cpu komplett ausgelastet/ HiJackThis

#16 Entferne via Software DAEMON Tools Toolbar

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll

Klicke Fixed checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Erstelle auf dein desktop ein neuen Ordner mit namen Killem
Download List_Killem im Ordner Killem auf dem Desktop

Entpacke Kill'em und starte mit

Doppelklick List_Killem und waehle im naechsten Fenster E Enter und dann 1 Enter
Am Ende erscheint ein Log (List'em.txt) Poste dessen Inhalt im Thread
__________
MfG Argus

#17 also alle von den genannten einträgen waren nicht da! habe zwei R1 und ein R3 entfernt!

List'em by g3n-h@ckm@n 1.1.3.1

Thx to Chiquitine29.....& CCM team

User : Ph (Administratoren) # PHILLIP
Update on 08/12/2009 by g3n-h@ckm@n ::::: 12:30
Start at: 22:36:01 | 08.12.2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Lokale Festplatte | 71,04 Go (32,71 Go free) [Lokaler Datenträger 1] | NTFS
D:\ -> Lokale Festplatte | 72 Go (37,19 Go free) [Lokaler Datenträger 2] | NTFS

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe 648
C:\WINDOWS\system32\csrss.exe 712
C:\WINDOWS\system32\winlogon.exe 736
C:\WINDOWS\system32\services.exe 780
C:\WINDOWS\system32\lsass.exe 792
C:\WINDOWS\system32\svchost.exe 972
C:\WINDOWS\system32\svchost.exe 1040
C:\WINDOWS\System32\svchost.exe 1080
C:\WINDOWS\system32\svchost.exe 1184
C:\WINDOWS\system32\svchost.exe 1220
C:\WINDOWS\system32\spoolsv.exe 1576
C:\WINDOWS\system32\brss01a.exe 1640
C:\Programme\Avira\AntiVir Desktop\sched.exe 1760
C:\WINDOWS\system32\svchost.exe 1808
C:\Programme\Avira\AntiVir Desktop\avguard.exe 1892
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1912
C:\Programme\Java\jre6\bin\jqs.exe 2040
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 224
C:\Programme\Google\Update\GoogleUpdate.exe 552
C:\WINDOWS\system32\svchost.exe 556
C:\WINDOWS\system32\wbem\unsecapp.exe 1500
C:\WINDOWS\system32\wbem\wmiprvse.exe 1196
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2528
C:\WINDOWS\System32\alg.exe 2704
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe 928
C:\WINDOWS\system32\wuauclt.exe 3732
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe 3828
C:\WINDOWS\explorer.exe 684
C:\Programme\Mozilla Firefox\firefox.exe 4044
C:\Dokumente und Einstellungen\Ph\Desktop\Killem\List_Kill'em.exe 148
C:\WINDOWS\system32\cmd.exe 2772
C:\WINDOWS\system32\wbem\wmiprvse.exe 1164
C:\Dokumente und Einstellungen\Ph\Lokale Einstellungen\temp\87.tmp\pv.exe 1112

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
RocketDock REG_SZ "C:\Programme\RocketDock\RocketDock.exe"
CCleaner REG_SZ "C:\Programme\CCleaner\CCleaner.exe" /AUTO
UberIcon REG_SZ "C:\Programme\UberIcon\UberIcon Manager.exe"
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AutorunsDisabled

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SunJavaUpdateSched REG_SZ "C:\Programme\Java\jre6\bin\jusched.exe"
RTHDCPL REG_SZ RTHDCPL.EXE
EDS REG_SZ C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
SynTPEnh REG_SZ C:\Programme\Synaptics\SynTP\SynTPEnh.exe
DMHotKey REG_SZ C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
BatteryManager REG_SZ C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
MagicKeyboard REG_SZ C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
BIH REG_SZ C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge
SUPBackGround REG_SZ C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe
avgnt REG_SZ "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Adobe Reader Speed Launcher REG_SZ "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
DisableRegistryTools REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
NoDriveTypeAutoRun REG_DWORD 323 (0x143)
NoDrives REG_DWORD 0 (0x0)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
HonorAutoRunSetting REG_DWORD 1 (0x1)
NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
NoDriveTypeAutoRun REG_DWORD 323 (0x143)
NoDrives REG_DWORD 0 (0x0)
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igfxcui]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\WINDOWS\system32\dpvsetup.exe REG_SZ C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test
C:\Programme\iTunes\iTunes.exe REG_SZ C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes
C:\Programme\TVAnts\Tvants.exe REG_SZ C:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts
C:\Programme\Mozilla Firefox\firefox.exe REG_SZ C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox
C:\Programme\ICQ6.5\ICQ.exe REG_SZ C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
C:\WINDOWS\NCLAUNCH.EXe REG_SZ C:\WINDOWS\NCLAUNCH.EXe:*:Enabled:Launcher
C:\Casino\bwin Casino\casino.exe REG_SZ C:\Casino\bwin Casino\casino.exe:*:Enabled:casino
C:\Programme\Skype\Plugin Manager\skypePM.exe REG_SZ C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
C:\Programme\Skype\Phone\Skype.exe REG_SZ C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

