 - Desktop Component 1: (no name) - F:\theme\site\theme2.htm

--
End of file - 8853 bytes

#2 Arbeite bitte die Punkte 3 und 4 aus http://board.protecus.de/t23188.htm ab und poste die REporte
__________
MfG Ralf
SEO-Spam Hunter

#3 Ok, Malwarebytes hat zwei Funde gehabt. Habe sie von Malwarebytes beheben lassen und nach einem Neustart und wiederholtem Test, gab es keine Funde mehr.

Hier das Logfile mit den beiden Funden:
-------------------------------------------
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2286
Windows 5.1.2600 Service Pack 2

16.06.2009 14:17:32
mbam-log-2009-06-16 (14-17-26).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 90766
Laufzeit: 2 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\mozilla firefox\plugins\npdlplug.dll (Trojan.Lop) -> No action taken.
---------------------------------------


Und hier das Logfile von Combofix:
---------------------------------------
ComboFix 09-06-15.06 - marco 16.06.2009 14:26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1918.1428 [GMT 2:00]
ausgeführt von:: f:\downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Pro Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\bkuzmmx.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDRIVER


((((((((((((((((((((((( Dateien erstellt von 2009-05-16 bis 2009-06-16 ))))))))))))))))))))))))))))))
.

2009-06-16 12:11 . 2009-06-16 12:11 -------- d-----w- c:\dokumente und einstellungen\XXXXXXXXXX\Anwendungsdaten\Malwarebytes
2009-06-16 12:11 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-16 12:11 . 2009-06-16 12:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-16 12:11 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-16 12:11 . 2009-06-16 12:11 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-16 05:51 . 2009-03-06 14:44 286208 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-06-16 05:51 . 2009-02-09 10:18 399360 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-06-16 05:51 . 2009-02-09 10:18 473088 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-06-16 05:51 . 2009-02-06 16:39 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-06-16 05:51 . 2005-07-26 04:39 60416 -c----w- c:\windows\system32\dllcache\colbact.dll
2009-06-16 05:51 . 2009-02-09 10:18 677888 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-06-16 05:51 . 2009-02-09 10:18 740352 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-06-16 05:51 . 2009-02-09 10:18 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-06-16 05:51 . 2009-02-09 10:04 111104 -c----w- c:\windows\system32\dllcache\services.exe
2009-06-16 05:51 . 2008-04-21 21:25 217600 -c----w- c:\windows\system32\dllcache\wordpad.exe
2009-06-15 14:36 . 2009-06-15 16:38 -------- d-----w- c:\dokumente und einstellungen\XXXXXXXXX\Anwendungsdaten\Download Manager
2009-06-14 12:57 . 2009-06-14 12:57 -------- d-----w- c:\windows\MSSecurityNS
2009-06-14 12:57 . 2009-06-14 12:57 -------- d-----w- c:\windows\MSSecurityNi
2009-06-14 12:57 . 2009-06-14 12:57 -------- d-----w- c:\programme\Nik Software
2009-06-13 10:08 . 2009-06-13 10:36 -------- d-----w- c:\programme\Kolor
2009-05-30 08:10 . 2009-05-30 08:13 -------- d-----w- c:\dokumente und einstellungen\XXXXXXXXX\Anwendungsdaten\FUJIFILM
2009-05-30 08:09 . 2006-07-12 12:39 208896 ----a-w- c:\windows\system32\FFRafShellEx.dll
2009-05-30 08:09 . 2004-07-24 19:28 155648 ----a-w- c:\windows\system32\FFRAFLIB.DLL
2009-05-30 08:09 . 2003-09-03 14:45 274432 ----a-w- c:\windows\system32\FFTIFF16.dll
2009-05-30 08:09 . 2009-06-08 15:18 -------- d-----w- c:\programme\FinePixViewer
2009-05-30 08:08 . 2001-11-25 20:11 81924 ------w- c:\windows\system32\drivers\VC4CB104.SYS
2009-05-30 08:08 . 2009-05-30 08:08 -------- d-----w- c:\programme\REGSHAVE
2009-05-30 08:08 . 2002-06-25 08:06 45056 ------w- c:\windows\system32\FINFCOPY.dll
2009-05-30 08:08 . 2002-02-27 20:27 65536 ------w- c:\windows\system32\FINFCHECK.dll
2009-05-30 08:08 . 2002-02-13 19:00 45056 ------w- c:\windows\system32\FCLKBTN.DLL
2009-05-30 08:08 . 2002-02-06 01:33 69632 ------w- c:\windows\system32\FREGSHEX.DLL
2009-05-30 07:47 . 2001-08-18 02:54 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-05-30 07:47 . 2004-08-03 22:57 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-05-26 05:01 . 2009-05-26 05:01 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-05-25 20:58 . 2009-05-25 20:58 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-05-25 20:58 . 2009-05-25 21:09 -------- d-----w- c:\dokumente und einstellungen\XXXXXXXX\Lokale Einstellungen\Anwendungsdaten\Google
2009-05-25 20:56 . 2009-05-25 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-16 12:23 . 2008-02-08 10:18 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-06-16 12:23 . 2008-07-02 15:01 168864 ----a-w- c:\dokumente und einstellungen\XXXXXXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\v9qiu6n8.firefox 2 blank\FlashGot.exe
2009-06-16 12:23 . 2008-07-02 14:22 -------- d-----w- c:\programme\Mozilla Firefox 2
2009-06-16 09:39 . 2008-02-08 16:21 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-06-16 09:33 . 2008-07-02 11:38 -------- d-----w- c:\programme\PicLensIE
