Programmprobleme, Viren, Fehlermeldungen, evt. Trojaner

#16 Wie ich bereits dachte. Rootkits beflügeln dein System. Also setze das System neu auf und ändere sofotr alle Passwörter. Eine Reinigung wäre möglich aber nicht anzuraten.

Es liegt an Dir. Vorallem bei Ebanking solltst Du Neu Aufsetzen.

Gruss Swiss

#17 Falls Du Reinigen willst:

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

drivers to unload:
UACd
hjgruiqrypiodr

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hjgruiqrypiodr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hjgruiqrypiodr

Files to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
C:\WINDOWS\system32\drivers\hjgruiblxrldbx.sys
C:\WINDOWS\system32\drivers\UACspwmrrnvdjkywixll.sys

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Benenne Combofix um und versuche es erneut:
http://www.virus-protect.org/artikel/tools/combofix3.html

Gruss Swiss

#18 So, habe Combofix umbenannt und durchlaufen lassen, nach dem Neustart hat sich schon einiges verändert und der PC läuft wieder besser. Die CD-Rom Laufwerke sind wieder so wie vorher...

Malewarebytes hat dann auch endlich geklappt, auch ohne Umbenennung.
Die Logs von Combofix und Malewarebytes hab ich hier gepostet.

Avenger habe ich noch nicht geladen, habe leider nicht gefunden, wo ich das runterladen kann!?

Wenn ich jetzt den PC neustarte kommt immer noch dieses Systemkonfigurations-Programm, kann das noch irgendwie verschwinden, weil ich ja nicht jedes Mal Änderungen gemacht habe...


ComboFix 09-08-01.09 - Jens 04.08.2009 0:55.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.581 [GMT 2:00]
ausgeführt von:: d:\programme\Virenbekämpfung\Nutella.exe
Benutzte Befehlsschalter :: d:\programme\Virenbekämpfung\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Pro Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"c:\dokumente und einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a19.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a19.exe

c:\windows\system32\grpconv.exe fehlte
Kopie von - c:\windows\ServicePackFiles\i386\grpconv.exe wurde wiederhergestellt

c:\windows\system32\proquota.exe fehlte
Kopie von - c:\windows\ServicePackFiles\i386\proquota.exe wurde wiederhergestellt

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-03 bis 2009-08-03 ))))))))))))))))))))))))))))))
.

2009-08-03 22:58 . 2004-08-03 22:58 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe
2009-08-03 22:58 . 2004-08-03 22:58 50688 ----a-w- c:\windows\system32\proquota.exe
2009-08-03 22:58 . 2004-08-03 22:57 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2009-08-03 22:58 . 2004-08-03 22:57 39424 ----a-w- c:\windows\system32\grpconv.exe
2009-08-03 22:35 . 2009-08-03 22:35 -------- d-----w- c:\dokumente und einstellungen\Jens\Anwendungsdaten\Malwarebytes
2009-08-03 22:35 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 22:35 . 2009-08-03 22:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-03 22:35 . 2009-08-03 22:35 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-03 22:35 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-02 22:45 . 2009-08-02 22:45 -------- d-----w- c:\windows\ERUNT
2009-08-02 21:25 . 2009-08-03 18:06 3072 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
2009-07-29 18:31 . 2009-08-03 23:02 -------- d-sh--w- c:\windows\system32\winwswd32
2009-07-28 16:48 . 2009-07-28 16:58 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-07-24 16:37 . 2009-07-24 16:39 -------- d-----w- c:\dokumente und einstellungen\Jens\Tracing
2009-07-24 16:36 . 2009-07-24 16:36 -------- d-----w- c:\programme\Microsoft
2009-07-24 16:36 . 2009-07-24 16:36 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-07-24 16:35 . 2009-07-24 16:36 -------- d-----w- c:\programme\Windows Live
2009-07-23 19:00 . 2009-07-03 07:13 200032 ----a-w- c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\{271A3CF5-5A54-447B-A08F-BE805F0DA60A}\plugins\NP6FOAM.dll
2009-07-20 17:28 . 2009-08-03 23:02 -------- d-sh--w- c:\windows\system32\zpord32
2009-07-20 16:24 . 2009-07-31 23:00 3072 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\c458c00a19.exe

2009-07-15 17:49 . 2009-07-15 17:49 -------- d-----w- c:\programme\IKEA HomePlanner
2009-07-15 16:28 . 2009-07-15 16:28 -------- d-----w- c:\programme\OnlineControl
2009-07-14 18:29 . 2009-07-29 19:39 -------- d-sh--w- c:\windows\system32\zord32

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-03 23:06 . 2001-08-23 12:00 870824 ----a-w- c:\windows\system32\perfh007.dat
2009-08-03 23:06 . 2001-08-23 12:00 288904 ----a-w- c:\windows\system32\perfc007.dat
2009-08-03 22:17 . 2009-08-03 22:18 6270976 ----a-w- c:\windows\Internet Logs\xDB20B.tmp
2009-08-03 22:06 . 2007-02-26 12:47 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2009-08-03 22:03 . 2009-08-03 22:04 6285824 ----a-w- c:\windows\Internet Logs\xDB20A.tmp
2009-08-02 19:41 . 2005-09-23 15:57 -------- d-----w- c:\programme\Shareaza
2009-08-02 19:04 . 2007-07-21 21:21 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-08-02 18:36 . 2005-07-26 20:38 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2009-08-02 18:35 . 2005-07-26 20:38 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-29 20:24 . 2009-07-30 19:46 6184448 ----a-w- c:\windows\Internet Logs\xDB209.tmp
2009-07-29 20:24 . 2009-07-30 19:46 3174400 ----a-w- c:\windows\Internet Logs\xDB208.tmp
2009-07-28 16:58 . 2006-04-11 07:30 -------- d-----w- c:\programme\DivX
2009-07-15 17:49 . 2005-05-29 14:32 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-15 16:17 . 2009-07-15 16:17 70904 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2009_07_15_18_10_29_small.dmp.zip
2009-07-09 18:36 . 2004-12-02 22:23 -------- d-----w- c:\dokumente und einstellungen\Jens\Anwendungsdaten\Skype
2009-07-06 19:45 . 2007-04-20 17:06 -------- d-----w- c:\programme\StarMoney 6.0 S-Edition
2009-06-19 19:55 . 2005-05-19 17:17 -------- d-----w- c:\programme\QuickTime
2009-06-19 19:55 . 2009-03-03 11:08 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Apple Computer
2009-06-16 15:56 . 2004-12-02 22:43 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2009-06-03 19:26 . 2004-11-29 20:26 1296384 ----a-w- c:\windows\system32\quartz.dll
2009-05-27 15:24 . 2007-04-21 07:30 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-26 18:36 . 2009-05-27 15:22 5910016 ----a-w- c:\windows\Internet Logs\xDB207.tmp
2009-05-12 19:58 . 2005-08-19 14:43 32185028 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2008-09-29 22:01 . 2008-09-29 22:01 2999808 ----a-w- c:\programme\Gemeinsame DateienDDBACSetup.msi
2009-07-22 18:38 . 2008-06-23 16:36 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2005-05-13 15:12 . 2005-05-13 15:12 217073 --sha-r- c:\windows\meta4.exe
2005-10-24 09:13 . 2005-10-24 09:13 66560 --sha-r- c:\windows\MOTA113.exe
2005-10-13 19:27 . 2005-10-13 19:27 422400 --sha-r- c:\windows\x2.64.exe
2005-10-07 17:14 . 2005-10-07 17:14 308224 --sha-r- c:\windows\system32\avisynth.dll
2005-07-14 10:31 . 2005-07-14 10:31 27648 --sha-r- c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 . 2005-06-26 13:32 616448 --sha-r- c:\windows\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37 45568 --sha-r- c:\windows\system32\cygz.dll
2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r- c:\windows\system32\i420vfw.dll
2006-04-27 08:24 . 2006-04-27 08:24 2945024 --sha-r- c:\windows\system32\Smab.dll
2005-02-28 11:16 . 2005-02-28 11:16 240128 --sha-r- c:\windows\system32\x.264.exe
2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r- c:\windows\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-03_22.29.04 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-11-29 20:06 . 2009-08-03 23:01 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2004-11-29 20:06 . 2009-08-03 22:23 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2004-11-29 20:06 . 2009-08-03 23:01 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2004-11-29 20:06 . 2009-08-03 22:23 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2004-11-29 20:06 . 2009-08-03 23:01 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2004-11-29 20:06 . 2009-08-03 22:23 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-23 12:00 . 2009-08-03 22:48 316140 c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-08-03 22:48 231624 c:\windows\system32\perfc009.dat
+ 2006-03-28 21:06 . 2009-08-03 22:36 13180107 c:\windows\system32\ZoneLabs\spyware.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ViOrb"="c:\programme\ViOrb\ViOrb.exe" [BU]
"ICQUpdater"="c:\dokume~1\Jens\LOKALE~1\Temp\IcqUpdater.exe" [BU]
"rundll32.exe"="" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AWMON"="c:\progra~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" [2004-09-16 538112]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 344064]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-03 160768]
"AVGCtrl"="c:\programme\AVPersonal\AVGNT.EXE" [BU]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-06-18 67584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"EraserRestartErase (2)"="Eraserl.exe" - c:\windows\system32\Eraserl.exe [2007-12-22 41296]
"EraserRestartErase (3)"="Eraserl.exe" - c:\windows\system32\Eraserl.exe [2007-12-22 41296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"="c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\c458c00a19.exe" [2009-08-03 3072]

c:\dokumente und einstellungen\Jens\Startmen�\Programme\Autostart\
Stardock ObjectDock.lnk - c:\programme\Stardock\ObjectDock\ObjectDock.exe [2008-8-5 3450608]

c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2005-9-15 581632]
OnlineControl.lnk - c:\programme\OnlineControl\ocontrol.exe [2009-7-15 126976]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 01000000
"NoSMMyPictures"= 00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\drivers\svchost.exe,c:\windows\system32\word64main.exe,c:\windows\system32\sdra64.exe,c:\windows\system32\win32x.exe,c:\windows\system32\renator.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
[BU]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jens^Startmenü^Programme^Autostart^Rainlendar.lnk]
path=c:\dokumente und einstellungen\Jens\Startmenü\Programme\Autostart\Rainlendar.lnk
backup=c:\windows\pss\Rainlendar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jens^Startmenü^Programme^Autostart^Thoosje Vista Sidebar.lnk]
path=c:\dokumente und einstellungen\Jens\Startmenü\Programme\Autostart\Thoosje Vista Sidebar.lnk
backup=c:\windows\pss\Thoosje Vista Sidebar.lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SpybotSnD"="c:\programme\Spybot - Search & Destroy\SpybotSD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\system32\\sessmgr.exe"=