===============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.daemon-search.com/startpage

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3
EapHost : 0x3
SharedAccess : 0x2
wuauserv : 0x2

=========

=======
Drive :
=======

Windows-Defragmentierung
Copyright (c) 2001 Microsoft Corp. und Executive Software International, Inc.

Überprüfungsbericht
71,04 GB Gesamt, 32,71 GB (46%) Verfügbar, 0% Fragmentiert (0% Dateifragmentierung)

Das Volume muss nicht defragmentiert werden.

==========
Programs
==========

1-abc
Adobe
Apple Software Update
AskSearch
Atheros WLAN Client
Avira
BatteryInfo
CCleaner
COMODO
ComPlus Applications
DAEMON Tools Lite
DAEMON Tools Toolbar
DIFX
DivX
DVDVideoSoft
eBay
ESTsoft
Gemeinsame Dateien
Google
ICQ6.5
ICQ6Toolbar
ICQLite
ICQToolbar
infineon
InstallShield Installation Information
Intel
Internet Explorer
iPod
iTunes
Java
K-Lite Codec Pack
Lavasoft
LG Electronics
Malwarebytes' Anti-Malware
Marvell
Messenger
microsoft frontpage
Microsoft Office
Microsoft Visual Studio
Microsoft.NET
Movie Maker
Mozilla Firefox
MSN
MSN Gaming Zone
MSXML 4.0
NetMeeting
Online Services
Online-Dienste
OpenOffice.org 3
Outlook Express
QIP
QuickTime
Realtek
RocketDock
Samsung
Skype
Steganos Safe 2007
Synaptics
TVAnts
UberIcon
Uninstall Information
updatestar
VideoLAN
Vimicro Corporation
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox

¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\Programme\DAEMON Tools Toolbar
C:\Programme\Mozilla FireFox\Components\AskSearch.js
C:\WINDOWS\mbr.exe
C:\WINDOWS\winstart.bat

¤¤¤¤¤¤¤¤¤¤ Keys :

"HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

=========
Rootkits
=========

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-08 22:39:34
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:8f,95,c3,c6,dc,6d,38,4f,ac,f7,08,29,90,62,9c,b9,30,7e,67,3e,38,..
"p0"="C:\Programme\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"hdf12"=hex:fa,eb,fe,64,dd,1d,53,d5,18,f5,be,a9,23,00,ce,d9,06,5f,4e,22,cb,..
"a0"=hex:20,01,00,00,e6,0b,08,2d,e9,6f,a9,40,1a,cf,4e,3a,76,51,86,13,88,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:c5,46,68,a3,b4,89,ed,b1,cf,3f,a5,ed,69,2c,f2,2c,81,3e,60,7d,fc,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:8f,95,c3,c6,dc,6d,38,4f,ac,f7,08,29,90,62,9c,b9,30,7e,67,3e,38,..
"p0"="C:\Programme\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"hdf12"=hex:fa,eb,fe,64,dd,1d,53,d5,18,f5,be,a9,23,00,ce,d9,06,5f,4e,22,cb,..
"a0"=hex:20,01,00,00,e6,0b,08,2d,e9,6f,a9,40,1a,cf,4e,3a,76,51,86,13,88,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:c5,46,68,a3,b4,89,ed,b1,cf,3f,a5,ed,69,2c,f2,2c,81,3e,60,7d,fc,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤)