2009-06-16 06:23 . 2001-08-23 12:00 80108 ----a-w- c:\windows\system32\perfc007.dat
2009-06-16 06:23 . 2001-08-23 12:00 448800 ----a-w- c:\windows\system32\perfh007.dat
2009-06-16 04:49 . 2008-08-07 09:32 -------- d-----w- c:\dokumente und einstellungen\XXXXXXX\Anwendungsdaten\TVgenial
2009-06-16 04:42 . 2008-02-08 18:43 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-06-16 04:39 . 2008-02-07 20:30 -------- d-----w- c:\programme\SpeedFan
2009-06-12 17:51 . 2008-02-08 16:50 -------- d-----w- c:\programme\Guitar Pro 5
2009-06-06 19:49 . 2008-02-08 16:58 -------- d-----w- c:\programme\ThumbsPlus 7x deutsch
2009-05-30 08:10 . 2008-02-07 18:48 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-27 12:24 . 2008-02-09 11:10 -------- d-----w- c:\programme\Gemeinsame Dateien\ACD Systems
2009-05-21 22:44 . 2008-02-08 19:43 -------- d-----w- c:\programme\FlashGet
2009-05-21 06:06 . 2008-08-07 09:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVgenial
2009-05-21 06:06 . 2008-08-07 09:32 -------- d-----w- c:\programme\TVgenial4
2009-05-18 04:29 . 2008-03-30 05:48 10978407 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-05-12 15:28 . 2008-07-26 12:20 -------- d-----w- c:\dokumente und einstellungen\XXXXXXXXX\Anwendungsdaten\gtk-2.0
2009-05-12 15:26 . 2008-07-26 12:20 -------- d-----w- c:\programme\Avidemux 2.4
2009-05-12 15:14 . 2009-05-12 15:14 -------- d-----w- c:\programme\AviSynth 2.5
2009-05-12 13:43 . 2009-05-12 13:43 -------- d-----w- c:\programme\Combined Community Codec Pack
2009-05-12 13:34 . 2008-07-26 11:57 -------- d-----w- c:\programme\MKVtoolnix
2009-05-07 15:42 . 2001-08-23 12:00 346624 ----a-w- c:\windows\system32\localspl.dll
2009-05-07 12:26 . 2009-05-07 12:16 -------- d-----w- c:\programme\Fx Windows Media Indexer
2009-05-07 12:23 . 2009-05-07 12:23 -------- d-----w- c:\programme\Windows Media-Komponenten
2009-05-06 22:08 . 2008-02-09 11:33 -------- d-----w- c:\dokumente und einstellungen\XXXXXXXX\Anwendungsdaten\Zoom Player
2009-05-06 22:00 . 2008-08-22 13:51 -------- d-----w- c:\programme\AsfTools 3.1
2009-05-06 21:23 . 2009-05-06 21:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2009-05-06 21:20 . 2008-02-09 17:06 -------- d-----w- c:\programme\ATI Technologies
2009-04-29 17:35 . 2008-02-17 14:45 -------- d-----w- c:\dokumente und einstellungen\XXXXXXXXX\Anwendungsdaten\OpenOffice.org2
2009-04-29 17:35 . 2008-03-06 21:05 1 ----a-w- c:\dokumente und einstellungen\XXXXXXXXXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-04-29 04:51 . 2008-02-07 17:50 665088 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:51 . 2008-02-07 18:18 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-28 05:31 . 2009-03-19 21:11 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-04-28 05:31 . 2009-03-19 21:11 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-04-19 20:06 . 2001-08-23 12:00 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 15:11 . 2008-02-07 17:50 584192 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-10 17:59 . 2008-02-07 18:22 221792 ----a-w- c:\dokumente und einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-07 17:38 . 2009-04-07 17:41 3003392 ----a-w- c:\windows\Internet Logs\xDB8.tmp
2009-04-07 17:38 . 2009-04-07 17:41 6146048 ----a-w- c:\windows\Internet Logs\xDB9.tmp
2004-12-31 16:33 . 2008-02-07 20:01 94208 ----a-w- c:\programme\mozilla firefox\components\FoxyTunes.dll
2006-05-03 09:06 . 2008-02-08 19:48 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-02-08 19:48 31232 --sh--r- c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-06-20 968696]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LogonStudio"="c:\programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-01-30 438272]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2003-12-17 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= f:\theme\site\theme2.htm
FriendlyName=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ExifLauncher2.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ExifLauncher2.lnk
backup=c:\windows\pss\ExifLauncher2.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo Scheduler server.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo Scheduler server.lnk
backup=c:\windows\pss\InterVideo Scheduler server.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SDL Trados 2007 Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SDL Trados 2007 Speed Launcher.lnk
backup=c:\windows\pss\SDL Trados 2007 Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^T-DSL Support Center.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\T-DSL Support Center.lnk
backup=c:\windows\pss\T-DSL Support Center.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XXXXXXX^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\XXXXXXXXX\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XXXXXXXX^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=c:\dokumente und einstellungen\XXXXXXX\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDvrUp_date.exe"=
"f:\\Programme\\PPMate\\ppmate.exe"=
"f:\\Programme\\PPMate\\ppmnet.exe"=