R1 bizVSerial;Franson VSerial;c:\windows\system32\drivers\bizVSerialNT.sys [29.03.2008 15:19 14949]
R2 cjpcsc;cyberJack PC/SC COM Service ;c:\windows\system32\cjpcsc.exe [29.03.2008 15:19 668976]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [12.03.2004 02:00 53120]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;c:\windows\system32\drivers\cjusb.sys [02.12.2004 00:47 23040]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\drivers\SkyNet.sys [22.11.2005 14:29 343040]
S3 FXUSBASE;Teledat X120 (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [12.03.2004 02:00 547840]
S3 TSMPacket;T-DSL SpeedManager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-WAB - c:\dokumente und einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a19.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fiestaloca.de/
mWindow Title = Special Fiesta Loca Browser
uInternet Connection Wizard,ShellNext = iexplore
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Trusted Zone: german-event-management.de\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: IEPrint - hxxp://www.visiontech.ltd.uk/software/download/IEPrint.CAB
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab
FF - ProfilePath - c:\dokume~1\Jens\ANWEND~1\Mozilla\Firefox\Profiles\ippplny0.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fiestaloca.de/
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\{271A3CF5-5A54-447B-A08F-BE805F0DA60A}\plugins\NP6FOAM.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07100121.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\SIZCHIP_PLUGIN_MOZ_1304@siz.de\plugins\npSIZCHIP_PLUGIN_MOZ_1302.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\SIZCHIP_PLUGIN_MOZ_1304@siz.de\plugins\npSIZCHIP_PLUGIN_MOZ_1303.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\SIZCHIP_PLUGIN_MOZ_1304@siz.de\plugins\npSIZCHIP_PLUGIN_MOZ_1304.dll
FF - plugin: c:\programme\mozilla firefox\plugins\NP6FOAM.DLL

---- FIREFOX Richtlinien ----
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: nglayout.initialpaint.delay - 0
FF - user.js: network.http.max-connections - 48
FF - user.js: network.http.max-connections-per-server - 16
FF - user.js: network.http.max-persistent-connections-per-proxy - 16
FF - user.js: network.http.max-persistent-connections-per-server - 8
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.send_pings - 0
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-04 01:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{44494CC2-393A-2730-E4F6-461C70F7E59F}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paahgnlohdpmhfohdmmicppdkmcaopao"=hex:69,61,62,63,67,61,6b,69,69,66,62,65,62,
66,6c,6a,63,6d,00,00
"oakganimfdfjlkncgappcpddkejfmh"=hex:69,61,62,63,67,61,6b,69,69,66,62,65,62,66,
6c,6a,63,6d,00,00

[HKEY_LOCAL_MACHINE\software\Classes\€wA
S*I*D*\{271A3CF5-5A54-447B-A08F-BE805F0DA60B}\ProgID]
@="DataDesign.AXFoamPlugin.1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1000)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3980)
c:\programme\Stardock\ObjectDock\DockShellHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\browselc.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
c:\programme\Spybot - Search & Destroy\SDHelper.dll
c:\programme\Microsoft Office\Office10\msohev.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.DEU
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
c:\programme\TweakPower\TPWiper.dll
c:\programme\AntiVir PersonalEdition Classic\shlext.dll
c:\programme\AntiVir PersonalEdition Classic\MFC71U.DLL
c:\programme\Utimaco\SafeGuard PrivateCrypto\pcshell.dll
c:\programme\Utimaco\SafeGuard PrivateCrypto\pcshell0407.dll
c:\programme\Avira\UnErase\ciasvrue.dll
c:\programme\Malwarebytes' Anti-Malware\mbamext.dll
c:\windows\system32\erasext.dll
c:\windows\system32\Eraser.dll
c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80DEU.DLL
c:\progra~1\WINZIP\WZSHLSTB.DLL
c:\progra~1\WINZIP\wzshlex1.dll
c:\progra~1\WINZIP\WZCAB3.DLL
c:\programme\WinRAR\rarext.dll
c:\progra~1\FOLDER~1\FGSHEL~1.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\programme\Logitech\SetPoint\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-03 1:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-03 23:08
ComboFix2.txt 2009-08-03 22:32

Vor Suchlauf: 4.234.051.584 Bytes frei
Nach Suchlauf: 4.200.984.576 Bytes frei

Current=3 Default=3 Failed=1 LastKnownGood=2 Sets=,1,2,3,4,5,6,7,8,9
276 --- E O F --- 2009-07-20 22:02


Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 5.1.2600 Service Pack 2

04.08.2009 00:41:39
mbam-log-2009-08-04 (00-41-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 93904
Laufzeit: 3 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 11
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\xprepairpro2006 (Rogue.XPRepairPro2007) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Jens\ANWEND~1\MACROM~1\Common\c458c00a1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7c612d07-0568-4abd-a9bd-b37d295aa6df}\NameServer (Trojan.DNSChanger) -> Data: 69.50.161.132,85.255.112.15 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7d01e4c8-5f23-4cc3-aa34-4eb8e7512b1f}\NameServer (Trojan.DNSChanger) -> Data: 69.50.161.132,85.255.112.15 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d06b46d2-7e2d-4d3a-9143-b85cdbac6d97}\NameServer (Trojan.DNSChanger) -> Data: 69.50.161.132,85.255.112.15 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a1.dll (Hijack.Sound) -> No action taken.

#19 Hier auch nochmal ein aktueller GMER Scan:

GMER 1.0.15.15011 [19o2htfo.exe] - http://www.gmer.net
Rootkit scan 2009-08-04 04:28:00
Windows 5.1.2600 Service Pack 2


---- Registry - GMER 1.0.15 ----

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{44494CC2-393A-2730-E4F6-461C70F7E59F}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{44494CC2-393A-2730-E4F6-461C70F7E59F}@paahgnlohdpmhfohdmmicppdkmcaopao 0x69 0x61 0x62 0x63 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{44494CC2-393A-2730-E4F6-461C70F7E59F}@oakganimfdfjlkncgappcpddkejfmh 0x69 0x61 0x62 0x63 ...
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\240\Shell@WFlags 2
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\240\Shell@ShowCmd 3

---- EOF - GMER 1.0.15 ----

#20 Hast Du das gefundene bei Malwarebytes löschen lassen?

Einfach nochmals zur Erinnerung:
Du hast: Rootkits, Backdoors und womöglich noch den Silentbanker eingefangen.

Wilst Du wirklich weitermachen?

Dann mach folgendes:

>>
mbr.exe

Download mbr.exe zum Desktop
Doppelklick mbr.exe um das Tool zu starten
Es wird ein Log erstellt und poste dessen Inhalt

Gruss Swiss

#21 Ja, die gefundenen Dateien hab ich mit Malwarebytes löschen lassen.

Ich bin mir nicht sicher, ob dies das ganze Log ist, was von mbr.exe kommt, aber das ist alles, was das drin stand:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

#22 >>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"WAB"=-

File::
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\word64main.exe
c:\windows\system32\sdra64.exe
c:\windows\system32\win32x.exe
c:\windows\system32\renator.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

>>
Download RootRepeal.zip
Lade/entpacke RootRepeal in einen extra Ordner
Klicke RootRepeal.exe und starte das Program
Klicke unten auf Report und danach auf Scan
Haacke an in Select Scan :
* Drivers
* Processes
* SSDT
* Hidden Services
Schliesse alle andere Programme und benutze dein Rechner nicht waehrend der Scann lauft
Klicke OK
Nach ablauf Save Report und speichere es auf dem Desktop als RootRepeal.txt

RootRepeal.txt poste dessen Inhalt

>>
Poste ein neues HJT Log.

Gruss swiss

#23 Hallo, vielen Dank für die weitere Hilfe, ich bin gerade nach Hause gekommen und werde mich nachher an die Arbeit machen und alle Logs erstellen!

#24 So, hier kommen die Logs:

Bei RootRepeal bin ich mir nicht sicher, ob das der komplette Log ist, da ich wie beschrieben
* Drivers
* Processes
* SSDT
* Hidden Services
angeklickt habe, aber im Report nicht alle Auswertungen erscheinen...
Wenn noch mehr Daten benötigt werden, bitte ich um Auskunft wie.

RootRepeal Log:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/08/06 23:26
Program Version: Version 1.3.3.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_diskdump.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_diskdump.sys
Address: 0xF7204000 Size: 16384 File Visible: No Signed: -
Status: -

Name: dump_viamraid.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_viamraid.sys
Address: 0xB578B000 Size: 73728 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB2FB5000 Size: 49152 File Visible: No Signed: -
Status: -

Name: srescan.sys
Image Path: srescan.sys
Address: 0xF7252000 Size: 81920 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58d3c80

#: 041 Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58ee170

#: 062 Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58d4210

#: 063 Function Name: NtDeleteKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58ee9f0

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58ee7a0

#: 098 Function Name: NtLoadKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58eef10

#: 099 Function Name: NtLoadKey2
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58eef90

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58d4070

#: 192 Function Name: NtRenameKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58ef6f0

#: 193 Function Name: NtReplaceKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58ef150

#: 204 Function Name: NtRestoreKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58ef540

#: 224 Function Name: NtSetInformationFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58d4440

#: 247 Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb58ee4e0

==EOF==

Combofix Log:

ComboFix 09-08-01.09 - Jens 06.08.2009 11:49.3.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.555 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Jens\Desktop\Nutella.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Jens\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Pro Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\c458c00a19.exe"
"c:\windows\system32\drivers\svchost.exe"
"c:\windows\system32\renator.exe"
"c:\windows\system32\sdra64.exe"
"c:\windows\system32\win32x.exe"
"c:\windows\system32\word64main.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\renator.exe
c:\windows\system32\word64main.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-06 bis 2009-08-06 ))))))))))))))))))))))))))))))
.