#18 Starte Kill’em nochmal
Doppelklick List_Killem und waehle im naechsten Fenster E Enter und dann 2 Enter
Am Ende erscheint ein Log (List'em.txt) Poste dessen Inhalt im Thread

Entferne von C:\Kill’em Mülleimer leeren !
__________
MfG Argus

#19 Kill'em by g3n-h@ckm@n 1.1.3.1

User : Ph (Administratoren) # PHILLIP
Update on 08/12/2009 by g3n-h@ckm@n ::::: 12:30
Start at: 23:20:16 | 08.12.2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Lokale Festplatte | 71,04 Go (32,75 Go free) [Lokaler Datenträger 1] | NTFS
D:\ -> Lokale Festplatte | 72 Go (37,19 Go free) [Lokaler Datenträger 2] | NTFS
E:\ -> CD


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe 664
C:\WINDOWS\system32\csrss.exe 728
C:\WINDOWS\system32\winlogon.exe 752
C:\WINDOWS\system32\services.exe 796
C:\WINDOWS\system32\lsass.exe 808
C:\WINDOWS\system32\svchost.exe 988
C:\WINDOWS\system32\svchost.exe 1056
C:\WINDOWS\System32\svchost.exe 1096
C:\WINDOWS\system32\svchost.exe 1200
C:\WINDOWS\system32\svchost.exe 1240
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe 1420
C:\WINDOWS\system32\brsvc01a.exe 1572
C:\WINDOWS\system32\brss01a.exe 1588
C:\WINDOWS\system32\spoolsv.exe 1648
C:\WINDOWS\Explorer.EXE 1656
C:\Programme\Avira\AntiVir Desktop\sched.exe 1728
C:\WINDOWS\system32\svchost.exe 1808
C:\Programme\Java\jre6\bin\jusched.exe 164
C:\WINDOWS\RTHDCPL.EXE 176
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe 180
C:\WINDOWS\system32\igfxtray.exe 188
C:\WINDOWS\system32\hkcmd.exe 216
C:\WINDOWS\system32\igfxpers.exe 224
C:\Programme\Synaptics\SynTP\SynTPEnh.exe 232
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe 248
C:\WINDOWS\system32\igfxsrvc.exe 352
C:\WINDOWS\system32\rundll32.exe 372
C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe 416
C:\Programme\Avira\AntiVir Desktop\avgnt.exe 436
C:\Programme\RocketDock\RocketDock.exe 472
C:\Programme\UberIcon\UberIcon Manager.exe 512
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe 540
C:\Programme\Avira\AntiVir Desktop\avguard.exe 588
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 612
C:\Programme\Java\jre6\bin\jqs.exe 732
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 1144
C:\Programme\Google\Update\GoogleUpdate.exe 1152
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe 1364
C:\WINDOWS\system32\svchost.exe 1428
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe 2124
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe 2132
C:\WINDOWS\system32\wbem\unsecapp.exe 2888
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2920
C:\WINDOWS\system32\igfxext.exe 3020
C:\WINDOWS\system32\wbem\wmiprvse.exe 3164
C:\WINDOWS\System32\alg.exe 3228
C:\WINDOWS\system32\wuauclt.exe 1924
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe 1412
C:\Dokumente und Einstellungen\Ph\Desktop\Killem\List_Kill'em.exe 2516
C:\WINDOWS\system32\cmd.exe 2528
C:\WINDOWS\system32\wbem\wmiprvse.exe 2828
C:\Dokumente und Einstellungen\Ph\Lokale Einstellungen\temp\9.tmp\pv.exe 1644

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

"C:\Programme\DAEMON Tools Toolbar"
"C:\Programme\Mozilla FireFox\Components\AskSearch.js"
"C:\WINDOWS\mbr.exe"
"C:\WINDOWS\winstart.bat"


¤¤¤¤¤¤¤¤¤¤ Files/folders deleted :

Quarantine :

AskSearch.js.Kill'em
DAEMON Tools Toolbar.Kill'em
MBR.exe.Kill'em
winstart.bat.Kill'em

==============
host file OK !
==============

========
Registry
========
Deleted : HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

============
Disk Cleaned
============

================
Prefetch cleaned :
================

Layout.ini
NTOSBOOT-B00DFAAD.pf



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

#20 Download LopSD zum Desktop
Doppelklick um es zu starten, Tippe D (Deutsch), [Enter] und tippe 1.
Poste anschliessend die Datei LopR.txt
__________
MfG Argus

