Firefox öffnet andere Seiten; explorer.exe muß geschlossen werden

#0
19.07.2009, 14:40
...neu hier

Beiträge: 10
#1 Hallo!
Ich habe seit einigen Tagen ein dickes Problem und hoffe das ihr mir beim Beseitigen helfen könnt.
Ich muß zugeben, daß ich mich in letzter Zeit mehrmals auf einigen dubiosen Seiten herumgetrieben habe, ohne zu ahnen, was das für Probleme mit sich bringen kann. Dabei hat sich auf meinem Rechner ein Programm installiert (Usenext_Account_Generatorv1.2..exe) und dieses hat sich eigenständig in meine Registry eingebunden.
Ich habe auch schon mehrere versuche unternommen, dieses Programm mittels diverser Programme wie z.B. Ad-Aware, Spybot oder auch Malwarebytes zu löschen bzw. erstmal zu lokalisieren. Alle programme haben mir auch einige Schädlinge angezeigt, jedoch komplett gelöscht hat es keines können.
Von daher bin ich mit meinem Know-How echt am Ende - und da ihr mir hier schoneinmal habt helfen können, bitte ich Euch nun um Rat. Meine HJT-Logfile, sowie den Scan der Mbam hefte ich Euch mal mit dran.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:37:58, on 19.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\RocketDock\RocketDock\RocketDock.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\RobLong\Desktop\HiJackThis.exe
D:\Programme\Skype\Toolbars\Shared\SkypeNames.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKCU\..\Run: [USB Safely Remove] D:\Programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe
O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - D:\Programme\USB Safely Remove\USBSRService.exe (file missing)

--
End of file - 6608 bytes


Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2462
Windows 5.1.2600 Service Pack 3

19.07.2009 14:23:04
mbam-log-2009-07-19 (14-22-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85553
Laufzeit: 1 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINXP\system32\nnnkKdbc.dll (Backdoor.Agent) -> No action taken.


Falls noch etwas gebraucht wird, bitte mitteilen!

Vielen Dank,
cpk

Seitenanfang Seitenende
19.07.2009, 16:49
Moderator

Beiträge: 7802
#2 Erstelle bitte noch ein Combofix Report
http://board.protecus.de/t23187.htm#301850
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.07.2009, 17:59
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo raman,

hier ist die gewünschte ComboFix-Log:

ComboFix 09-07-19.01 - RobLong 19.07.2009 17:27.1.2 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\RobLong\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winxp\regedit.com
c:\winxp\system32\afedeedd7_g.dll
c:\winxp\system32\drivers\SKYNETgescuwom.sys
c:\winxp\system32\ic32.dll
c:\winxp\system32\SKYNETapovvrpu.dat
c:\winxp\system32\SKYNETeumtaqcy.dll
c:\winxp\system32\SKYNETimxsxqnn.dat
c:\winxp\system32\SKYNETvvqaefii.dll
c:\winxp\system32\taskmgr.com
c:\winxp\system32\wk32.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETateyiidf


((((((((((((((((((((((( Dateien erstellt von 2009-06-19 bis 2009-07-19 ))))))))))))))))))))))))))))))
.