2009-08-06 09:43 . 2009-08-06 09:43 -------- d-sh--w- c:\dokumente und einstellungen\Jens\IECompatCache
2009-08-06 09:41 . 2009-08-06 09:41 -------- d-sh--w- c:\dokumente und einstellungen\Jens\PrivacIE
2009-08-06 09:38 . 2009-08-06 09:38 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-06 09:38 . 2009-08-06 09:38 -------- d-sh--w- c:\dokumente und einstellungen\Jens\IETldCache
2009-08-05 22:50 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-08-05 22:50 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-08-05 22:50 . 2009-08-05 22:50 -------- d-----w- c:\windows\ie8updates
2009-08-05 22:50 . 2009-07-01 07:08 101376 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-08-05 22:49 . 2009-08-05 22:50 -------- dc-h--w- c:\windows\ie8
2009-08-04 01:42 . 2009-08-04 01:42 0 ----a-w- C:\backup.reg
2009-08-04 01:27 . 2009-08-04 01:27 -------- d-----w- c:\dokumente und einstellungen\Jens\Anwendungsdaten\Apple Computer
2009-08-03 23:37 . 2009-08-03 23:37 -------- d-----w- c:\programme\Malware Avenger
2009-08-03 22:58 . 2004-08-03 22:58 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe
2009-08-03 22:58 . 2004-08-03 22:58 50688 ----a-w- c:\windows\system32\proquota.exe
2009-08-03 22:58 . 2004-08-03 22:57 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2009-08-03 22:58 . 2004-08-03 22:57 39424 ----a-w- c:\windows\system32\grpconv.exe
2009-08-03 22:35 . 2009-08-03 22:35 -------- d-----w- c:\dokumente und einstellungen\Jens\Anwendungsdaten\Malwarebytes
2009-08-03 22:35 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 22:35 . 2009-08-03 22:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-03 22:35 . 2009-08-03 22:35 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-03 22:35 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-02 22:45 . 2009-08-02 22:45 -------- d-----w- c:\windows\ERUNT
2009-07-29 18:31 . 2009-08-06 09:38 -------- d-sh--w- c:\windows\system32\winwswd32
2009-07-28 16:48 . 2009-07-28 16:58 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-07-24 16:37 . 2009-07-24 16:39 -------- d-----w- c:\dokumente und einstellungen\Jens\Tracing
2009-07-24 16:36 . 2009-07-24 16:36 -------- d-----w- c:\programme\Microsoft
2009-07-24 16:36 . 2009-07-24 16:36 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-07-24 16:35 . 2009-07-24 16:36 -------- d-----w- c:\programme\Windows Live
2009-07-23 19:00 . 2009-07-03 07:13 200032 ----a-w- c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\{271A3CF5-5A54-447B-A08F-BE805F0DA60A}\plugins\NP6FOAM.dll
2009-07-20 17:28 . 2009-08-06 09:38 -------- d-sh--w- c:\windows\system32\zpord32
2009-07-20 16:24 . 2009-07-31 23:00 3072 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
2009-07-15 17:49 . 2009-07-15 17:49 -------- d-----w- c:\programme\IKEA HomePlanner
2009-07-15 16:28 . 2009-07-15 16:28 -------- d-----w- c:\programme\OnlineControl
2009-07-14 18:29 . 2009-07-29 19:39 -------- d-sh--w- c:\windows\system32\zord32