#21 --------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Atom(TM) CPU N270 @ 1.60GHz )
BIOS : Phoenix SecureCore(tm) NB Version 02CA.MP00.20081015.KTW
USER : Ph ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
C:\ (Local Disk) - NTFS - Total:71 Go (Free:32 Go)
D:\ (Local Disk) - NTFS - Total:71 Go (Free:37 Go)
E:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 08.12.2009|23:44 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[24.12.2008|20:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[26.11.2009|18:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
[03.06.2009|15:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[24.12.2008|20:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[24.12.2008|20:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[03.06.2009|15:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[28.11.2009|10:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
[14.09.2009|14:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[28.04.2009|15:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
[29.06.2009|22:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\LGMOBILEAX
[16.11.2009|19:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[29.01.2009|20:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\McAfee
[19.11.2009|17:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[08.12.2009|13:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Screentime
[09.11.2009|18:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[03.11.2008|14:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLAN
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[18|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[03.11.2008|14:41] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[03.11.2008|14:49] C:\DOKUME~1\DEFAUL~1\ANWEND~1\InstallShield
[03.11.2008|15:05] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[5|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[02.12.2009|21:59] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe
[03.11.2008|14:44] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[03.11.2008|14:44] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[29.06.2009|22:28] C:\DOKUME~1\Ph\ANWEND~1\{D94BA408-F110-488B-A65E-3AE7945F79E6}
[05.01.2009|13:04] C:\DOKUME~1\Ph\ANWEND~1\Adobe
[01.11.2009|13:02] C:\DOKUME~1\Ph\ANWEND~1\AdobeUM
[25.12.2008|22:46] C:\DOKUME~1\Ph\ANWEND~1\Apple Computer
[11.03.2009|16:44] C:\DOKUME~1\Ph\ANWEND~1\Brother
[03.06.2009|15:30] C:\DOKUME~1\Ph\ANWEND~1\ComodoGroup
[05.11.2009|13:07] C:\DOKUME~1\Ph\ANWEND~1\DAEMON Tools Lite
[29.12.2008|11:24] C:\DOKUME~1\Ph\ANWEND~1\ESTSoft
[02.10.2009|12:39] C:\DOKUME~1\Ph\ANWEND~1\Google
[29.11.2009|11:33] C:\DOKUME~1\Ph\ANWEND~1\ICQ
[29.12.2008|17:59] C:\DOKUME~1\Ph\ANWEND~1\ICQ Toolbar
[25.12.2008|15:35] C:\DOKUME~1\Ph\ANWEND~1\ICQLite
[03.11.2008|14:41] C:\DOKUME~1\Ph\ANWEND~1\Identities
[03.11.2008|14:49] C:\DOKUME~1\Ph\ANWEND~1\InstallShield
[03.06.2009|17:46] C:\DOKUME~1\Ph\ANWEND~1\LG Electronics
[25.12.2008|02:42] C:\DOKUME~1\Ph\ANWEND~1\Macromedia
[16.11.2009|19:50] C:\DOKUME~1\Ph\ANWEND~1\Malwarebytes
[25.08.2009|10:31] C:\DOKUME~1\Ph\ANWEND~1\Media Player Classic
[08.12.2009|13:14] C:\DOKUME~1\Ph\ANWEND~1\Microsoft
[24.12.2008|20:54] C:\DOKUME~1\Ph\ANWEND~1\Mozilla
[29.11.2009|12:14] C:\DOKUME~1\Ph\ANWEND~1\OpenOffice.org
[10.11.2009|19:00] C:\DOKUME~1\Ph\ANWEND~1\Skype
[10.11.2009|18:07] C:\DOKUME~1\Ph\ANWEND~1\skypePM
[18.11.2009|18:18] C:\DOKUME~1\Ph\ANWEND~1\Steganos
[03.01.2009|10:50] C:\DOKUME~1\Ph\ANWEND~1\Sun
[25.12.2008|18:18] C:\DOKUME~1\Ph\ANWEND~1\U3
[03.06.2009|15:25] C:\DOKUME~1\Ph\ANWEND~1\UpdateStar
[10.01.2009|22:18] C:\DOKUME~1\Ph\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\Ph\ANWEND~1\Bytes
[30|Verzeichnis(se),] C:\DOKUME~1\Ph\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[07.12.2009 17:30][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[07.12.2009 17:30][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[08.12.2009 23:07][--a------] C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[07.12.2009 17:30][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[14.04.2008 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
[08.12.2009 23:04][--ah-----] C:\WINDOWS\tasks\SA.DAT