2009-07-19 11:51 . 2009-07-19 11:51 -------- d-----w- C:\rsit
2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Malwarebytes
2009-07-19 09:44 . 2009-07-13 09:06 38160 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-19 09:44 . 2009-07-13 09:06 19096 ----a-w- c:\winxp\system32\drivers\mbam.sys
2009-07-19 08:22 . 2009-07-19 10:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-19 08:22 . 2009-07-19 08:22 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-19 08:15 . 2009-07-03 14:49 15688 ----a-w- c:\winxp\system32\lsdelete.exe
2009-07-19 08:10 . 2009-07-03 14:49 64160 ----a-w- c:\winxp\system32\drivers\Lbd.sys
2009-07-19 08:10 . 2009-07-19 08:10 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-19 08:10 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-07-19 08:10 . 2009-07-19 08:10 -------- d-----w- c:\programme\Lavasoft
2009-07-19 08:10 . 2009-07-19 08:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-19 07:17 . 2009-07-19 07:17 -------- d---a-w- c:\winxp\system32\runouce.exe
2009-07-19 07:14 . 2009-07-19 07:14 626688 ----a-w- c:\winxp\system32\msvcr80.dll
2009-07-19 07:14 . 2009-07-19 07:14 548864 ----a-w- c:\winxp\system32\msvcp80.dll
2009-07-19 07:14 . 2009-07-19 07:14 28672 ----a-w- c:\winxp\system32\eEmpty.exe
2009-07-19 07:14 . 2009-07-19 07:14 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2009-07-19 07:14 . 2009-07-19 07:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-07-19 07:12 . 2008-04-14 09:00 153600 ----a-w- c:\winxp\R.COM
2009-07-19 07:12 . 2008-04-14 09:00 140800 ----a-w- c:\winxp\system32\T.COM
2009-07-17 12:31 . 2009-07-17 12:31 -------- d--h--w- c:\winxp\PIF
2009-07-16 11:33 . 2009-07-16 11:34 -------- d-----w- c:\programme\Dolby
2009-07-16 11:33 . 1999-04-05 06:18 86016 ----a-w- c:\winxp\unvise32.exe
2009-07-16 11:29 . 2009-07-16 11:32 -------- d-----w- c:\programme\AVSociety
2009-07-16 05:10 . 2009-07-16 05:10 9216 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Events.dll
2009-07-16 05:10 . 2009-07-16 05:10 7680 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Talk.dll
2009-07-16 05:10 . 2009-07-16 05:10 2048 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Toolkit.dll
2009-07-16 05:10 . 2009-07-16 05:10 10240 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Buddy.dll
2009-07-15 23:29 . 2003-03-18 16:50 1060864 ----a-w- c:\winxp\system32\mfc71.dll
2009-07-15 23:29 . 2003-03-18 16:42 1047552 ----a-w- c:\winxp\system32\mfc71u.dll
2009-07-15 22:47 . 2009-07-19 12:20 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Intermedia Software
2009-07-15 22:42 . 2003-04-18 11:59 44544 ----a-w- c:\winxp\system32\msxml4a.dll
2009-07-15 22:40 . 2006-06-29 08:37 14048 ------w- c:\winxp\system32\spmsg2.dll
2009-07-15 22:39 . 2009-07-15 22:39 156440 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-15 22:39 . 2009-07-15 22:40 -------- d-----w- c:\winxp\system32\XPSViewer
2009-07-15 22:39 . 2009-07-15 22:39 -------- d-----w- c:\programme\Reference Assemblies
2009-07-15 22:38 . 2008-07-06 12:06 89088 -c----w- c:\winxp\system32\dllcache\filterpipelineprintproc.dll
2009-07-15 22:38 . 2008-07-06 12:06 575488 -c----w- c:\winxp\system32\dllcache\xpsshhdr.dll
2009-07-15 22:38 . 2008-07-06 12:06 575488 ------w- c:\winxp\system32\xpsshhdr.dll
2009-07-15 22:38 . 2008-07-06 12:06 1676288 -c----w- c:\winxp\system32\dllcache\xpssvcs.dll
2009-07-15 22:38 . 2008-07-06 12:06 1676288 ------w- c:\winxp\system32\xpssvcs.dll
2009-07-15 22:38 . 2008-07-06 12:06 117760 ------w- c:\winxp\system32\prntvpt.dll
2009-07-15 22:38 . 2008-07-06 10:50 597504 -c----w- c:\winxp\system32\dllcache\printfilterpipelinesvc.exe
2009-07-15 18:13 . 2009-07-15 18:37 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian
2009-07-15 14:11 . 2009-07-15 14:11 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\DFX
2009-07-15 14:09 . 2009-07-15 14:09 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-07-15 14:09 . 2009-07-15 14:09 -------- d-----w- c:\dokumente und einstellungen\Administrator
2009-07-15 14:09 . 2009-07-15 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DFX
2009-07-15 14:09 . 2009-07-15 14:09 -------- d-----w- c:\programme\Gemeinsame Dateien\DFX
2009-07-15 14:08 . 2009-07-15 14:08 356352 ----a-w- c:\winxp\eSellerateEngine.dll