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-06 10:00 . 2001-08-23 12:00 875668 ----a-w- c:\windows\system32\perfh007.dat
2009-08-06 10:00 . 2001-08-23 12:00 291228 ----a-w- c:\windows\system32\perfc007.dat
2009-08-05 22:42 . 2007-02-26 12:47 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2009-08-04 02:49 . 2008-07-20 11:05 -------- d-----w- c:\programme\CryptLoad_1.1.4
2009-08-04 02:39 . 2005-02-17 18:00 -------- d-----w- c:\programme\TVgenial
2009-08-03 22:17 . 2009-08-03 22:18 6270976 ----a-w- c:\windows\Internet Logs\xDB20B.tmp
2009-08-03 22:03 . 2009-08-03 22:04 6285824 ----a-w- c:\windows\Internet Logs\xDB20A.tmp
2009-08-02 19:41 . 2005-09-23 15:57 -------- d-----w- c:\programme\Shareaza
2009-08-02 19:04 . 2007-07-21 21:21 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-08-02 18:36 . 2005-07-26 20:38 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2009-08-02 18:35 . 2005-07-26 20:38 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-29 20:24 . 2009-07-30 19:46 6184448 ----a-w- c:\windows\Internet Logs\xDB209.tmp
2009-07-29 20:24 . 2009-07-30 19:46 3174400 ----a-w- c:\windows\Internet Logs\xDB208.tmp
2009-07-28 16:58 . 2006-04-11 07:30 -------- d-----w- c:\programme\DivX
2009-07-15 17:49 . 2005-05-29 14:32 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-15 16:17 . 2009-07-15 16:17 70904 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2009_07_15_18_10_29_small.dmp.zip
2009-07-09 18:36 . 2004-12-02 22:23 -------- d-----w- c:\dokumente und einstellungen\Jens\Anwendungsdaten\Skype
2009-07-06 19:45 . 2007-04-20 17:06 -------- d-----w- c:\programme\StarMoney 6.0 S-Edition
2009-07-03 16:55 . 2002-08-29 01:43 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-19 19:55 . 2005-05-19 17:17 -------- d-----w- c:\programme\QuickTime
2009-06-19 19:55 . 2009-03-03 11:08 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Apple Computer
2009-06-16 15:56 . 2004-12-02 22:43 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2009-06-16 14:53 . 2001-08-23 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:53 . 2001-08-23 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:26 . 2004-11-29 20:26 1296384 ----a-w- c:\windows\system32\quartz.dll
2009-05-27 15:24 . 2007-04-21 07:30 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-26 18:36 . 2009-05-27 15:22 5910016 ----a-w- c:\windows\Internet Logs\xDB207.tmp
2009-05-12 19:58 . 2005-08-19 14:43 32185028 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2008-09-29 22:01 . 2008-09-29 22:01 2999808 ----a-w- c:\programme\Gemeinsame DateienDDBACSetup.msi
2009-08-04 01:50 . 2008-06-23 16:36 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2005-05-13 15:12 . 2005-05-13 15:12 217073 --sha-r- c:\windows\meta4.exe
2005-10-24 09:13 . 2005-10-24 09:13 66560 --sha-r- c:\windows\MOTA113.exe
2005-10-13 19:27 . 2005-10-13 19:27 422400 --sha-r- c:\windows\x2.64.exe
2005-10-07 17:14 . 2005-10-07 17:14 308224 --sha-r- c:\windows\system32\avisynth.dll
2005-07-14 10:31 . 2005-07-14 10:31 27648 --sha-r- c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 . 2005-06-26 13:32 616448 --sha-r- c:\windows\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37 45568 --sha-r- c:\windows\system32\cygz.dll
2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r- c:\windows\system32\i420vfw.dll
2006-04-27 08:24 . 2006-04-27 08:24 2945024 --sha-r- c:\windows\system32\Smab.dll
2005-02-28 11:16 . 2005-02-28 11:16 240128 --sha-r- c:\windows\system32\x.264.exe
2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r- c:\windows\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-03_22.29.04 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-11 17:41 . 2009-07-11 17:41 97280 c:\windows\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_473666fd\ATL80.dll
+ 2005-08-13 22:11 . 2009-01-07 16:20 26144 c:\windows\system32\spupdsvc.exe
+ 2005-08-13 22:10 . 2009-01-07 16:20 18464 c:\windows\system32\spmsg.dll
+ 2002-08-29 01:43 . 2009-03-08 02:31 46592 c:\windows\system32\pngfilt.dll
+ 2006-06-29 07:05 . 2009-01-07 16:20 23552 c:\windows\system32\normaliz.dll
- 2006-06-29 07:05 . 2006-06-29 07:05 23552 c:\windows\system32\normaliz.dll
- 2006-06-28 16:59 . 2006-06-28 16:59 24576 c:\windows\system32\nlsdl.dll
+ 2006-06-28 16:59 . 2009-01-07 16:20 24576 c:\windows\system32\nlsdl.dll
- 2002-08-29 01:42 . 2007-08-13 17:01 48128 c:\windows\system32\mshtmler.dll
+ 2002-08-29 01:42 . 2009-03-08 02:31 48128 c:\windows\system32\mshtmler.dll
+ 2002-08-29 01:43 . 2009-03-08 02:31 66560 c:\windows\system32\mshtmled.dll
- 2001-08-23 12:00 . 2007-08-13 17:32 45568 c:\windows\system32\mshta.exe
+ 2001-08-23 12:00 . 2009-03-08 02:31 45568 c:\windows\system32\mshta.exe
+ 2007-08-13 17:36 . 2009-03-08 02:31 13312 c:\windows\system32\msfeedssync.exe
+ 2007-08-13 17:54 . 2009-07-03 16:55 55296 c:\windows\system32\msfeedsbs.dll
+ 2002-08-29 01:43 . 2009-03-08 02:34 43008 c:\windows\system32\licmgr10.dll
+ 2001-08-23 12:00 . 2009-07-03 16:55 25600 c:\windows\system32\jsproxy.dll
+ 2002-08-29 01:43 . 2009-03-08 02:32 94720 c:\windows\system32\inseng.dll
+ 2002-08-29 01:43 . 2009-03-08 02:31 34816 c:\windows\system32\imgutil.dll
+ 2007-08-13 17:39 . 2009-03-08 02:32 36864 c:\windows\system32\ieudinit.exe
+ 2002-08-29 01:43 . 2009-03-08 02:32 71680 c:\windows\system32\iesetup.dll
+ 2001-08-23 12:00 . 2009-03-08 02:32 55808 c:\windows\system32\iernonce.dll
+ 2006-06-29 07:05 . 2009-01-07 16:20 26112 c:\windows\system32\idndl.dll
- 2006-06-29 07:05 . 2006-06-29 07:05 26112 c:\windows\system32\idndl.dll
+ 2007-08-13 17:36 . 2009-03-08 02:31 59904 c:\windows\system32\icardie.dll
+ 2007-01-04 13:41 . 2009-03-08 02:31 46592 c:\windows\system32\dllcache\pngfilt.dll
+ 2007-08-13 17:01 . 2009-03-08 02:31 48128 c:\windows\system32\dllcache\mshtmler.dll
- 2007-08-13 17:01 . 2007-08-13 17:01 48128 c:\windows\system32\dllcache\mshtmler.dll
+ 2007-01-04 13:40 . 2009-03-08 02:31 66560 c:\windows\system32\dllcache\mshtmled.dll
- 2007-08-13 17:32 . 2007-08-13 17:32 45568 c:\windows\system32\dllcache\mshta.exe
+ 2007-08-13 17:32 . 2009-03-08 02:31 45568 c:\windows\system32\dllcache\mshta.exe
+ 2007-11-02 21:00 . 2009-07-03 16:55 55296 c:\windows\system32\dllcache\msfeedsbs.dll
+ 2007-08-13 17:44 . 2009-03-08 02:34 43008 c:\windows\system32\dllcache\licmgr10.dll
+ 2007-01-04 13:40 . 2009-07-03 16:55 25600 c:\windows\system32\dllcache\jsproxy.dll
+ 2007-01-04 13:40 . 2009-03-08 02:32 94720 c:\windows\system32\dllcache\inseng.dll
+ 2007-08-13 17:36 . 2009-03-08 02:31 34816 c:\windows\system32\dllcache\imgutil.dll
+ 2007-11-02 21:00 . 2009-06-29 11:07 13824 c:\windows\system32\dllcache\ieudinit.exe
- 2007-11-02 21:00 . 2009-02-20 10:20 13824 c:\windows\system32\dllcache\ieudinit.exe
+ 2007-08-13 17:39 . 2009-03-08 02:32 71680 c:\windows\system32\dllcache\iesetup.dll
+ 2007-08-13 17:39 . 2009-03-08 02:32 55808 c:\windows\system32\dllcache\iernonce.dll
+ 2007-11-02 21:00 . 2009-03-08 02:31 59904 c:\windows\system32\dllcache\icardie.dll
+ 2007-08-13 17:18 . 2009-03-08 02:24 68608 c:\windows\system32\dllcache\hmmapi.dll
+ 2009-06-16 14:53 . 2009-06-16 14:53 82432 c:\windows\system32\dllcache\fontsub.dll
+ 2009-06-29 15:55 . 2009-03-08 02:33 18944 c:\windows\system32\dllcache\corpol.dll
+ 2007-08-13 17:39 . 2009-03-08 02:32 72704 c:\windows\system32\dllcache\admparse.dll
+ 2001-08-23 12:00 . 2009-03-08 02:33 18944 c:\windows\system32\corpol.dll
+ 2004-11-29 20:06 . 2009-08-06 09:38 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2004-11-29 20:06 . 2009-08-03 22:23 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2004-11-29 20:06 . 2009-08-06 09:38 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2004-11-29 20:06 . 2009-08-03 22:23 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2004-11-29 20:06 . 2009-08-03 22:23 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2004-11-29 20:06 . 2009-08-06 09:38 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-23 12:00 . 2009-03-08 02:32 72704 c:\windows\system32\admparse.dll
+ 2009-08-05 22:50 . 2009-03-08 02:33 12288 c:\windows\ie8updates\KB972260-IE8\xpshims.dll
+ 2009-08-05 22:50 . 2009-03-08 02:31 55296 c:\windows\ie8updates\KB972260-IE8\msfeedsbs.dll
+ 2009-08-05 22:50 . 2009-03-08 02:33 25600 c:\windows\ie8updates\KB972260-IE8\jsproxy.dll
+ 2009-08-05 22:49 . 2009-03-08 17:18 58464 c:\windows\ie8\spuninst\iecustom.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 44544 c:\windows\ie8\pngfilt.dll
+ 2009-08-05 22:49 . 2007-08-13 17:01 48128 c:\windows\ie8\mshtmler.dll
+ 2009-08-05 22:49 . 2007-08-13 17:32 45568 c:\windows\ie8\mshta.exe
+ 2009-08-05 22:49 . 2007-08-13 17:36 12288 c:\windows\ie8\msfeedssync.exe
+ 2009-08-05 22:49 . 2009-06-29 15:55 52224 c:\windows\ie8\msfeedsbs.dll
+ 2009-08-05 22:49 . 2007-08-13 17:44 40960 c:\windows\ie8\licmgr10.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 27648 c:\windows\ie8\jsproxy.dll
+ 2009-08-05 22:49 . 2007-08-13 17:39 92672 c:\windows\ie8\inseng.dll
+ 2009-08-05 22:49 . 2007-08-13 17:36 36352 c:\windows\ie8\imgutil.dll
+ 2009-08-05 22:49 . 2007-08-13 17:39 55296 c:\windows\ie8\iesetup.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 44544 c:\windows\ie8\iernonce.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 78336 c:\windows\ie8\ieencode.dll
+ 2009-08-05 22:49 . 2009-06-29 11:07 70656 c:\windows\ie8\ie4uinit.exe
+ 2009-08-05 22:49 . 2009-06-29 15:55 63488 c:\windows\ie8\icardie.dll
+ 2009-08-05 22:49 . 2007-08-13 17:18 60416 c:\windows\ie8\hmmapi.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 17408 c:\windows\ie8\corpol.dll
+ 2009-08-05 22:49 . 2007-08-13 17:39 71680 c:\windows\ie8\admparse.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 44544 c:\windows\ie7updates\KB972260-IE7\pngfilt.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 52224 c:\windows\ie7updates\KB972260-IE7\msfeedsbs.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 27648 c:\windows\ie7updates\KB972260-IE7\jsproxy.dll
+ 2009-08-04 20:00 . 2009-02-20 10:20 13824 c:\windows\ie7updates\KB972260-IE7\ieudinit.exe
+ 2009-08-04 20:00 . 2009-02-20 16:49 44544 c:\windows\ie7updates\KB972260-IE7\iernonce.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 78336 c:\windows\ie7updates\KB972260-IE7\ieencode.dll
+ 2009-08-04 20:00 . 2009-02-20 10:20 70656 c:\windows\ie7updates\KB972260-IE7\ie4uinit.exe
+ 2009-08-04 20:00 . 2009-02-20 16:49 63488 c:\windows\ie7updates\KB972260-IE7\icardie.dll
+ 2009-08-04 20:00 . 2004-08-03 22:57 35328 c:\windows\ie7updates\KB972260-IE7\corpol.dll
+ 2009-08-05 22:50 . 2009-03-08 02:35 2048 c:\windows\ie8updates\KB972636-IE8\iecompat.dll
+ 2007-01-04 11:52 . 2009-04-15 09:56 374272 c:\windows\system32\xpsp3res.dll
- 2007-01-04 11:52 . 2008-02-15 22:03 374272 c:\windows\system32\xpsp3res.dll
- 2007-11-02 20:47 . 2006-07-14 15:51 121856 c:\windows\system32\xmllite.dll
+ 2007-11-02 20:47 . 2009-01-07 16:21 121856 c:\windows\system32\xmllite.dll
+ 2007-08-13 17:45 . 2009-03-08 02:34 208384 c:\windows\system32\WinFXDocObj.exe
+ 2002-08-29 01:43 . 2009-03-08 02:34 236544 c:\windows\system32\webcheck.dll
+ 2002-08-29 01:43 . 2009-03-08 02:33 420352 c:\windows\system32\vbscript.dll
+ 2002-08-29 01:43 . 2009-03-08 02:34 105984 c:\windows\system32\url.dll
- 2002-08-29 01:43 . 2009-02-20 16:49 105984 c:\windows\system32\url.dll
- 2002-08-29 01:43 . 2007-07-09 13:11 584192 c:\windows\system32\rpcrt4.dll
+ 2002-08-29 01:43 . 2009-04-15 15:11 584192 c:\windows\system32\rpcrt4.dll
+ 2001-08-23 12:00 . 2009-08-06 09:43 319346 c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-08-06 09:43 233486 c:\windows\system32\perfc009.dat
+ 2001-08-23 12:00 . 2009-07-03 16:55 206848 c:\windows\system32\occache.dll
+ 2002-08-29 01:43 . 2009-03-08 02:32 611840 c:\windows\system32\mstime.dll
+ 2002-08-29 01:43 . 2009-03-08 02:34 193536 c:\windows\system32\msrating.dll
+ 2001-08-23 12:00 . 2009-03-08 02:22 156160 c:\windows\system32\msls31.dll
- 2001-08-23 12:00 . 2007-08-13 17:54 156160 c:\windows\system32\msls31.dll
+ 2007-08-13 17:54 . 2009-07-03 16:55 594432 c:\windows\system32\msfeeds.dll
+ 2009-01-07 16:20 . 2009-01-07 16:20 265720 c:\windows\system32\msdbg2.dll