--------------------\\ Ordner Verzeichnis unter C:\Programme

[04.06.2009|14:19] C:\Programme\1-abc
[03.06.2009|15:29] C:\Programme\Adobe
[24.12.2008|20:00] C:\Programme\Apple Software Update
[24.12.2008|23:13] C:\Programme\AskSearch
[03.11.2008|14:49] C:\Programme\Atheros WLAN Client
[03.06.2009|15:35] C:\Programme\Avira
[04.01.2009|17:41] C:\Programme\BatteryInfo
[27.12.2008|18:54] C:\Programme\CCleaner
[03.06.2009|15:30] C:\Programme\COMODO
[03.11.2008|14:39] C:\Programme\ComPlus Applications
[28.11.2009|11:00] C:\Programme\DAEMON Tools Lite
[29.06.2009|22:34] C:\Programme\DIFX
[01.12.2009|07:41] C:\Programme\DivX
[24.12.2008|23:13] C:\Programme\DVDVideoSoft
[04.05.2009|15:42] C:\Programme\eBay
[29.12.2008|11:24] C:\Programme\ESTsoft
[08.12.2009|21:46] C:\Programme\Gemeinsame Dateien
[07.12.2009|17:42] C:\Programme\Google
[14.09.2009|14:24] C:\Programme\ICQ6.5
[14.09.2009|14:23] C:\Programme\ICQ6Toolbar
[14.09.2009|14:23] C:\Programme\ICQLite
[29.12.2008|18:00] C:\Programme\ICQToolbar
[29.06.2009|22:34] C:\Programme\infineon
[14.09.2009|14:23] C:\Programme\InstallShield Installation Information
[03.11.2008|14:46] C:\Programme\Intel
[24.12.2008|20:02] C:\Programme\Internet Explorer
[24.12.2008|20:03] C:\Programme\iPod
[24.12.2008|20:03] C:\Programme\iTunes
[29.11.2009|12:10] C:\Programme\Java
[25.08.2009|10:33] C:\Programme\K-Lite Codec Pack
[28.04.2009|15:19] C:\Programme\Lavasoft
[08.12.2009|13:38] C:\Programme\LG Electronics
[07.12.2009|19:52] C:\Programme\Malwarebytes' Anti-Malware
[03.11.2008|14:48] C:\Programme\Marvell
[25.12.2008|23:08] C:\Programme\Messenger
[03.11.2008|14:41] C:\Programme\microsoft frontpage
[29.11.2009|12:07] C:\Programme\Microsoft Office
[04.01.2009|14:37] C:\Programme\Microsoft Visual Studio
[29.11.2009|12:08] C:\Programme\Microsoft.NET
[03.11.2008|14:39] C:\Programme\Movie Maker
[08.12.2009|23:27] C:\Programme\Mozilla Firefox
[03.11.2008|14:37] C:\Programme\MSN
[03.11.2008|14:38] C:\Programme\MSN Gaming Zone
[03.11.2008|14:52] C:\Programme\MSXML 4.0
[03.11.2008|14:39] C:\Programme\NetMeeting
[03.11.2008|14:38] C:\Programme\Online Services
[03.11.2008|14:39] C:\Programme\Online-Dienste
[08.12.2009|13:43] C:\Programme\OpenOffice.org 3
[12.08.2009|13:25] C:\Programme\Outlook Express
[04.06.2009|14:51] C:\Programme\QIP
[24.12.2008|20:02] C:\Programme\QuickTime
[03.11.2008|14:47] C:\Programme\Realtek
[18.11.2009|17:51] C:\Programme\RocketDock
[28.11.2008|22:55] C:\Programme\Samsung
[09.11.2009|18:47] C:\Programme\Skype
[18.11.2009|18:11] C:\Programme\Steganos Safe 2007
[03.11.2008|14:49] C:\Programme\Synaptics
[22.02.2009|19:09] C:\Programme\TVAnts
[07.12.2009|17:25] C:\Programme\UberIcon
[03.11.2008|14:45] C:\Programme\Uninstall Information
[03.06.2009|15:16] C:\Programme\updatestar
[29.12.2008|11:22] C:\Programme\VideoLAN
[03.11.2008|14:49] C:\Programme\Vimicro Corporation
[03.11.2008|14:41] C:\Programme\Windows Media Player
[03.11.2008|14:38] C:\Programme\Windows NT
[03.11.2008|14:39] C:\Programme\WindowsUpdate
[29.12.2008|11:22] C:\Programme\WinRAR
[03.11.2008|14:41] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[70|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[01.11.2009|13:00] C:\Programme\Gemeinsame Dateien\Adobe
[24.12.2008|20:00] C:\Programme\Gemeinsame Dateien\Apple
[19.11.2009|17:17] C:\Programme\Gemeinsame Dateien\DESIGNER
[03.11.2008|14:39] C:\Programme\Gemeinsame Dateien\Dienste
[01.12.2009|07:40] C:\Programme\Gemeinsame Dateien\DivX Shared
[24.12.2008|23:13] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[03.11.2008|14:52] C:\Programme\Gemeinsame Dateien\InstallShield
[03.11.2008|14:45] C:\Programme\Gemeinsame Dateien\Java
[19.11.2009|17:22] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[03.11.2008|14:39] C:\Programme\Gemeinsame Dateien\MSSoap
[03.11.2008|14:34] C:\Programme\Gemeinsame Dateien\ODBC
[09.11.2009|18:47] C:\Programme\Gemeinsame Dateien\Skype
[03.11.2008|14:34] C:\Programme\Gemeinsame Dateien\SpeechEngines
[27.10.2009|19:05] C:\Programme\Gemeinsame Dateien\SWF Studio
[29.11.2009|12:07] C:\Programme\Gemeinsame Dateien\System
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[17|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 44 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\DOKUME~1\Ph\Cookies\ph@advertising[1].txt