2009-07-14 22:21 . 2009-07-15 17:13 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\FreeTV
2009-07-14 21:59 . 2009-07-14 22:00 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Deployment
2009-07-14 21:47 . 2009-07-14 21:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision
2009-07-14 13:24 . 2009-07-14 13:24 -------- d-----w- c:\programme\FreeRIP3
2009-07-14 10:26 . 2009-07-14 10:26 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Activision
2009-07-11 21:13 . 2008-02-17 12:46 90112 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
2009-07-11 21:13 . 2007-12-28 06:45 172032 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe
2009-07-11 21:13 . 2007-10-07 21:27 307200 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe
2009-07-11 18:15 . 2009-07-16 20:38 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\gtk-2.0
2009-07-11 18:15 . 2009-07-15 10:34 -------- d-----w- c:\dokumente und einstellungen\RobLong\.thumbnails
2009-07-11 18:15 . 2009-07-17 10:26 -------- d-----w- c:\dokumente und einstellungen\RobLong\.gimp-2.6
2009-07-11 18:15 . 2009-07-11 18:15 -------- d-----w- c:\dokumente und einstellungen\RobLong\.gegl-0.0
2009-07-11 18:08 . 2009-07-11 18:08 55368 ---ha-w- c:\winxp\system32\mlfcache.dat
2009-07-11 18:07 . 2009-07-11 18:13 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-11 18:07 . 2009-07-11 18:07 -------- d-----w- c:\programme\Google
2009-07-10 22:22 . 2009-07-16 11:29 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Winamp
2009-07-10 21:03 . 2009-07-10 22:20 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Spider Player
2009-07-10 20:51 . 2003-12-04 15:13 77824 ----a-w- c:\winxp\system32\ospitray.exe
2009-07-10 20:28 . 2009-07-10 20:31 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\MusicBee
2009-07-10 20:28 . 2009-07-10 20:28 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Steven_Mayall
2009-07-10 17:37 . 2009-07-10 17:37 -------- d-----w- c:\programme\TweakNow RegCleaner Professional
2009-07-10 17:37 . 2009-07-10 17:37 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\TweakNow RegCleaner Professional
2009-07-10 17:17 . 2009-07-10 17:28 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\mIRC
2009-07-10 14:42 . 2009-07-10 14:42 -------- d--h--w- c:\winxp\system32\GroupPolicy
2009-07-09 19:22 . 2009-07-09 19:23 -------- d-----w- c:\programme\FlashFXP
2009-07-09 19:22 . 2009-07-09 19:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2009-07-09 16:19 . 2009-07-09 16:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-07-08 15:41 . 2009-07-08 15:41 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\USBSafelyRemove
2009-07-08 15:40 . 2009-07-08 15:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\USBSRService
2009-07-07 18:17 . 2009-07-07 18:28 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\TweakNow RegCleaner
2009-07-07 18:09 . 2009-07-07 18:09 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\GlarySoft
2009-07-07 17:32 . 2009-07-07 17:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-07-06 16:01 . 2009-07-06 16:01 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\HP
2009-07-06 15:56 . 2009-07-06 15:56 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\HP
2009-07-06 15:56 . 2009-07-06 15:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG
2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\programme\Gemeinsame Dateien\HP
2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\programme\Hewlett-Packard
2009-07-06 15:49 . 2009-07-06 15:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Hewlett-Packard
2009-07-06 15:46 . 2009-07-06 15:55 188173 ----a-w- c:\winxp\hpoins28.dat
2009-07-06 15:46 . 2008-06-09 00:06 752 ------w- c:\winxp\hpomdl28.dat
2009-07-05 04:41 . 2009-07-05 04:41 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Ashampoo
2009-07-03 18:47 . 2002-01-05 11:07 344064 ----a-w- c:\winxp\system32\msvcr70.dll
2009-07-03 18:47 . 2009-07-06 09:07 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-07-03 18:46 . 2009-07-03 18:46 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\ashampoo
2009-07-03 18:46 . 2009-07-03 18:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo
2009-07-01 11:31 . 2009-07-06 09:13 -------- d-----w- c:\programme\Activision