+ 2001-08-23 12:00 . 2009-03-08 02:33 726528 c:\windows\system32\jscript.dll
+ 2007-08-13 17:54 . 2009-03-08 02:22 164352 c:\windows\system32\ieui.dll
+ 2002-08-29 01:43 . 2009-07-03 16:55 184320 c:\windows\system32\iepeers.dll
+ 2002-08-29 01:43 . 2009-07-03 16:55 386048 c:\windows\system32\iedkcs32.dll
+ 2007-07-11 11:27 . 2009-03-08 02:11 445952 c:\windows\system32\ieapfltr.dll
+ 2001-08-23 12:00 . 2009-03-08 02:32 163840 c:\windows\system32\ieakui.dll
+ 2002-08-29 01:43 . 2009-03-08 02:33 229376 c:\windows\system32\ieaksie.dll
+ 2002-08-29 01:43 . 2009-03-08 02:33 125952 c:\windows\system32\ieakeng.dll
+ 2002-08-29 01:43 . 2009-07-03 11:01 173056 c:\windows\system32\ie4uinit.exe
- 2004-11-29 19:58 . 2009-04-10 13:23 169896 c:\windows\system32\FNTCACHE.DAT
+ 2004-11-29 19:58 . 2009-08-05 22:40 169896 c:\windows\system32\FNTCACHE.DAT
+ 2005-08-13 23:01 . 2009-06-29 15:55 133120 c:\windows\system32\extmgr.dll
- 2005-08-13 23:01 . 2009-02-20 16:49 133120 c:\windows\system32\extmgr.dll
+ 2002-08-29 01:43 . 2009-03-08 02:31 216064 c:\windows\system32\dxtrans.dll
+ 2002-08-29 01:43 . 2009-03-08 02:31 348160 c:\windows\system32\dxtmsft.dll
+ 2007-01-04 13:41 . 2009-07-03 16:55 915456 c:\windows\system32\dllcache\wininet.dll
+ 2007-08-13 17:54 . 2009-03-08 02:34 236544 c:\windows\system32\dllcache\webcheck.dll
+ 2006-12-19 18:08 . 2009-03-08 02:33 759296 c:\windows\system32\dllcache\VGX.dll
+ 2007-08-13 17:54 . 2009-03-08 02:33 420352 c:\windows\system32\dllcache\vbscript.dll
+ 2007-08-13 17:44 . 2009-03-08 02:34 105984 c:\windows\system32\dllcache\url.dll
- 2007-08-13 17:44 . 2009-02-20 16:49 105984 c:\windows\system32\dllcache\url.dll
+ 2009-06-16 14:53 . 2009-06-16 14:53 119808 c:\windows\system32\dllcache\t2embed.dll
+ 2009-01-07 16:20 . 2009-01-07 16:20 134144 c:\windows\system32\dllcache\sqmapi.dll
+ 2009-01-07 16:20 . 2009-01-07 16:20 474624 c:\windows\system32\dllcache\shlwapi.dll
+ 2009-04-15 15:11 . 2009-04-15 15:11 584192 c:\windows\system32\dllcache\rpcrt4.dll
+ 2007-08-13 17:44 . 2009-07-03 16:55 206848 c:\windows\system32\dllcache\occache.dll
+ 2007-01-04 13:41 . 2009-03-08 02:32 611840 c:\windows\system32\dllcache\mstime.dll
+ 2007-01-04 13:40 . 2009-03-08 02:34 193536 c:\windows\system32\dllcache\msrating.dll
- 2007-08-13 17:54 . 2007-08-13 17:54 156160 c:\windows\system32\dllcache\msls31.dll
+ 2007-08-13 17:54 . 2009-03-08 02:22 156160 c:\windows\system32\dllcache\msls31.dll
+ 2007-11-02 21:00 . 2009-07-03 16:55 594432 c:\windows\system32\dllcache\msfeeds.dll
+ 2006-05-18 05:36 . 2009-03-08 02:33 726528 c:\windows\system32\dllcache\jscript.dll
+ 2007-08-13 17:43 . 2009-03-08 12:09 638816 c:\windows\system32\dllcache\iexplore.exe
+ 2007-01-04 13:40 . 2009-07-03 16:55 184320 c:\windows\system32\dllcache\iepeers.dll
+ 2007-08-13 17:39 . 2009-07-03 16:55 386048 c:\windows\system32\dllcache\iedkcs32.dll
+ 2007-11-02 21:00 . 2009-03-08 02:11 445952 c:\windows\system32\dllcache\ieapfltr.dll
+ 2007-08-13 16:56 . 2009-03-08 02:32 163840 c:\windows\system32\dllcache\ieakui.dll
+ 2007-08-13 17:39 . 2009-03-08 02:33 229376 c:\windows\system32\dllcache\ieaksie.dll
+ 2007-08-13 17:39 . 2009-03-08 02:33 125952 c:\windows\system32\dllcache\ieakeng.dll
+ 2007-08-13 17:39 . 2009-07-03 11:01 173056 c:\windows\system32\dllcache\ie4uinit.exe
+ 2007-01-04 13:40 . 2009-06-29 15:55 133120 c:\windows\system32\dllcache\extmgr.dll
- 2007-01-04 13:40 . 2009-02-20 16:49 133120 c:\windows\system32\dllcache\extmgr.dll
+ 2007-01-04 13:40 . 2009-03-08 02:31 216064 c:\windows\system32\dllcache\dxtrans.dll
+ 2007-01-04 13:40 . 2009-03-08 02:31 348160 c:\windows\system32\dllcache\dxtmsft.dll
+ 2007-08-13 17:39 . 2009-03-08 02:32 128512 c:\windows\system32\dllcache\advpack.dll
+ 2009-08-06 09:38 . 2009-08-06 09:38 245760 c:\windows\system32\config\systemprofile\IETldCache\index.dat
+ 2002-08-29 01:43 . 2009-03-08 02:32 128512 c:\windows\system32\advpack.dll
+ 2009-08-04 19:59 . 2009-08-04 19:59 248832 c:\windows\Installer\545cf1.msi
+ 2009-08-05 22:50 . 2008-07-08 13:00 388984 c:\windows\ie8updates\KB972636-IE8\spuninst\updspapi.dll
+ 2009-08-05 22:50 . 2008-07-08 13:00 234872 c:\windows\ie8updates\KB972636-IE8\spuninst\spuninst.exe
+ 2009-08-05 22:50 . 2009-03-08 02:34 914944 c:\windows\ie8updates\KB972260-IE8\wininet.dll
+ 2009-08-05 22:50 . 2009-05-26 11:40 388984 c:\windows\ie8updates\KB972260-IE8\spuninst\updspapi.dll
+ 2009-08-05 22:50 . 2009-05-26 11:40 234872 c:\windows\ie8updates\KB972260-IE8\spuninst\spuninst.exe
+ 2009-08-05 22:50 . 2009-03-08 02:34 109568 c:\windows\ie8updates\KB972260-IE8\occache.dll
+ 2009-08-05 22:50 . 2009-03-08 02:32 594432 c:\windows\ie8updates\KB972260-IE8\msfeeds.dll
+ 2009-08-05 22:50 . 2009-03-08 02:33 246784 c:\windows\ie8updates\KB972260-IE8\ieproxy.dll
+ 2009-08-05 22:50 . 2009-03-08 02:31 183808 c:\windows\ie8updates\KB972260-IE8\iepeers.dll
+ 2009-08-05 22:50 . 2009-03-08 12:09 391536 c:\windows\ie8updates\KB972260-IE8\iedkcs32.dll
+ 2009-08-05 22:50 . 2009-03-08 02:32 173056 c:\windows\ie8updates\KB972260-IE8\ie4uinit.exe
+ 2009-08-05 22:49 . 2009-06-29 15:55 827392 c:\windows\ie8\wininet.dll
+ 2009-08-05 22:49 . 2007-08-13 17:45 206336 c:\windows\ie8\winfxdocobj.exe
+ 2009-08-05 22:49 . 2009-06-29 15:55 233472 c:\windows\ie8\webcheck.dll
+ 2009-08-05 22:49 . 2007-07-12 23:30 765952 c:\windows\ie8\vgx.dll
+ 2009-08-05 22:49 . 2007-08-13 17:54 413696 c:\windows\ie8\vbscript.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 105984 c:\windows\ie8\url.dll
+ 2009-08-05 22:49 . 2009-01-07 16:20 388640 c:\windows\ie8\spuninst\updspapi.dll
+ 2009-08-05 22:49 . 2009-01-07 16:20 235040 c:\windows\ie8\spuninst\spuninst.exe
+ 2009-08-05 22:49 . 2006-09-06 16:42 217312 c:\windows\ie8\spuninst.exe
+ 2009-08-05 22:49 . 2009-06-29 15:55 102912 c:\windows\ie8\occache.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 671232 c:\windows\ie8\mstime.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 193024 c:\windows\ie8\msrating.dll
+ 2009-08-05 22:49 . 2007-08-13 17:54 156160 c:\windows\ie8\msls31.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 477696 c:\windows\ie8\mshtmled.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 459264 c:\windows\ie8\msfeeds.dll
+ 2009-08-05 22:49 . 2007-08-13 17:38 491520 c:\windows\ie8\jscript.dll
+ 2009-08-05 22:49 . 2009-06-29 08:35 634632 c:\windows\ie8\iexplore.exe
+ 2009-08-05 22:49 . 2007-08-13 17:54 180736 c:\windows\ie8\ieui.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 268288 c:\windows\ie8\iertutil.dll
+ 2009-08-05 22:49 . 2007-08-13 17:54 287744 c:\windows\ie8\ieproxy.dll
+ 2009-08-05 22:49 . 2007-08-13 17:54 191488 c:\windows\ie8\iepeers.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 385024 c:\windows\ie8\iedkcs32.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 380928 c:\windows\ie8\ieapfltr.dll
+ 2009-08-05 22:49 . 2009-06-29 08:33 161792 c:\windows\ie8\ieakui.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 230400 c:\windows\ie8\ieaksie.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 153088 c:\windows\ie8\ieakeng.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 214528 c:\windows\ie8\dxtrans.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 347136 c:\windows\ie8\dxtmsft.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 124928 c:\windows\ie8\advpack.dll
+ 2009-08-04 20:00 . 2009-03-03 00:03 826368 c:\windows\ie7updates\KB972260-IE7\wininet.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 233472 c:\windows\ie7updates\KB972260-IE7\webcheck.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 105984 c:\windows\ie7updates\KB972260-IE7\url.dll
+ 2009-08-04 20:00 . 2009-05-26 11:40 388984 c:\windows\ie7updates\KB972260-IE7\spuninst\updspapi.dll
+ 2009-08-04 20:00 . 2008-07-08 13:00 234872 c:\windows\ie7updates\KB972260-IE7\spuninst\spuninst.exe
+ 2009-08-04 20:00 . 2009-02-20 16:49 102912 c:\windows\ie7updates\KB972260-IE7\occache.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 671232 c:\windows\ie7updates\KB972260-IE7\mstime.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 193024 c:\windows\ie7updates\KB972260-IE7\msrating.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 477696 c:\windows\ie7updates\KB972260-IE7\mshtmled.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 459264 c:\windows\ie7updates\KB972260-IE7\msfeeds.dll
+ 2009-08-04 20:00 . 2009-02-28 04:54 636072 c:\windows\ie7updates\KB972260-IE7\iexplore.exe
+ 2009-08-04 20:00 . 2009-02-20 16:49 268288 c:\windows\ie7updates\KB972260-IE7\iertutil.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 385024 c:\windows\ie7updates\KB972260-IE7\iedkcs32.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 383488 c:\windows\ie7updates\KB972260-IE7\ieapfltr.dll
+ 2009-08-04 20:00 . 2009-02-20 05:14 161792 c:\windows\ie7updates\KB972260-IE7\ieakui.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 230400 c:\windows\ie7updates\KB972260-IE7\ieaksie.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 153088 c:\windows\ie7updates\KB972260-IE7\ieakeng.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 133120 c:\windows\ie7updates\KB972260-IE7\extmgr.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 214528 c:\windows\ie7updates\KB972260-IE7\dxtrans.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 347136 c:\windows\ie7updates\KB972260-IE7\dxtmsft.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 124928 c:\windows\ie7updates\KB972260-IE7\advpack.dll
+ 2002-08-29 01:23 . 2009-04-19 20:06 1846784 c:\windows\system32\win32k.sys
+ 2002-08-29 01:43 . 2009-07-03 16:55 1208832 c:\windows\system32\urlmon.dll
+ 2002-08-29 01:43 . 2009-07-19 13:11 5937152 c:\windows\system32\mshtml.dll
+ 2007-08-13 17:34 . 2009-07-03 16:55 1985536 c:\windows\system32\iertutil.dll
+ 2007-02-12 15:10 . 2009-02-06 19:07 3698584 c:\windows\system32\ieapfltr.dat
+ 2007-03-08 15:32 . 2009-04-19 20:06 1846784 c:\windows\system32\dllcache\win32k.sys
+ 2007-01-25 12:52 . 2009-07-03 16:55 1208832 c:\windows\system32\dllcache\urlmon.dll
+ 2009-01-07 16:20 . 2009-01-07 16:20 1497088 c:\windows\system32\dllcache\shdocvw.dll
+ 2007-01-04 13:40 . 2009-07-19 13:11 5937152 c:\windows\system32\dllcache\mshtml.dll
+ 2007-11-02 21:00 . 2009-07-03 16:55 1985536 c:\windows\system32\dllcache\iertutil.dll
+ 2007-11-02 21:00 . 2009-02-06 19:07 3698584 c:\windows\system32\dllcache\ieapfltr.dat
+ 2009-01-07 16:20 . 2009-01-07 16:20 1022976 c:\windows\system32\dllcache\browseui.dll
+ 2009-08-05 22:50 . 2009-03-08 02:34 1206784 c:\windows\ie8updates\KB972260-IE8\urlmon.dll
+ 2009-08-05 22:50 . 2009-03-08 02:41 5937152 c:\windows\ie8updates\KB972260-IE8\mshtml.dll
+ 2009-08-05 22:50 . 2009-03-08 02:32 1985024 c:\windows\ie8updates\KB972260-IE8\iertutil.dll
+ 2009-08-05 22:49 . 2009-06-29 15:55 1159680 c:\windows\ie8\urlmon.dll
+ 2009-08-05 22:49 . 2009-07-19 13:25 3597824 c:\windows\ie8\mshtml.dll
+ 2009-08-05 22:49 . 2009-07-19 13:25 6067200 c:\windows\ie8\ieframe.dll
+ 2009-08-05 22:49 . 2009-06-29 08:33 2452872 c:\windows\ie8\ieapfltr.dat
+ 2009-08-04 20:00 . 2009-02-20 16:49 1160192 c:\windows\ie7updates\KB972260-IE7\urlmon.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 3595264 c:\windows\ie7updates\KB972260-IE7\mshtml.dll
+ 2009-08-04 20:00 . 2009-02-20 16:49 6066176 c:\windows\ie7updates\KB972260-IE7\ieframe.dll
+ 2009-08-04 20:00 . 2008-07-09 14:25 2455488 c:\windows\ie7updates\KB972260-IE7\ieapfltr.dat
+ 2006-03-28 21:06 . 2009-08-03 22:36 13180107 c:\windows\system32\ZoneLabs\spyware.dat
+ 2007-08-13 17:54 . 2009-07-19 16:41 11067392 c:\windows\system32\ieframe.dll
+ 2007-11-02 21:00 . 2009-07-19 16:41 11067392 c:\windows\system32\dllcache\ieframe.dll
+ 2009-08-05 22:50 . 2009-03-08 02:39 11063808 c:\windows\ie8updates\KB972260-IE8\ieframe.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AWMON"="c:\progra~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" [2004-09-16 538112]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 344064]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-03 160768]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-06-18 67584]