R0 OODrvled;OODrvled;c:\windows\system32\drivers\OODrvled.sys [22.09.2004 14:57 15488]
R1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10.11.2006 15:08 24064]
R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [13.01.2006 15:00 15872]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 23:11 108289]
R2 BT848;Conexant's BtPCI WDM Video Capture;c:\windows\system32\drivers\BT848.sys [24.03.2008 18:37 371349]
R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [08.02.2008 21:08 2368]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [30.01.2008 04:52 106496]
R3 3xHybrid;Cinergy 400 TV service;c:\windows\system32\drivers\3xHybrid.sys [04.12.2006 17:13 1121536]
S1 atitray;atitray;\??\c:\programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys --> c:\programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [?]
S2 gupdate1c9dd7b942eff96;Google Update Service (gupdate1c9dd7b942eff96);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?]
S2 NewServiceInstall1;NewServiceInstall1;"f:\programme\SDL International\T2007\TT\Lng\Dialogs1031.lng" --> f:\programme\SDL International\T2007\TT\Lng\Dialogs1031.lng [?]
S3 HssTrayService;Hotspot Shield Tray Service;c:\programme\Hotspot Shield\bin\HssTrayService.exe [27.08.2008 20:14 30168]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [14.11.2007 21:40 34448]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = 127.0.0.1
IE: &Alles mit FlashGet laden - c:\progra~1\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\progra~1\FlashGet\jc_link.htm
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-16 14:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\NewServiceInstall1]
"ImagePath"="\"f:\programme\SDL International\T2007\TT\Lng\Dialogs1031.lng\""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1132)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1188)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(2940)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCI10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\1031\OWCI11.DLL
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\System32\shdoclc.dll
c:\windows\system32\Macromed\Flash\Flash10b.ocx
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\windows\system32\oodag.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\CF4259.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-16 14:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-16 12:36

Vor Suchlauf: 15 Verzeichnis(se), 11.840.753.664 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 11.729.641.472 Bytes frei

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
260
-----------------------------

#4 Mache nochmal einen Kontrollscan mit AVP/KAV http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ sollte das keine Funde mehr anzeigen, dann aktualisiere dein Windows via www.windowsupdate.com
__________
MfG Ralf
SEO-Spam Hunter

#5 Weder AVP noch Antivir brachten weitere Funde.

#6 Dann erstelle bitte noch ein neues Hijackthis log zur Kontrolle...
__________
MfG Ralf
SEO-Spam Hunter

#7 Gerne:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:03, on 16.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\explorer.exe
C:\Programme\SpeedFan\speedfan.exe
F:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)
O2 - BHO: Cooliris Plug-In for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Launch Cooliris - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Programme\PicLensIE\cooliris.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\DOKUME~1\marco\LOKALE~1\Temp\RarSFX0\Macromedia Licensing.exe (file missing)
O23 - Service: NewServiceInstall1 - Unknown owner - F:\Programme\SDL.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
O24 - Desktop Component 1: (no name) - F:\theme\site\theme2.htm

--
End of file - 8596 bytes

#8 Hake folgendes in Hijackthis an und druecke fix checked:

O2 - BHO: Cooliris Plug-In for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll (file missing)
O23 - Service: Google Update Service (gupdate1c9dd7b942eff96) (gupdate1c9dd7b942eff96) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\DOKUME~1\marco\LOKALE~1\Temp\RarSFX0\Macromedia Licensing.exe (file missing)
O23 - Service: NewServiceInstall1 - Unknown owner - F:\Programme\SDL.exe (file missing)

Starte neu, aktualisiere bitte dein windows via www.windowsupdate.com und installiere alle wichtigen Updates. Wiederhole das so lange, bis dir keine mehr angeboten werden...

Danach solltest du ein Image der Systempartition erstellen. Ich hoffe du hast noch Acronis True image...
__________
MfG Ralf
SEO-Spam Hunter