2009-07-01 11:24 . 2009-07-01 11:24 43520 ----a-w- c:\winxp\system32\CmdLineExt03.dll
2009-07-01 10:47 . 2009-07-01 10:47 -------- d-----w- c:\winxp\45235788142C44BE8A4DDDE9A84492E5.TMP
2009-07-01 08:36 . 2009-07-01 08:36 -------- d-----w- c:\winxp\system32\URTTEMP
2009-07-01 07:09 . 2009-07-01 07:09 -------- d--h--r- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\SecuROM
2009-06-29 19:03 . 2009-06-29 19:03 -------- d-----w- c:\winxp\E4D153288C89484BB9AAF5BE9EA6D01C.TMP
2009-06-29 18:33 . 2009-07-14 10:23 22328 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\PnkBstrK.sys
2009-06-29 18:33 . 2009-07-14 10:26 111928 ----a-w- c:\winxp\system32\PnkBstrB.exe
2009-06-29 18:33 . 2009-07-14 10:22 66872 ----a-w- c:\winxp\system32\PnkBstrA.exe
2009-06-29 18:33 . 2009-07-14 10:22 682280 ----a-w- c:\winxp\system32\pbsvc.exe
2009-06-29 18:33 . 2009-07-19 12:55 -------- d-----w- c:\winxp\system32\LogFiles
2009-06-29 18:29 . 2009-06-29 18:29 -------- d-sh--w- c:\winxp\ftpcache
2009-06-29 16:46 . 2009-06-29 16:56 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\ZattooPlayer
2009-06-29 16:46 . 2009-06-29 17:16 -------- d-----w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\Zattoo
2009-06-29 14:07 . 2009-06-30 18:06 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\dvdcss
2009-06-29 13:56 . 2009-06-29 13:56 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\TeraCopy
2009-06-29 13:56 . 2009-06-29 13:56 -------- d-----w- c:\programme\TeraCopy
2009-06-28 05:00 . 2009-06-29 13:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-06-27 06:56 . 2009-07-14 17:02 -------- d-----w- c:\programme\HP
2009-06-27 06:55 . 2008-01-24 21:22 16496 ----a-r- c:\winxp\system32\drivers\HPZipr12.sys
2009-06-27 06:55 . 2008-01-24 21:22 49920 ----a-r- c:\winxp\system32\drivers\HPZid412.sys
2009-06-27 06:55 . 2009-06-27 06:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-06-27 06:55 . 2008-01-24 21:23 271704 ----a-r- c:\winxp\system32\hpzids01.dll
2009-06-27 06:55 . 2007-10-20 13:55 118272 ----a-w- c:\winxp\system32\hpz3l5mu.dll
2009-06-27 06:55 . 2008-01-24 21:22 21568 ----a-r- c:\winxp\system32\drivers\HPZius12.sys
2009-06-27 06:54 . 2008-01-24 21:22 309760 ----a-r- c:\winxp\system32\difxapi.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-16 08:02 . 2009-06-23 19:23 -------- d-----w- c:\programme\Windows Media Connect 2
2009-07-16 07:45 . 2009-06-23 19:31 66552 ----a-w- c:\dokumente und einstellungen\RobLong\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-15 22:39 . 2008-04-14 09:00 85526 ----a-w- c:\winxp\system32\perfc007.dat
2009-07-15 22:39 . 2008-04-14 09:00 462316 ----a-w- c:\winxp\system32\perfh007.dat
2009-07-14 11:03 . 2009-06-23 19:51 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-01 10:47 . 2009-06-23 17:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-06-26 14:01 . 2009-06-23 19:51 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-26 13:59 . 2009-06-23 19:25 86315 ----a-w- c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2009-06-24 09:47 . 2009-06-23 18:44 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-06-23 19:58 . 2009-06-23 19:58 -------- d-----w- c:\programme\Intel
2009-06-23 19:51 . 2009-06-23 19:51 -------- d-----w- c:\programme\ASUS
2009-06-23 19:27 . 2009-06-23 19:27 -------- d-----w- c:\programme\microsoft frontpage
2009-06-23 19:24 . 2009-06-23 19:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-06-23 19:23 . 2009-06-23 19:23 21740 ----a-w- c:\winxp\system32\emptyregdb.dat
2009-06-23 18:54 . 2009-06-23 18:54 -------- d-----w- c:\programme\xp-AntiSpy
2009-06-23 18:45 . 2009-06-23 18:42 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\DAEMON Tools Lite
2009-06-23 18:44 . 2009-06-23 18:44 0 ----a-w- c:\winxp\nsreg.dat
2009-06-23 18:44 . 2009-06-23 18:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-06-23 18:44 . 2009-06-23 18:44 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-06-23 18:42 . 2009-06-23 18:42 721904 ----a-w- c:\winxp\system32\drivers\sptd.sys
2009-06-23 18:30 . 2009-06-23 18:30 -------- d-----w- c:\programme\MozBackup
2009-06-23 18:29 . 2009-06-23 18:29 -------- d-----w- c:\programme\Foxit Software
2009-06-23 18:29 . 2009-06-23 18:29 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Foxit