c:\dokumente und einstellungen\Jens\Startmen�\Programme\Autostart\
Stardock ObjectDock.lnk - c:\programme\Stardock\ObjectDock\ObjectDock.exe [2008-8-5 3450608]

c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2005-9-15 581632]
OnlineControl.lnk - c:\programme\OnlineControl\ocontrol.exe [2009-7-15 126976]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 01000000
"NoSMMyPictures"= 00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\drivers\svchost.exe,c:\windows\system32\word64main.exe,c:\windows\system32\sdra64.exe,c:\windows\system32\win32x.exe,c:\windows\system32\renator.exe,"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jens^Startmenü^Programme^Autostart^Rainlendar.lnk]
path=c:\dokumente und einstellungen\Jens\Startmenü\Programme\Autostart\Rainlendar.lnk
backup=c:\windows\pss\Rainlendar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jens^Startmenü^Programme^Autostart^Thoosje Vista Sidebar.lnk]
path=c:\dokumente und einstellungen\Jens\Startmenü\Programme\Autostart\Thoosje Vista Sidebar.lnk
backup=c:\windows\pss\Thoosje Vista Sidebar.lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SpybotSnD"="c:\programme\Spybot - Search & Destroy\SpybotSD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CryptLoad_1.1.4\\RouterClient.exe"=

R1 bizVSerial;Franson VSerial;c:\windows\system32\drivers\bizVSerialNT.sys [29.03.2008 15:19 14949]
R2 cjpcsc;cyberJack PC/SC COM Service ;c:\windows\system32\cjpcsc.exe [29.03.2008 15:19 668976]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [12.03.2004 02:00 53120]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;c:\windows\system32\drivers\cjusb.sys [02.12.2004 00:47 23040]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\drivers\SkyNet.sys [22.11.2005 14:29 343040]
S3 FXUSBASE;Teledat X120 (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [12.03.2004 02:00 547840]
S3 TSMPacket;T-DSL SpeedManager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-ViOrb - c:\programme\ViOrb\ViOrb.exe
HKCU-Run-WAB - c:\dokumente und einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
HKCU-Run-rundll32.exe - (no file)
HKLM-Run-AVGCtrl - c:\programme\AVPersonal\AVGNT.EXE
Notify-dimsntfy - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fiestaloca.de/
mWindow Title = Special Fiesta Loca Browser
uInternet Connection Wizard,ShellNext = iexplore
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Trusted Zone: german-event-management.de\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: IEPrint - hxxp://www.visiontech.ltd.uk/software/download/IEPrint.CAB
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab
FF - ProfilePath - c:\dokume~1\Jens\ANWEND~1\Mozilla\Firefox\Profiles\ippplny0.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fiestaloca.de/
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\{271A3CF5-5A54-447B-A08F-BE805F0DA60A}\plugins\NP6FOAM.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07100121.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\SIZCHIP_PLUGIN_MOZ_1304@siz.de\plugins\npSIZCHIP_PLUGIN_MOZ_1302.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\SIZCHIP_PLUGIN_MOZ_1304@siz.de\plugins\npSIZCHIP_PLUGIN_MOZ_1303.dll
FF - plugin: c:\dokumente und einstellungen\Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\ippplny0.default\extensions\SIZCHIP_PLUGIN_MOZ_1304@siz.de\plugins\npSIZCHIP_PLUGIN_MOZ_1304.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NP6FOAM.DLL

---- FIREFOX Richtlinien ----
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: nglayout.initialpaint.delay - 0
FF - user.js: network.http.max-connections - 48
FF - user.js: network.http.max-connections-per-server - 16
FF - user.js: network.http.max-persistent-connections-per-proxy - 16
FF - user.js: network.http.max-persistent-connections-per-server - 8
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.send_pings - 0
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-06 11:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{44494CC2-393A-2730-E4F6-461C70F7E59F}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paahgnlohdpmhfohdmmicppdkmcaopao"=hex:69,61,62,63,67,61,6b,69,69,66,62,65,62,
66,6c,6a,63,6d,00,00
"oakganimfdfjlkncgappcpddkejfmh"=hex:69,61,62,63,67,61,6b,69,69,66,62,65,62,66,
6c,6a,63,6d,00,00