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-08 23:47:07
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:42][D:5]-> C:\DOKUME~1\Ph\LOKALE~1\Temp
[F:11][D:0]-> C:\DOKUME~1\Ph\Cookies
[F:43][D:4]-> C:\DOKUME~1\Ph\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 08.12.2009|23:48 - Option : [1]

--------------------\\ Scan beendet um 23:48:09

#22 Entferne auf C:\Programme\AskSearch

CombiFix entfernen
Start > Ausführen> Kopiere rein combofix /uninstall OK

ATFcleaner
Benutze ATF Cleaner
Nur fuer XP und Windows 2000
Doppelklick ATFcleaner um das Program zu starten
Auf tab “Main“ Select All anhaaken.
Klicke den Knopf Empty selected

Wenn man Opera als browser hat:
Klicke auf tab “Opera“ Select All anhaaken.
Willst du die durch Opera aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Wenn man Firefox als browser hat:
Klicke auf tab “Firefox“ Select All anhaaken.
Willst du die durch Firefox aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Geh zum tab“Main“und klicke Exit um das Program
zu schliessen.

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u17 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u17-windows-iftw-rv.exe

Besuche mal Secunia ob es noch Updates fuer dein Rechner gibt
http://secunia.com/vulnerability_scanning/
__________
MfG Argus

#23 so habe ich alles durchgeführt!

besten dank schonmal weiterhin!

was kann oder muss ich noch tun?

#24 achso soll ich die programme alle wieder deinstallieren oder wurde nix weiterhin mehr installt weils exe data sind?

#25 Bis auf ATF kannst du alles wieder entfernen

Zusatz einstellungen fuer CCleaner





Beim ersten Bild wird CrapCleaner gestartet Wenn Windows startet
__________
MfG Argus

#26 ok erledigt

#27 wie läuft der pc?

#28 also die cpu auslastung liegt wenn ich mozilla an habe immernoch bei ca 50 % .
(habe nen netbook)
aber ist schon viel besser geworden! am anfang war er so langsam das ich ne halbe minute gebraucht habe den browser zu öffnen und die seite geladen wurde

muss sagen das ihr echt gute arbeit geleistet habt! vielen dank!

kann ich noch etwas tun?

#29 es gibt schon firefox 3.5.x du solltest upgraden da der support für die von dir genutzte reihe bald eingestellt wird.
instaliere ihn bitte und schau wie der pc dann läuft.