2009-06-23 18:27 . 2009-06-23 18:27 -------- d-----w- c:\programme\VistaCodecPack
2009-06-23 18:27 . 2009-06-23 18:27 -------- d-----w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\VistaCodecs
2009-06-23 18:27 . 2009-06-23 18:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VistaCodecs
2009-06-23 18:25 . 2009-06-23 18:25 -------- d-----w- c:\programme\Avira
2009-06-23 18:09 . 2009-06-23 18:09 -------- d-----w- c:\programme\MSXML 4.0
2009-06-23 17:45 . 2009-06-23 17:45 -------- d-----w- c:\programme\AGEIA Technologies
2009-06-23 17:40 . 2009-06-23 17:40 -------- d-----w- c:\programme\Realtek
2009-06-16 13:45 . 2009-06-23 17:40 5095936 ----a-w- c:\winxp\system32\drivers\RtkHDAud.sys
2009-06-16 07:35 . 2009-06-23 19:58 53248 ----a-w- c:\winxp\system32\CSVer.dll
2009-06-15 19:09 . 2009-06-15 19:09 1035264 ----a-w- c:\winxp\system32\VSFilter.dll
2009-06-12 06:40 . 2009-06-23 17:40 17887232 ----a-w- c:\winxp\RTHDCPL.EXE
2009-06-10 14:03 . 2009-06-23 17:45 457248 ----a-w- c:\winxp\system32\nvudisp.exe
2009-06-10 14:03 . 2009-06-10 14:03 9998336 ----a-w- c:\winxp\system32\nvoglnt.dll
2009-06-10 14:03 . 2009-06-10 14:03 815104 ----a-w- c:\winxp\system32\nvapi.dll
2009-06-10 14:03 . 2009-06-10 14:03 8087712 ----a-w- c:\winxp\system32\drivers\nv4_mini.sys
2009-06-10 14:03 . 2009-06-10 14:03 671744 ----a-w- c:\winxp\system32\nvcuvid.dll
2009-06-10 14:03 . 2009-06-10 14:03 5908608 ----a-w- c:\winxp\system32\nv4_disp.dll
2009-06-10 14:03 . 2009-06-10 14:03 1720320 ----a-w- c:\winxp\system32\nvcuda.dll
2009-06-10 14:03 . 2009-06-10 14:03 1580550 ----a-w- c:\winxp\system32\nvdata.bin
2009-06-10 14:03 . 2009-06-10 14:03 151552 ----a-w- c:\winxp\system32\nvcodins.dll
2009-06-10 14:03 . 2009-06-10 14:03 151552 ----a-w- c:\winxp\system32\nvcod.dll
2009-06-10 14:03 . 2009-06-10 14:03 1310720 ----a-w- c:\winxp\system32\nvcuvenc.dll
2009-06-10 03:58 . 2009-06-10 03:58 3510272 ----a-w- c:\winxp\system32\nvgames.dll
2009-06-10 03:58 . 2009-06-10 03:58 5890048 ----a-w- c:\winxp\system32\nvdispsr.dll
2009-06-10 03:58 . 2009-06-10 03:58 4022272 ----a-w- c:\winxp\system32\nvdisps.dll
2009-06-10 03:58 . 2009-06-10 03:58 86016 ----a-w- c:\winxp\system32\nvmctray.dll
2009-06-10 03:58 . 2009-06-10 03:58 168004 ----a-w- c:\winxp\system32\nvsvc32.exe
2009-06-10 03:58 . 2009-06-10 03:58 143360 ----a-w- c:\winxp\system32\nvcolor.exe
2009-06-10 03:58 . 2009-06-10 03:58 13758464 ----a-w- c:\winxp\system32\nvcpl.dll
2009-06-10 03:58 . 2009-06-10 03:58 229376 ----a-w- c:\winxp\system32\nvmccs.dll
2009-06-09 10:13 . 2009-06-23 17:40 37376 ----a-w- c:\winxp\system32\RtkCoInstXP.dll
2009-06-04 12:09 . 2009-06-23 17:45 457248 ----a-w- c:\winxp\system32\NVUNINST.EXE
2009-06-03 09:32 . 2009-06-23 17:40 1482752 ----a-w- c:\winxp\RtlUpd.exe
2009-06-01 09:41 . 2009-06-01 09:41 9728 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Buddy.dll
2009-06-01 09:41 . 2009-06-01 09:41 8704 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Events.dll
2009-06-01 09:41 . 2009-06-01 09:41 7168 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Talk.dll
2009-06-01 09:41 . 2009-06-01 09:41 6656 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Trillian.dll
2009-06-01 09:41 . 2009-06-01 09:41 2048 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DA\Toolkit.dll
2009-06-01 09:41 . 2009-06-01 09:41 7168 ----a-w- c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Trillian\languages\DE\Trillian.dll
2009-05-29 12:22 . 2009-05-29 12:22 204800 ----a-w- c:\winxp\system32\xvidvfw.dll
2009-05-29 12:17 . 2009-05-29 12:17 881664 ----a-w- c:\winxp\system32\xvidcore.dll
2009-05-29 00:41 . 2009-05-29 00:41 85504 ----a-w- c:\winxp\system32\ff_vfw.dll
2009-05-15 03:20 . 2009-05-15 03:20 2373416 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero\Nero 9\DrWeb\DrWeb32.dll
2009-05-07 15:32 . 2008-04-14 09:00 348160 ----a-w- c:\winxp\system32\localspl.dll
2009-04-29 04:42 . 2008-12-20 21:31 827392 ----a-w- c:\winxp\system32\wininet.dll
2009-04-29 04:41 . 2008-12-10 13:31 78336 ----a-w- c:\winxp\system32\ieencode.dll
2009-04-28 05:25 . 2009-04-28 05:25 70936 ----a-w- c:\winxp\system32\PhysXLoader.dll
2009-07-17 12:56 . 2009-07-02 14:07 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
.