[HKEY_LOCAL_MACHINE\software\Classes\€wA
S*I*D*\{271A3CF5-5A54-447B-A08F-BE805F0DA60B}\ProgID]
@="DataDesign.AXFoamPlugin.1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1000)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2432)
c:\programme\Stardock\ObjectDock\DockShellHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\wscntfy.exe
c:\programme\Logitech\SetPoint\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-06 12:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-06 10:02
ComboFix2.txt 2009-08-03 23:08
ComboFix3.txt 2009-08-03 22:32

Vor Suchlauf: 3.269.111.808 Bytes frei
Nach Suchlauf: 3.234.086.912 Bytes frei

Current=3 Default=3 Failed=1 LastKnownGood=2 Sets=,1,2,3,4,5,6,7,8,9
504 --- E O F --- 2009-08-05 22:51


HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:34, on 06.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Virenbekämpfung\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fiestaloca.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\svchost.exe,C:\WINDOWS\system32\word64main.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\win32x.exe,C:\WINDOWS\system32\renator.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - C:\PROGRA~1\REFRES~1\YREFRE~1.DLL
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [EraserRestartErase (2)] "Eraserl.exe" -rl "C:\WINDOWS\system32\1249239313.(null)" -method Gutmann
O4 - HKLM\..\RunOnce: [EraserRestartErase (3)] "Eraserl.exe" -rl "C:\WINDOWS\system32\1249239327.(null)" -method Gutmann
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ViOrb] C:\Programme\ViOrb\ViOrb.exe
O4 - HKCU\..\Run: [ICQUpdater] "C:\DOKUME~1\Jens\LOKALE~1\Temp\IcqUpdater.exe" -update 2916 "C:\PROGRA~1\ICQ6\updates" "C:\PROGRA~1\ICQ6" "C:\PROGRA~1\ICQ6\ICQ.exe noupdater=1" /autorun
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: IEPrint - http://www.visiontech.ltd.uk/software/download/IEPrint.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8833 bytes

#25 >>
Du hast Teatimer nicht deaktiviert:

TeaTimer deaktivieren:
Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Falls Spybot immer nocht nicht geht, dann deinstallier es.

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\svchost.ex e,C:\WINDOWS\system32\word64main.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\s ystem32\win32x.exe,C:\WINDOWS\system32\renator.exe,

O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a19.exe

und wähle fix checked.

Starte den Rechner neu.

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
c:\windows\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Macromedia\Common\c458c00a19.exe

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen


>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

c458c00a1

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Poste ein neues HJT Log.

Gruss Swiss

#26 Den TeaTimer habe ich ausgeschaltet, genau wie beschrieben.
Habe dann die beiden Einträge "gefixed" mit HJT

Avenger hat schonmal funktioniert, aber diesmal leider nicht...da kommt immer eine Fehlermeldung, dass ich nicht genug Rechte habe, dieses Gerät auszuführen... ich bin aber als Admin angemeldet... woran kann das liegen?

RegSearch hab ich geladen, Log ist anbei:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "c458c00a1" 09.08.2009 06:05:23

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\.DEFAULT\Software\AppDataLow\Software\Macromedia]
"c458c00a18"=hex:bd,9c,00,00

[HKEY_USERS\.DEFAULT\Software\Macromedia]
"c458c00a18"=hex:bd,9c,00,00

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\AppDataLow\Software\Macromedia]
"c458c00a18"=hex:e9,ae,0e,00

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\AppDataLow\Software\Macromedia]
"c458c00a13"=hex:60,e8,da,d1,89,14,ca,01

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\AppDataLow\Software\Macromedia]
"c458c00a16"=hex:46,bc,61,d1

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Macromedia]
"c458c00a18"=hex:e9,ae,0e,00

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Macromedia]
"c458c00a13"=hex:60,e8,da,d1,89,14,ca,01

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Macromedia]
"c458c00a16"=hex:46,bc,61,d1

[HKEY_USERS\S-1-5-21-1957994488-1409082233-839522115-1003\Software\Microsoft\Windows\CurrentVersion\run]
"WAB"="C:\\Dokumente und Einstellungen\\Jens\\Anwendungsdaten\\Macromedia\\Common\\c458c00a19.exe"

[HKEY_USERS\S-1-5-18\Software\AppDataLow\Software\Macromedia]
"c458c00a18"=hex:bd,9c,00,00

[HKEY_USERS\S-1-5-18\Software\Macromedia]
"c458c00a18"=hex:bd,9c,00,00


Hier das HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:14:06, on 09.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\programme\mozilla firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Virenbekämpfung\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fiestaloca.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - C:\PROGRA~1\REFRES~1\YREFRE~1.DLL
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [EraserRestartErase (2)] "Eraserl.exe" -rl "C:\WINDOWS\system32\1249239313.(null)" -method Gutmann
O4 - HKLM\..\RunOnce: [EraserRestartErase (3)] "Eraserl.exe" -rl "C:\WINDOWS\system32\1249239327.(null)" -method Gutmann
O4 - HKCU\..\Run: [ViOrb] C:\Programme\ViOrb\ViOrb.exe
O4 - HKCU\..\Run: [ICQUpdater] "C:\DOKUME~1\Jens\LOKALE~1\Temp\IcqUpdater.exe" -update 2916 "C:\PROGRA~1\ICQ6\updates" "C:\PROGRA~1\ICQ6" "C:\PROGRA~1\ICQ6\ICQ.exe noupdater=1" /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: IEPrint - http://www.visiontech.ltd.uk/software/download/IEPrint.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8454 bytes

#27 Download OTM.exe zum Desktop
Oeffne:OTM.exe
(Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator")

OTM auf dem Desktop speichern

OTM.exe klicken

1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTM automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
Mach einen Onlinescan mit Bitdefender und poste den Bericht:
http://www.bitdefender.com/scan_uk/scan8/ie.html

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\Common" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

Gruss Swiss

#28 OTM hat geklappt.

Der Scan mit Bitdefender leider nicht, mit Firefox läuft das ja nicht, habs dann mit IE gestartet und auch dem Installieren der Dateien zugestimmt, aber seit dem steht da nur "Loading" und unten in der Statusleiste wird angezeigt, dass "Daten runtergeladen werden", aber es tut sich seit über einer Stunde nichts...

Hier der Text von der listen.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 509B-82C9

Verzeichnis von C:\Programme

04.08.2009 04:38 <DIR> .
04.08.2009 04:38 <DIR> ..
05.12.2008 23:47 <DIR> Adobe
04.09.2008 15:09 <DIR> Agfa
05.08.2005 20:35 <DIR> Ahead
10.08.2009 09:14 <DIR> AntiVir PersonalEdition Classic
03.03.2009 13:08 <DIR> Apple Software Update
29.12.2006 22:03 <DIR> ATI Technologies
31.12.2008 21:25 <DIR> Audiograbber
04.09.2008 23:44 <DIR> Avery
26.02.2007 14:52 <DIR> Avira
04.10.2006 21:54 <DIR> AviSynth 2.5
09.02.2006 20:07 <DIR> AVPersonal
22.07.2007 13:23 <DIR> Canon
01.08.2008 20:47 <DIR> CleanUp!
29.11.2004 22:02 <DIR> ComPlus Applications
22.07.2007 13:25 <DIR> ConvertXtoDVD
04.08.2009 04:49 <DIR> CryptLoad_1.1.4
15.07.2005 21:17 <DIR> CyberLink
28.07.2009 18:58 <DIR> DivX
10.01.2006 10:03 <DIR> DVBViewerTE
28.08.2005 10:37 <DIR> DVD Shrink
28.10.2006 19:19 <DIR> eBay
19.04.2008 17:30 <DIR> ElsterFormular
13.04.2008 15:33 <DIR> Eraser
22.07.2007 13:43 <DIR> eScan
24.08.2008 18:27 <DIR> EVEREST Home Edition
07.05.2006 21:29 <DIR> FiestaLoca
06.06.2006 22:17 <DIR> FileZilla
20.04.2008 19:55 <DIR> Folder Guide
06.08.2009 11:52 <DIR> Gemeinsame Dateien
30.09.2008 00:01 2.999.808 Gemeinsame DateienDDBACSetup.msi
29.03.2009 20:26 <DIR> ICQ6
15.07.2009 19:49 <DIR> IKEA HomePlanner
06.08.2009 11:38 <DIR> Internet Explorer
04.10.2007 19:32 <DIR> Java
09.01.2006 15:10 <DIR> Lavasoft
02.09.2008 22:12 <DIR> LG Electronics
02.09.2008 22:12 <DIR> LG PC Suite 2
15.09.2005 22:26 <DIR> Logitech
04.08.2009 01:37 <DIR> Malware Avenger
04.08.2009 00:36 <DIR> Malwarebytes' Anti-Malware
05.08.2008 18:13 <DIR> Messenger
24.07.2009 18:36 <DIR> Microsoft
29.11.2004 22:04 <DIR> microsoft frontpage
07.12.2004 20:46 <DIR> Microsoft Office
16.02.2005 00:06 <DIR> Mobile Phone Manager
05.08.2008 17:16 <DIR> Movie Maker
10.08.2009 12:07 <DIR> Mozilla Firefox
28.08.2005 11:16 <DIR> MP3 Trim
05.08.2008 12:41 <DIR> msn
29.11.2004 22:02 <DIR> MSN Gaming Zone
22.07.2007 01:20 <DIR> MSXML 4.0
11.12.2008 00:50 <DIR> MSXML 6.0
25.01.2009 20:01 <DIR> NetMeeting
10.10.2006 20:34 <DIR> Nummerator
15.07.2009 18:28 <DIR> OnlineControl
05.06.2009 12:54 <DIR> Outlook Express
24.05.2006 17:13 <DIR> PantsOff
31.05.2008 13:27 <DIR> PC Wizard 2008
02.04.2007 09:46 <DIR> Phenomedia AG
19.06.2009 21:55 <DIR> QuickTime
27.08.2005 11:50 <DIR> Real
28.11.2006 21:06 <DIR> Refresher
13.04.2008 15:41 <DIR> RegCleaner
29.03.2008 15:19 <DIR> REINER SCT
23.08.2005 19:18 <DIR> Samsung
02.08.2009 21:41 <DIR> Shareaza
06.11.2007 00:04 <DIR> Sigel
11.02.2007 22:00 <DIR> Skype
07.12.2004 23:44 <DIR> SM Card Reader
06.08.2009 23:34 <DIR> Spybot - Search & Destroy
05.08.2008 04:55 <DIR> Stardock
02.04.2007 09:47 <DIR> StarMoney 4.0 S-Edition
22.07.2007 13:37 <DIR> StarMoney 5.0 S-Edition
10.08.2009 11:56 <DIR> StarMoney 6.0 S-Edition
19.01.2008 17:36 <DIR> t-com_update
05.12.2008 22:18 <DIR> TeamViewer3
23.11.2005 17:08 <DIR> TechniSat DVB
22.11.2005 15:52 <DIR> Technisat Treiber
19.01.2008 17:14 <DIR> Teledat X120
03.03.2009 12:28 <DIR> Thoosje Sidebar V2.3
15.03.2008 22:35 <DIR> TrueCrypt
05.08.2008 00:09 <DIR> TrueTransparency
04.08.2009 04:39 <DIR> TVgenial
31.05.2008 13:33 <DIR> TweakPower
05.08.2008 04:29 <DIR> Universal
29.05.2005 16:32 <DIR> Utimaco
05.08.2008 17:59 <DIR> VIA
30.03.2006 07:07 <DIR> VLC Player
24.07.2009 18:36 <DIR> Windows Live
24.07.2009 18:36 <DIR> Windows Live SkyDrive
05.08.2008 17:16 <DIR> Windows Media Player
05.08.2008 17:16 <DIR> Windows NT
05.08.2008 09:09 <DIR> WinFlip
10.10.2006 20:34 <DIR> WinRAR
22.07.2007 13:39 <DIR> WinSpeedUp
13.08.2005 23:54 <DIR> WinZip
29.11.2004 22:04 <DIR> xerox
09.07.2007 18:56 <DIR> XP AntiSpy
13.08.2005 23:36 <DIR> Zone Labs
1 Datei(en) 2.999.808 Bytes
100 Verzeichnis(se), 3.966.115.840 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 509B-82C9