------- Sigcheck -------

[-] 2008-12-10 13:31 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"RocketDock"="d:\programme\RocketDock\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
"EVEREST AutoStart"="c:\programme\Lavalys\EVEREST Ultimate Edition\everest.exe" [2009-03-29 2363488]
"USB Safely Remove"="d:\programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe" [2009-04-16 1148688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2009-06-10 86016]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2009-06-10 13758464]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\winxp\RTHDCPL.EXE [2009-06-12 17887232]
"nwiz"="nwiz.exe" - c:\winxp\system32\nwiz.exe [2009-06-10 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 19:04 24576 ----a-w- d:\programme\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\winxp\system32\wbsys.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"hpqSRMon"=c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"WinampAgent"=d:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"e:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"e:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"e:\\Spiele\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\WINXP\\system32\\PnkBstrA.exe"=
"c:\\WINXP\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"e:\\Spiele\\CoJBiBGame_x86.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"e:\\Spiele\\CoD5-WaW\\CoDWaW.exe"=
"e:\\Spiele\\CoD5-WaW\\CoDWaWmp.exe"=

R0 Lbd;Lbd;c:\winxp\system32\drivers\Lbd.sys [19.07.2009 12:40 64160]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.06.2009 18:33 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 19:19 1029456]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\winxp\system32\TUProgSt.exe [26.06.2009 14:57 604416]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\winxp\system32\drivers\l1e51x86.sys [24.06.2009 00:26 36864]
S2 USBSafelyRemoveService;USB Safely Remove Assistant;d:\programme\USB Safely Remove\USBSRService.exe --> d:\programme\USB Safely Remove\USBSRService.exe [?]
S3 Ambfilt;Ambfilt;c:\winxp\system32\drivers\Ambfilt.sys [23.06.2009 22:10 1684736]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [24.06.2009 18:26 26224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-07-19 c:\winxp\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp 2009\OneClickStarter.exe [2009-04-27 10:09]

2009-07-19 c:\winxp\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{8D2223A2-B3C6-4e32-B096-CDD11F628C60} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - component: c:\dokumente und einstellungen\RobLong\Anwendungsdaten\Mozilla\Firefox\Profiles\abjjngf2.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\VistaCodecPack\rm\browser\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-19 17:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-448539723-1957994488-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:56,fb,a6,60,61,26,35,ba,f7,f4,45,88,e5,b7,4d,e6,66,9b,05,cb,00,b2,66,
8b,ee,8d,7c,d1,19,1f,ad,51,6d,f5,b9,a1,8e,9e,1d,7a,75,74,12,9b,7b,3e,81,f1,\
"??"=hex:42,3a,25,db,84,9a,da,84,75,44,a2,14,4e,60,9b,80

[HKEY_USERS\S-1-5-21-448539723-1957994488-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:7e,e6,57,7d,ea,d7,ef,28,03,f3,52,98,7b,b5,49,17,d8,78,43,14,ca,
c3,14,25,fe,4c,3e,39,70,3d,e4,6d,bd,14,bb,73,42,99,b6,b6,c5,89,f1,b9,29,9d,\
"rkeysecu"=hex:e2,25,04,5f,97,87,9d,97,27,70,57,4c,9b,98,98,a0
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1076)
d:\programme\AlienGUIse\fastload.dll
.
Zeit der Fertigstellung: 2009-07-19 17:34
ComboFix-quarantined-files.txt 2009-07-19 13:03

Vor Suchlauf: 7.536.721.920 Bytes frei
Nach Suchlauf: 7.510.736.896 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

416
Seitenanfang Seitenende
19.07.2009, 18:31
Moderator

Beiträge: 7802
#4 Meldet ein aktualisierte Mbam und Antivir noch Schaedlinge?
Pruefe bitte noch c:\winxp\system32\sfcfiles.dll bei Virustotal und poste den Link zum Ergebniss

Du solltest noch einen Gmer Report erstellen und posten:
Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.07.2009, 19:47
...neu hier

Themenstarter

Beiträge: 10
#5 Hi!
Ja vielen Dank erstmal für die schnelle Hilfe. Hier der Link zu VirusTotal: http://www.virustotal.com/de/analisis/fbc08d7a59eb8b0e26d2b549042b6f690268b583aae98ba4f04ce3b3b7c84c08-1248024785

und jetzt noch der Gmer-Report:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-19 19:44:58
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT B86E6CB6 ZwCreateKey
SSDT B86E6CAC ZwCreateThread
SSDT B86E6CBB ZwDeleteKey
SSDT B86E6CC5 ZwDeleteValueKey
SSDT sprc.sys ZwEnumerateKey [0xB7EC5CA4]
SSDT sprc.sys ZwEnumerateValueKey [0xB7EC6032]
SSDT B86E6CCA ZwLoadKey
SSDT sprc.sys ZwOpenKey [0xB7EA70C0]
SSDT B86E6C98 ZwOpenProcess
SSDT B86E6C9D ZwOpenThread
SSDT sprc.sys ZwQueryKey [0xB7EC610A]
SSDT sprc.sys ZwQueryValueKey [0xB7EC5F8A]
SSDT B86E6CD4 ZwReplaceKey
SSDT B86E6CCF ZwRestoreKey
SSDT B86E6CC0 ZwSetValueKey
SSDT B86E6CA7 ZwTerminateProcess

INT 0x63 ? 8A70BBF8
INT 0x63 ? 8A70BBF8
INT 0x63 ? 8A70BBF8
INT 0x63 ? 8A70BBF8
INT 0x63 ? 8A46DCD8
INT 0x63 ? 8A70BBF8
INT 0x83 ? 8A70BBF8
INT 0x83 ? 8A70BBF8
INT 0x83 ? 8A46DCD8
INT 0x83 ? 8A70BBF8
INT 0x94 ? 8A46DCD8
INT 0x94 ? 8A46DCD8
INT 0x94 ? 8A46DCD8
INT 0x94 ? 8A46DCD8
INT 0xA4 ? 8A46DCD8
INT 0xB4 ? 8A46DCD8

Code \??\C:\DOKUME~1\RobLong\LOKALE~1\Temp\catchme.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

? sprc.sys Das System kann die angegebene Datei nicht finden. !
? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B6E138AC 5 Bytes JMP 8A46D2B8
.text aaf71c2u.SYS B6D78386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text aaf71c2u.SYS B6D783AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aaf71c2u.SYS B6D783C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text aaf71c2u.SYS B6D783C9 1 Byte [30]
.text aaf71c2u.SYS B6D783C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
? C:\DOKUME~1\RobLong\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINXP\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE[3840] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 32605436 C:\Programme\Gemeinsame Dateien\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA8042] sprc.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA813E] sprc.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA80C0] sprc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA8800] sprc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA86D6] sprc.sys
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\aaf71c2u.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\explorer.exe [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2620] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A70A1F8
Device \FileSystem\Fastfat \FatCdrom 89958500
Device \Driver\PCI_PNP2692 \Device\00000041 sprc.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A4681F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A69A1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A69A1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A69A1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A69A1F8
Device \Driver\usbehci \Device\USBPDO-1 8A43C1F8
Device \Driver\usbuhci \Device\USBPDO-2 8A4681F8
Device \Driver\usbuhci \Device\USBPDO-3 8A4681F8
Device \Driver\usbuhci \Device\USBPDO-4 8A4681F8

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\usbuhci \Device\USBPDO-5 8A4681F8
Device \Driver\usbehci \Device\USBPDO-6 8A43C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A70C1F8
Device \Driver\usbuhci \Device\USBPDO-7 8A4681F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A70C1F8
Device \Driver\Cdrom \Device\CdRom0 8A3FE1F8
Device \Driver\Cdrom \Device\CdRom1 8A3FE1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A70C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A70C1F8
Device \Driver\USBSTOR \Device\00000075 89D4C500
Device \Driver\USBSTOR \Device\00000077 89D4C500
Device \Driver\NetBT \Device\NetBt_Wins_Export 8995C500
Device \Driver\NetBT \Device\NetbiosSmb 8995C500
Device \Driver\sptd \Device\286222692 sprc.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{E2D1ACAF-C5C5-4E12-9429-1F72E180B9C0} 8995C500
Device \Driver\usbuhci \Device\USBFDO-0 8A4681F8
Device \Driver\usbuhci \Device\USBFDO-1 8A4681F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89957500
Device \Driver\usbuhci \Device\USBFDO-2 8A4681F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89957500
Device \Driver\usbehci \Device\USBFDO-3 8A43C1F8
Device \Driver\usbuhci \Device\USBFDO-4 8A4681F8
Device \Driver\Ftdisk \Device\FtControl 8A70C1F8
Device \Driver\usbuhci \Device\USBFDO-5 8A4681F8
Device \Driver\usbuhci \Device\USBFDO-6 8A4681F8
Device \Driver\usbehci \Device\USBFDO-7 8A43C1F8
Device \Driver\aaf71c2u \Device\Scsi\aaf71c2u1Port6Path0Target0Lun0 8A3CE1F8
Device \Driver\aaf71c2u \Device\Scsi\aaf71c2u1 8A3CE1F8
Device \FileSystem\Fastfat \Fat 89958500

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 8A3143A0

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x25 0x34 0xF1 0xC0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5E 0x16 0x84 0x93 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7A 0xA4 0x12 0xB6 ...