Verzeichnis von C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten

09.09.2005 19:52 <DIR> Adobe
09.12.2004 00:55 <DIR> Ahead
03.03.2009 13:08 <DIR> Apple
03.03.2009 13:07 <DIR> Apple Computer
01.08.2009 19:53 125.440 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13.04.2008 15:42 <DIR> Eraser
10.04.2009 15:24 36.312 GDIPFONTCACHEV1.DAT
29.06.2006 18:30 <DIR> Google
29.11.2004 23:14 <DIR> Help
12.04.2009 09:48 <DIR> Identities
15.07.2005 21:28 <DIR> MediaLife
06.08.2009 12:02 <DIR> Microsoft
17.11.2007 15:21 <DIR> Mozilla
15.07.2005 21:26 <DIR> Powercinema
01.12.2004 01:07 <DIR> Shareaza
05.08.2008 05:04 <DIR> Stardock
19.04.2008 14:51 <DIR> WMTools Downloaded Files
2 Datei(en) 161.752 Bytes
15 Verzeichnis(se), 3.966.115.840 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 509B-82C9

Verzeichnis von C:\Dokumente und Einstellungen\Jens\Anwendungsdaten

01.09.2008 14:08 <DIR> Adobe
21.09.2005 18:39 871 AdobeDLM.log
14.01.2007 13:50 <DIR> AdobeUM
07.08.2005 22:15 <DIR> Ahead
04.08.2009 03:27 <DIR> Apple Computer
26.12.2007 00:20 <DIR> Azureus
05.08.2008 04:48 1.542.134 bgz.ccp
05.08.2008 04:48 8.946 cgz.ccp
03.12.2007 19:27 <DIR> CoSoSys
15.07.2005 21:26 <DIR> CyberLink
09.04.2008 21:20 <DIR> DataDesign
18.03.2005 19:30 <DIR> Dee
24.12.2007 18:14 <DIR> DivX
21.09.2005 18:39 0 dm.ini
22.07.2007 13:25 81.920 ezpinst.exe
29.01.2005 21:14 <DIR> FileMaker
07.04.2009 18:05 35.920 GDIPFONTCACHEV1.DAT
29.06.2006 18:29 <DIR> Google
29.11.2004 23:14 <DIR> Help
10.02.2008 22:40 <DIR> ICQ
01.12.2004 00:17 <DIR> ICQLite
12.04.2009 09:48 <DIR> Identities
10.02.2008 22:09 <DIR> InstallShield
09.01.2006 15:10 <DIR> Lavasoft
21.12.2007 20:50 <DIR> LG Electronics
15.07.2005 21:26 <DIR> Logitech
01.07.2009 18:56 <DIR> Macromedia
04.08.2009 00:35 <DIR> Malwarebytes
06.06.2008 23:00 <DIR> Move Networks
23.06.2008 18:37 <DIR> Mozilla
30.11.2004 22:36 <DIR> MSN6
05.08.2008 04:57 <DIR> OtakuSoftware
22.07.2007 13:25 7.176 pcouffin.cat
22.07.2007 13:25 1.144 pcouffin.inf
22.07.2007 13:25 33 pcouffin.log
22.07.2007 13:25 47.360 pcouffin.sys
24.06.2006 21:05 <DIR> Picofactory
18.06.2006 17:18 <DIR> Real
20.07.2008 16:30 <DIR> RouterControl
09.07.2009 20:36 <DIR> Skype
29.03.2008 15:43 <DIR> SmartLine
05.08.2008 00:09 <DIR> Styler
21.12.2005 18:59 <DIR> Sun
05.05.2006 11:21 <DIR> T-DSL SpeedManager
05.12.2008 22:18 <DIR> TeamViewer
19.01.2008 17:16 <DIR> Teledat
15.03.2008 22:38 <DIR> TrueCrypt
03.03.2006 15:08 <DIR> vlc
22.07.2007 13:25 <DIR> Vso
21.07.2007 23:17 <DIR> WholeSecurity
05.04.2008 15:32 <DIR> WinRAR
16.02.2005 00:13 <DIR> XCPCSync.OEM
10 Datei(en) 1.725.504 Bytes
42 Verzeichnis(se), 3.966.111.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 509B-82C9

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

10.02.2006 18:59 305 addr_file.html
11.02.2006 13:59 <DIR> Adobe
09.09.2005 20:40 <DIR> Adobe Systems
05.08.2005 20:35 <DIR> Ahead
10.08.2009 09:14 <DIR> AntiVir PersonalEdition Classic
03.03.2009 13:07 <DIR> Apple
19.06.2009 21:55 <DIR> Apple Computer
29.03.2008 15:20 <DIR> cyberJack Base Components
02.05.2009 09:53 <DIR> DVD Shrink
02.12.2007 19:59 <DIR> eBay
29.09.2008 19:52 <DIR> ElsterFormular
04.08.2009 00:35 <DIR> Malwarebytes
30.11.2004 22:36 <DIR> MSN6
12.03.2009 22:44 <DIR> REINER SCT
23.01.2008 18:51 <DIR> SiComponents
17.08.2007 15:47 <DIR> Skype
02.08.2009 20:36 <DIR> Spybot - Search & Destroy
05.05.2006 11:15 <DIR> T-DSL SpeedManager
19.01.2008 17:16 <DIR> Teledat
14.08.2005 00:16 <DIR> Windows Genuine Advantage
25.07.2008 22:38 <DIR> WLInstaller
1 Datei(en) 305 Bytes
20 Verzeichnis(se), 3.966.111.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 509B-82C9

Verzeichnis von C:\Programme\Gemeinsame Dateien

06.08.2009 11:52 <DIR> .
06.08.2009 11:52 <DIR> ..
05.01.2006 20:33 <DIR> Adobe
05.01.2006 20:37 <DIR> Adobe Systems Shared
04.09.2008 14:58 <DIR> Agfa
01.12.2004 01:12 <DIR> Ahead
30.09.2008 00:02 <DIR> DataDesign
07.12.2004 20:47 <DIR> Designer
29.11.2004 22:02 <DIR> Dienste
28.07.2009 18:58 <DIR> DivX Shared
23.01.2008 18:48 <DIR> DVDVideoSoft
10.04.2005 20:32 <DIR> InstallShield
21.12.2005 18:57 <DIR> Java
31.07.2006 00:39 <DIR> Lexware
15.09.2005 22:26 <DIR> Logitech
24.07.2009 18:36 <DIR> Microsoft Shared
29.11.2004 22:02 <DIR> MSSoap
06.12.2004 19:08 <DIR> NSV
29.11.2004 21:59 <DIR> ODBC
15.09.2006 18:33 <DIR> Real
08.12.2004 18:13 <DIR> SCM
17.08.2007 15:47 <DIR> Skype
29.11.2004 21:58 <DIR> SpeechEngines
05.08.2008 04:55 <DIR> Stardock
05.08.2008 17:16 <DIR> System
25.01.2009 18:57 <DIR> Windows Live
15.07.2009 19:49 <DIR> Wise Installation Wizard
16.02.2005 00:06 <DIR> XCPCSync.OEM
15.09.2006 18:33 <DIR> xing shared
0 Datei(en) 0 Bytes
29 Verzeichnis(se), 3.966.111.744 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 509B-82C9

Verzeichnis von C:\Windows\tasks

19.06.2009 21:52 276 AppleSoftwareUpdate.job
1 Datei(en) 276 Bytes
0 Verzeichnis(se), 3.966.111.744 Bytes frei

#29 Schau mal was sich in folgendem Ordner befindet:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\Common

Gruss Swiss

#30 Den Ordner
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\Common
gibt es bei mir nicht...
nur den Ordner
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Macromedia\Common
da war ja vorher diese Datei "c458c00a19.exe" drin, die aber durch die Reinigungsvorgänge gelöscht wurde und seitdem auch da nicht wieder aufgetaucht ist. Der Ordner ist schon länger leer.
Gruß, Jens