---- EOF - GMER 1.0.15 ----


Nun hab ich noch zwei Fragen: 1. wie krieg ich diese .exe Datei denn nun gelöscht? jedesmal wenn ich sie löschen will, poppt ein Fenster auf und will mir vermitteln, dass diese Datei zzt noch von einem anderen Programm benutzt wird und daher nicht gelöscht werden kann, de facto hat sie aber 0 Kbyte..

Und 2.: wie kann ich in Zukunft meinen Rechner vor sowas schützen, gibts da spezielle Programme oder Einstellungen, die ich vornehmen kann, damit ich weitgehend verschont bleib von solchen Aggro-Tools?

Vielen Dank,
cpk
Seitenanfang Seitenende
19.07.2009, 20:07
Moderator

Beiträge: 7802
#6 Zu 1. Welche Datei wird genau von wem, wo gemeldet.
zu 2. Es liegt im grossen und ganzen an dem eigenen Verhalten, wie gut man geschuetzt ist.

In deinem Fall kann man ja schon am Dateinamen "riechen", das da irgendwas nicht so ganz passen kann. Im Grunde ist Verstand einschalten, etwas Ueberlegung schon mehr als die 3/4tel Miete.....

Software sollte man nur aus vertrauenswuerdigen Quellen beziehen, P2P gehoert nicht zu dieser Art Quellen. Desweiteren sollte man sich ueberlegen, ob man Software wirklich braucht, bevor man sie installiert.

Deinstalliere bitte noch Combofix via start/ausfuehren und dort
combofix /u
eingeben und enter druecken. Poste bitte auch noch ein neuen Hijackthis Report.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.07.2009, 20:39
...neu hier

Themenstarter

Beiträge: 10
#7 Okay, Combofix ist deinstalliert und hier kommt der HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:40, on 19.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\System32\svchost.exe
D:\Programme\RocketDock\RocketDock\RocketDock.exe
C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\Programme\Trillian\trillian.exe
C:\WINXP\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\RobLong\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKCU\..\Run: [USB Safely Remove] D:\Programme\USBSafelyRemove.4.0.9.779\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\WINXP\system32\wbsys.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe
O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - D:\Programme\USB Safely Remove\USBSRService.exe (file missing)

--
End of file - 5775 bytes

Nochmal kurz zu meinen Fragen: das programm sitzt irgendwo, ich habs als .exe Datei auf dem Desktop und in meinem Download-Ordner. Jedesmal wenn ich versuche, dieses Icon in den Papierkorb zu verschieben kommt eben diese Meldung, wenn es hilft kann ich mal n Screenshot meines Desktops machen, damit man sehen kann was das ist. Ich weiß leider nicht von wem das angezeigt wird, es ist halt da und nur lästig.
Wenn ich zB mit nem Shredder-Programm dieses löschen will, macht es das aber das Icon verschwindet einfach nicht, auch nicht nach mehrmaligem Neustart.. Ich möchte dieses Programm einfach nur vom PC weg haben, gibt es da evtl n anderes Programm oder ne Massnahme, wie ich das wieder wegkriegen kann?

Ach ja: Du meintest im vorherigen Post das ich Daten aufm Rechner hab, die man anhand ihres Namens schon als verdächtig erkennen würde, verrätst Du mir welche das sind? Ich hab ja anfangs schon zugegeben, dass ich mich da ab und an auf dubiosen Seiten rumgetrieben hatte, aber welche sonderbare Software Du meinst, versteh ich nicht..FXP oder die SFT-Loader? Klär mich doch bitte auf..

Der unwissende...capkom

P.S.: Ich hab Dir mal nen Screenshot meines Desktops angehängt, vielleicht kannst Du das jetzt besser analysieren... Die Datei um die es geht ist oben links..
Dieser Beitrag wurde am 19.07.2009 um 20:47 Uhr von capkom editiert.
Seitenanfang Seitenende
19.07.2009, 22:58
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Kennst du USB Safely Remove.4.0.9.779 ?

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche Usenext_Account_Generatorv1.2 und klicke OK
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: