Zlob/DNS-Changer

Micha.79 · Dec 12, 2008

Hallo zusammen,

habe dasselbe Problem mit dem Zlob.DNSChanger.
Spybot zeigt mir das ständig an-auch wenn er es gefixt hat.

Code:

Zlob.rtk: [SBI $5BF1C360] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\msliksurserv.sys

Zlob.rtk: [SBI $C46FD162] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\msliksurserv.sys

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:58:47, on 12.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\netdde.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Xampp\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\DVBViewer\DVBVservice.exe
C:\Programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Xampp\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TightVNC\WinVNC.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\USB Media\shwicon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\EmailNotifier\EN.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\DVBViewer\DVBVCtrl.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Programme\ShutDownPro\ShutDownPro.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.focus.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.focus.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programme\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [EmailNotifier] C:\Programme\EmailNotifier\EN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [DVBV Service Ctrl] C:\Programme\DVBViewer\DVBVCtrl.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - Startup: mapdrive_1191912372.cmd
O4 - Startup: ShutDownPro.lnk = C:\Programme\ShutDownPro\ShutDownPro.EXE
O4 - Global Startup: Pinnacle ShowCenter StreamServer.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O8 - Extra context menu item: Subscribe in RSS Popper - C:\Programme\RSS Popper\ie_subscribe.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\preispiraten3ie.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=www.google.de
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/24.16/uploader2.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://musicstore.songtouch.com/install.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) - 
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Xampp\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: DVBViewer Recording service (DVBVRecorder) - CM & V - C:\Programme\DVBViewer\DVBVservice.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Fix-It Task Manager - Unknown owner - (no file)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Programme\Xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 15850 bytes

Den Eintrag DHCPServer habe ich in der registry nicht gefunden.
Aber die Netzwerkkarte hat unter IP und DNS keinen Eintrag.

Der RootAlyzer zeigt mir im QuickScan keine Fehler.

Wer kann mir helfen, das Ding los zu werden?
Den Spybot Bericht habe ich gemailt.

Grüße
Micha

raman · Dec 12, 2008

Dein Antivir ist Updatemaessig auf dem neusten Stand und meldet nichts?

Nutze bitte einmal Combofix

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

BTW: Eine Datensicherung kann nicht schaden!

Micha.79 · Dec 13, 2008

Hallo,

mein Antivir ist aktuell, zeigt aber nichts an.

Hier der Bericht:
ComboFix 08-12-12.03 - Michael 2008-12-13 10:49:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1535.825 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\backup progdvb\Plugins\AUBins\_desktop.ini
c:\backup progdvb\Plugins\CSA\_desktop.ini
c:\backup progdvb\Plugins\Lang\_desktop.ini
c:\windows\lomipijex.dll
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\TDSSosvd.dat
c:\windows\ukifirevyv.dll
c:\windows\wuasirvy.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys

((((((((((((((((((((((( Dateien erstellt von 2008-11-13 bis 2008-12-13 ))))))))))))))))))))))))))))))
.

2008-12-12 16:58 . 2008-12-12 16:58 <DIR> dr-h----- c:\dokumente und einstellungen\Michael\Recent
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\programme\iTunes
2008-12-08 11:37 . 2008-12-08 11:37 <DIR> d-------- c:\programme\iPod
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-17 09:36 . 2008-11-17 09:36 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft Web Folders

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-12 15:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2008-12-12 11:41 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ESM-Tools
2008-12-12 09:51 --------- d-----w c:\programme\SUPERAntiSpyware
2008-12-11 08:55 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\U3
2008-12-10 09:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-10 09:22 --------- d-----w c:\programme\StarMoney 6.0 S-Edition
2008-12-08 10:37 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-08 10:33 --------- d-----w c:\programme\QuickTime
2008-12-08 08:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-12-02 15:15 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\VSO
2008-11-28 13:30 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org2
2008-11-26 15:39 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Skype
2008-11-23 15:27 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-08 08:55 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-11-07 10:27 --------- d-----w c:\programme\a-squared Free
2008-11-07 09:36 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-07 08:08 --------- d-----w c:\programme\Bonjour
2008-11-07 07:09 16,261 ----a-w c:\windows\asehycusy.scr
2008-11-07 07:09 15,957 ----a-w c:\programme\Gemeinsame Dateien\tazyk.sys
2008-11-07 07:09 15,520 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\atera.sys
2008-11-07 07:09 14,825 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\jytip.bin
2008-11-07 07:09 13,127 ----a-w c:\windows\ujuf.bin
2008-11-07 07:09 12,833 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mykuhowuve.dll
2008-11-07 07:09 10,727 ----a-w c:\programme\Gemeinsame Dateien\paxuw._sy
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-17 08:34 --------- d-----w c:\programme\Zeugnis-Generator
2008-10-17 08:33 --------- d-----w c:\programme\VisualFormMaker
2008-10-17 08:31 --------- d-----w c:\programme\FIND-IT
2008-10-14 08:17 --------- d-----w c:\programme\ESM-Tools
2008-10-06 15:17 11,390 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdb.bin
2008-09-30 13:05 16,269 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdbu.bin
2006-10-04 13:10 17,605 ------w c:\programme\WinSweephosts.bak
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\Michael\.cxpg61spc.dat
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\\Michael\.cxpg61spc.dat
2006-05-10 17:15 838 ------w c:\programme\index.html
2006-05-10 17:15 407 ------w c:\programme\nav.html
2006-05-10 17:15 1,059 ------w c:\programme\style.css
2007-12-10 16:40 6,275,816 ----a-w c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2006-07-24 15:41 12 --sh--r c:\windows\msmkctrl.dll
2005-08-03 17:20 56 -csh--r c:\windows\system32\3CC9DAE445.sys
2007-04-07 07:30 88 --sh--r c:\windows\system32\52B56A307C.sys
2007-03-24 10:13 56 --sh--r c:\windows\system32\7C306AB552.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EmailNotifier"="c:\programme\EmailNotifier\EN.exe" [2006-02-16 434688]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-04-15 1291264]
"DVBV Service Ctrl"="c:\programme\DVBViewer\DVBVCtrl.exe" [2007-02-11 53760]
"GMX SMS-Manager"="c:\programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 3539968]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe" [2008-10-05 235936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ShowIcon_Vosonic_USB Media Device Driver v1.19r003"="c:\programme\USB Media\shwicon.exe" [2003-01-22 73728]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 c:\windows\SOUNDMAN.EXE]

c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\
mapdrive_1191912372.cmd [2007-11-04 132]
ShutDownPro.lnk - c:\programme\ShutDownPro\ShutDownPro.EXE [2005-08-05 100352]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pinnacle ShowCenter StreamServer.lnk - c:\programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe [2006-03-11 163840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"MaxRecentDocs"= 5 (0x5)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_987726.nls
"wave2"= c_987726.nls
"midi1"= c_987726.nls
"mixer1"= c_987726.nls
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"midi2"= c_987726.nls
"mixer2"= c_987726.nls
"aux2"= c_987726.nls
"aux1"= c_987726.nls

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STAMPIT-Tray]
--a------ 2007-10-26 09:38 61440 c:\programme\STAMPIT\Binary\STRAY.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\EmailNotifier\\EN.exe"=
"c:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\WinSweep\\WSProxy.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SpeedProject\\SpeedCommander 11\\SpeedCommander.exe"=
"c:\\Programme\\DVBViewer\\DVBServer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Corel\\CorelDRAW Graphics Suite 13\\Programs\\CorelDRW.exe"=
"c:\\WINDOWS\\System32\\Sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP

xpsp2res.dll,-22004
"445:TCP"= 445:TCP

xpsp2res.dll,-22005
"137:UDP"= 137:UDP

xpsp2res.dll,-22001
"138:UDP"= 138:UDP

xpsp2res.dll,-22002
"1900:UDP"= 1900:UDP

xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP

xpsp2res.dll,-22008
"3389:TCP"= 3389:TCP

xpsp2res.dll,-22009
"80:TCP"= 80:TCP:Web Server (TCP 80)
"20:TCP"= 20:TCP:FTP (TCP/UDP 20)
"20:UDP"= 20:UDP:FTP (TCP/UDP 20)
"21:UDP"= 21:UDP:FTP (TCP/UDP 21)
"5800:TCP"= 5800:TCP:VNC (TCP/UDP 5800)
"5800:UDP"= 5800:UDP:VNC (TCP/UDP 5800)
"5900:TCP"= 5900:TCP:VNC (TCP/UDP 5900)
"5900:UDP"= 5900:UDP:VNC (TCP/UDP 5900)
"7792:TCP"= 7792:TCP:7792
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"4661:TCP"= 4661:TCP:Emule (TCP/UDP 4661)
"4661:UDP"= 4661:UDP:Emule (TCP/UDP 4661)
"4662:TCP"= 4662:TCP:Emule (TCP/UDP 4662)
"4662:UDP"= 4662:UDP:Emule (TCP/UDP 4662)
"4665:TCP"= 4665:TCP:Emule (TCP/UDP 4665)
"4665:UDP"= 4665:UDP:Emule (TCP/UDP 4665)
"4672:TCP"= 4672:TCP:Emule (TCP/UDP 4672)
"4672:UDP"= 4672:UDP:Emule (TCP/UDP 4672)
"21:TCP"= 21:TCP:FTP (TCP/UDP 21)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"RemoteAddresses"= *
"Enabled"= 1 (0x1)

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-01 22336]
R0 d346bus;d346bus;c:\windows\system32\DRIVERS\d346bus.sys [2005-08-03 156800]
R0 d346prt;d346prt;c:\windows\system32\Drivers\d346prt.sys [2005-08-03 5248]
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2006-02-03 30820]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-12 28544]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-01 45376]
R1 Cinemsup;Cinemsup;\??\c:\windows\system32\drivers\cinemsup.sys [2002-07-19 6656]
R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2006-10-10 5632]
R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2007-01-09 32256]
R2 DVBVRecorder;DVBViewer Recording service;c:\programme\DVBViewer\DVBVservice.exe [2007-08-05 324631]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-02-14 349184]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-04-29 29744]
S3 Gpmcrvcapo;Gpmcrvcapo; []
S3 Mspc2e2dps;Mspc2e2dps; []
S3 mxDisk;mxDisk; []
S3 Ndfrachilmr;Ndfrachilmr; []
S3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2006-02-16 4096]
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-11-06 10242176]
S3 TTUSB2BDA;TechniSat BDA USB 2.0 Driver;c:\windows\system32\DRIVERS\ttusb2bda.sys [2007-02-12 401024]
S3 ZD1201U(ZyXEL);ZyAIR B-220 IEEE 802.11b Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1201u.sys []
S3 ZDNDIS5;ZDNDIS5 NDIS Protocol Driver; []
S4 Brdfpi;Brdfpi; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d3a122-aa01-11db-be87-000c76b813e9}]
\Shell\AutoRun\command - J:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abccd370-4fe7-11dd-822e-000c76b813e9}]
\Shell\AutoRun\command - j:\truecrypt\TrueCrypt.exe
\Shell\dismount\command - j:\truecrypt\TrueCrypt.exe /q /d
\Shell\start\command - j:\truecrypt\TrueCrypt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Inhalt des "geplante Tasks" Ordners

2008-11-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]

2008-12-10 c:\windows\Tasks\AntiVir PersonalEdition Classic starten.job
- c:\progra~1\ANTIVI~1\avcenter.exe [2008-06-26 10:55]

2008-12-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-12-13 c:\windows\Tasks\Start Outlook.job
- c:\dokumente und einstellungen\All Users\Startmen []

2008-12-13 c:\windows\Tasks\XoftSpySE 2.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]

2008-07-22 c:\windows\Tasks\XoftSpySE.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{0DB27A62-5684-44F0-A8D3-8D6AEEB7ABD9} - (no file)
Notify-dimsntfy - (no file)
MSConfigStartUp-lphcp9qj0eget - c:\windows\system32\lphcp9qj0eget.exe
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.focus.de/
uSearch Page = www.focus.de
uDefault_Search_URL = www.focus.de
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearch Bar = hxxp://www.google.com/ie
mDefault_Page_URL = www.focus.de
mDefault_Search_URL = hxxp://www.google.com/ie
mSearch Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
mLocal Page = www.focus.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com
mSearchAssistant = hxxp://www.google.com
mCustomizeSearch = www.focus.de
IE:
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
IE: Subscribe in RSS Popper - c:\programme\RSS Popper\ie_subscribe.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO -

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.de/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\
FF - prefs.js: browser.startup.homepage - www.focus.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-13 10:56:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc23.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\windows\system32\sfc_os.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
c:\windows\system32\BRSS01A.EXE
c:\windows\system32\netdde.exe
c:\programme\a-squared Free\a2service.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Xampp\xampp\apache\bin\apache.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\clipsrv.exe
c:\programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\programme\Xampp\xampp\apache\bin\apache.exe
c:\programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Spyware Doctor\sdhelp.exe
c:\programme\TightVNC\WinVNC.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\spool\drivers\w32x86\3\WrtProc.exe
c:\programme\iPod\bin\iPodService.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-13 11:07:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-13 10:07:44

Vor Suchlauf: 9.365.381.120 Bytes frei
Nach Suchlauf: 9,306,832,896 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /FASTDETECT

355 --- E O F --- 2008-12-12 09:35:09

Danke
Micha

raman · Dec 13, 2008

Uh, da hat es dich aber schon vorher mal richtig erwischt!
Du kennst mapdrive_1191912372.cmd?

Mache bitte folgendes:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Collect::[49]
c:\windows\asehycusy.scr
c:\programme\Gemeinsame Dateien\tazyk.sys
c:\dokumente und einstellungen\All Users\Anwendungsdaten\atera.sys
c:\dokumente und einstellungen\Michael\Anwendungsdaten\jytip.bin
c:\dokumente und einstellungen\Michael\Anwendungsdaten\mykuhowuve.dll
c:\programme\Gemeinsame Dateien\paxuw._sy

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"wave2"=-
"midi1"=-
"mixer1"=-
"midi2"=-
"mixer2"=-
"aux2"=-
"aux1"=-

Driver::
Gpmcrvcapo
Mspc2e2dps
mxDisk
Ndfrachilmr
ZDNDIS5

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Aktualisisere dein Antivir und scanne den Windowsordner. Poste den ERzeugten Antivir REport.

Micha.79 · Dec 13, 2008

Hi,

mapdrive_1191912372.cmd kenne ich. WebDav Verbindung auf einen Webserver.

ComboFix 08-12-12.03 - Michael 2008-12-13 14:37:00.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1535.740 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\atera.sys
c:\dokumente und einstellungen\Michael\Anwendungsdaten\jytip.bin
c:\dokumente und einstellungen\Michael\Anwendungsdaten\mykuhowuve.dll
c:\programme\Gemeinsame Dateien\paxuw._sy
c:\programme\Gemeinsame Dateien\tazyk.sys
c:\windows\asehycusy.scr

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GPMCRVCAPO
-------\Legacy_MSPC2E2DPS
-------\Legacy_MXDISK
-------\Legacy_NDFRACHILMR
-------\Legacy_ZDNDIS5
-------\Service_Gpmcrvcapo
-------\Service_Mspc2e2dps
-------\Service_mxDisk
-------\Service_Ndfrachilmr
-------\Service_ZDNDIS5

((((((((((((((((((((((( Dateien erstellt von 2008-11-13 bis 2008-12-13 ))))))))))))))))))))))))))))))
.

2008-12-13 11:23 . 2008-11-05 08:02 210,944 --a------ c:\windows\mobackup8.exe
2008-12-13 11:23 . 2008-12-13 11:23 1,651 -r------- c:\windows\MOBackup-DatensicherungfürOutlook7_Uninstall.in
2008-12-12 16:58 . 2008-12-12 16:58 <DIR> dr-h----- c:\dokumente und einstellungen\Michael\Recent
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\programme\iTunes
2008-12-08 11:37 . 2008-12-08 11:37 <DIR> d-------- c:\programme\iPod
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-17 09:36 . 2008-11-17 09:36 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft Web Folders

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-13 10:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-13 10:57 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2008-12-13 10:23 --------- d-----w c:\programme\MOBackup
2008-12-12 11:41 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ESM-Tools
2008-12-12 09:51 --------- d-----w c:\programme\SUPERAntiSpyware
2008-12-11 08:55 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\U3
2008-12-10 09:22 --------- d-----w c:\programme\StarMoney 6.0 S-Edition
2008-12-08 10:37 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-08 10:33 --------- d-----w c:\programme\QuickTime
2008-12-08 08:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-12-02 15:15 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\VSO
2008-11-28 13:30 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org2
2008-11-26 15:39 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Skype
2008-11-23 15:27 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-08 08:55 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-11-07 10:27 --------- d-----w c:\programme\a-squared Free
2008-11-07 09:36 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-07 08:08 --------- d-----w c:\programme\Bonjour
2008-11-07 07:09 13,127 ----a-w c:\windows\ujuf.bin
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-17 08:34 --------- d-----w c:\programme\Zeugnis-Generator
2008-10-17 08:33 --------- d-----w c:\programme\VisualFormMaker
2008-10-17 08:31 --------- d-----w c:\programme\FIND-IT
2008-10-14 08:17 --------- d-----w c:\programme\ESM-Tools
2008-10-06 15:17 11,390 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdb.bin
2008-09-30 13:05 16,269 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdbu.bin
2006-10-04 13:10 17,605 ------w c:\programme\WinSweephosts.bak
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\Michael\.cxpg61spc.dat
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\\Michael\.cxpg61spc.dat
2006-05-10 17:15 838 ------w c:\programme\index.html
2006-05-10 17:15 407 ------w c:\programme\nav.html
2006-05-10 17:15 1,059 ------w c:\programme\style.css
2007-12-10 16:40 6,275,816 ----a-w c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2006-07-24 15:41 12 --sh--r c:\windows\msmkctrl.dll
2005-08-03 17:20 56 -csh--r c:\windows\system32\3CC9DAE445.sys
2007-04-07 07:30 88 --sh--r c:\windows\system32\52B56A307C.sys
2007-03-24 10:13 56 --sh--r c:\windows\system32\7C306AB552.sys
.

((((((((((((((((((((((((((((( snapshot@2008-12-13_11.06.16.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-13 13:45:48 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_528.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EmailNotifier"="c:\programme\EmailNotifier\EN.exe" [2006-02-16 434688]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-04-15 1291264]
"DVBV Service Ctrl"="c:\programme\DVBViewer\DVBVCtrl.exe" [2007-02-11 53760]
"GMX SMS-Manager"="c:\programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 3539968]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe" [2008-10-05 235936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ShowIcon_Vosonic_USB Media Device Driver v1.19r003"="c:\programme\USB Media\shwicon.exe" [2003-01-22 73728]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 c:\windows\SOUNDMAN.EXE]

c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\
mapdrive_1191912372.cmd [2007-11-04 132]
ShutDownPro.lnk - c:\programme\ShutDownPro\ShutDownPro.EXE [2005-08-05 100352]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pinnacle ShowCenter StreamServer.lnk - c:\programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe [2006-03-11 163840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"MaxRecentDocs"= 5 (0x5)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STAMPIT-Tray]
--a------ 2007-10-26 09:38 61440 c:\programme\STAMPIT\Binary\STRAY.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\EmailNotifier\\EN.exe"=
"c:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\WinSweep\\WSProxy.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SpeedProject\\SpeedCommander 11\\SpeedCommander.exe"=
"c:\\Programme\\DVBViewer\\DVBServer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Corel\\CorelDRAW Graphics Suite 13\\Programs\\CorelDRW.exe"=
"c:\\WINDOWS\\System32\\Sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP

xpsp2res.dll,-22004
"445:TCP"= 445:TCP

xpsp2res.dll,-22005
"137:UDP"= 137:UDP

xpsp2res.dll,-22001
"138:UDP"= 138:UDP

xpsp2res.dll,-22002
"1900:UDP"= 1900:UDP

xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP

xpsp2res.dll,-22008
"3389:TCP"= 3389:TCP

xpsp2res.dll,-22009
"80:TCP"= 80:TCP:Web Server (TCP 80)
"20:TCP"= 20:TCP:FTP (TCP/UDP 20)
"20:UDP"= 20:UDP:FTP (TCP/UDP 20)
"21:UDP"= 21:UDP:FTP (TCP/UDP 21)
"5800:TCP"= 5800:TCP:VNC (TCP/UDP 5800)
"5800:UDP"= 5800:UDP:VNC (TCP/UDP 5800)
"5900:TCP"= 5900:TCP:VNC (TCP/UDP 5900)
"5900:UDP"= 5900:UDP:VNC (TCP/UDP 5900)
"7792:TCP"= 7792:TCP:7792
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"4661:TCP"= 4661:TCP:Emule (TCP/UDP 4661)
"4661:UDP"= 4661:UDP:Emule (TCP/UDP 4661)
"4662:TCP"= 4662:TCP:Emule (TCP/UDP 4662)
"4662:UDP"= 4662:UDP:Emule (TCP/UDP 4662)
"4665:TCP"= 4665:TCP:Emule (TCP/UDP 4665)
"4665:UDP"= 4665:UDP:Emule (TCP/UDP 4665)
"4672:TCP"= 4672:TCP:Emule (TCP/UDP 4672)
"4672:UDP"= 4672:UDP:Emule (TCP/UDP 4672)
"21:TCP"= 21:TCP:FTP (TCP/UDP 21)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"RemoteAddresses"= *
"Enabled"= 1 (0x1)

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-01 22336]
R0 d346bus;d346bus;c:\windows\system32\DRIVERS\d346bus.sys [2005-08-03 156800]
R0 d346prt;d346prt;c:\windows\system32\Drivers\d346prt.sys [2005-08-03 5248]
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2006-02-03 30820]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-12 28544]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-01 45376]
R1 Cinemsup;Cinemsup;\??\c:\windows\system32\drivers\cinemsup.sys [2002-07-19 6656]
R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2006-10-10 5632]
R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2007-01-09 32256]
R2 DVBVRecorder;DVBViewer Recording service;c:\programme\DVBViewer\DVBVservice.exe [2007-08-05 324631]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-02-14 349184]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-04-29 29744]
S3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2006-02-16 4096]
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-11-06 10242176]
S3 TTUSB2BDA;TechniSat BDA USB 2.0 Driver;c:\windows\system32\DRIVERS\ttusb2bda.sys [2007-02-12 401024]
S3 ZD1201U(ZyXEL);ZyAIR B-220 IEEE 802.11b Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1201u.sys []
S4 Brdfpi;Brdfpi; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d3a122-aa01-11db-be87-000c76b813e9}]
\Shell\AutoRun\command - J:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abccd370-4fe7-11dd-822e-000c76b813e9}]
\Shell\AutoRun\command - j:\truecrypt\TrueCrypt.exe
\Shell\dismount\command - j:\truecrypt\TrueCrypt.exe /q /d
\Shell\start\command - j:\truecrypt\TrueCrypt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Inhalt des "geplante Tasks" Ordners

2008-11-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]

2008-12-10 c:\windows\Tasks\AntiVir PersonalEdition Classic starten.job
- c:\progra~1\ANTIVI~1\avcenter.exe [2008-06-26 10:55]

2008-12-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-12-13 c:\windows\Tasks\Start Outlook.job
- c:\dokumente und einstellungen\All Users\Startmen []

2008-12-13 c:\windows\Tasks\XoftSpySE 2.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]

2008-07-22 c:\windows\Tasks\XoftSpySE.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.focus.de/
uSearch Page = www.focus.de
uDefault_Search_URL = www.focus.de
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearch Bar = hxxp://www.google.com/ie
mDefault_Page_URL = www.focus.de
mDefault_Search_URL = hxxp://www.google.com/ie
mSearch Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
mLocal Page = www.focus.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com
mCustomizeSearch = www.focus.de
IE:
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
IE: Subscribe in RSS Popper - c:\programme\RSS Popper\ie_subscribe.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO -

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.de/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\
FF - prefs.js: browser.startup.homepage - www.focus.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-13 14:46:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\sfc_os.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
c:\windows\system32\BRSS01A.EXE
c:\windows\system32\netdde.exe
c:\programme\a-squared Free\a2service.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Xampp\xampp\apache\bin\apache.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\clipsrv.exe
c:\programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\programme\Xampp\xampp\apache\bin\apache.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Spyware Doctor\sdhelp.exe
c:\programme\TightVNC\WinVNC.exe
c:\programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
c:\windows\system32\spool\drivers\w32x86\3\WrtProc.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-13 14:57:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-13 13:57:06
ComboFix2.txt 2008-12-13 10:07:57

Vor Suchlauf: 9.267.757.056 Bytes frei
Nach Suchlauf: 9,250,938,880 Bytes frei

331 --- E O F --- 2008-12-12 09:35:09

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 13. Dezember 2008  17:55

Es wird nach 1085187 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     Michael
Computername:     DESKTOP

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  29.11.2008 16:09:26
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 12:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 13:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 12:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 09:46:27
ANTIVIR1.VDF  : 7.1.0.197    1170432 Bytes  07.12.2008 09:46:54
ANTIVIR2.VDF  : 7.1.0.198       2048 Bytes  07.12.2008 09:46:54
ANTIVIR3.VDF  : 7.1.0.229     137728 Bytes  12.12.2008 10:58:25
Engineversion : 8.2.0.45  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  14.10.2008 11:05:56
AESCRIPT.DLL  : 8.1.1.19      336252 Bytes  13.12.2008 10:58:32
AESCN.DLL     : 8.1.1.5       123251 Bytes  10.11.2008 10:47:59
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 09:46:40
AEPACK.DLL    : 8.1.3.4       393591 Bytes  14.11.2008 08:16:33
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  13.12.2008 10:58:31
AEHEUR.DLL    : 8.1.0.75     1524087 Bytes  13.12.2008 10:58:30
AEHELP.DLL    : 8.1.2.0       119159 Bytes  24.11.2008 11:01:24
AEGEN.DLL     : 8.1.1.8       323956 Bytes  13.12.2008 10:58:26
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 11:05:56
AECORE.DLL    : 8.1.5.2       172405 Bytes  29.11.2008 16:09:26
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 11:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 09:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 10:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  07.11.2008 09:46:30
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 12:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 09:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 13:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 18:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 13:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 13:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 14:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Windows Systemverzeichnis
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysdir.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Samstag, 13. Dezember 2008  17:55

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ShutDownPro.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StrmServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSMngr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DVBVCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shwicon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinVNC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sdhelp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ijplmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GEARSEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FileZillaServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DVBVservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'clipsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netdde.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '62' Prozesse mit '62' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '72' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\atapi.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 13. Dezember 2008  18:02
Benötigte Zeit: 07:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

    260 Verzeichnisse wurden überprüft
  23227 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
  23226 Dateien ohne Befall
    170 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise

Grüße
Micha

raman · Dec 13, 2008

Lasse bitte c:\windows\ujuf.bin bei virustotal.com pruefen und posten den Link zum Ergebniss.

Da du es eh installiert hast, was sagt den ein aktualisiertes Mbam, wenn du es einen vollen Scan machen laesst?

Micha.79 · Dec 13, 2008

http://www.virustotal.com/de/analisis/f707988f075408d0bbb24de32a7f8ffc

Mbam folgt.

Spybot hat nichts mehr gefunden.

Micha.79 · Dec 14, 2008

Mbam hat nichts gefunden!

raman · Dec 14, 2008

Das ist schon mal nicht schlecht. Mache bitte noch einen Kontrollscan mit F-secures onlinescanner...
http://support.f-secure.de/ger/home/ols.shtml

Wahlweise noch mit www.freedrweb.com

Gebe vorher unter Start/Ausfuehren
combofix/u

ein und druecke Enter. Das loescht dir Combofix und den Quarantaene Ordner, indem sich die geloeschten DAteien befunden haben

Micha.79 · Dec 15, 2008

f-secure hat nichts gefunden. auch combofix war diesmal sauber.

:

Micha.79 · Dec 18, 2008

Hallo!

Spybot zeigt mir wieder den Trojaner an:

Zlob.rtk: [SBI $5BF1C360] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\msliksurserv.sys

Zlob.rtk: [SBI $C46FD162] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\msliksurserv.sys

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:17, on 18.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Xampp\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\DVBViewer\DVBVservice.exe
C:\Programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
C:\Programme\Xampp\xampp\apache\bin\apache.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TightVNC\WinVNC.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\USB Media\shwicon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\DVBViewer\DVBVCtrl.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Programme\ShutDownPro\ShutDownPro.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.focus.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programme\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [EmailNotifier] C:\Programme\EmailNotifier\EN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [DVBV Service Ctrl] C:\Programme\DVBViewer\DVBVCtrl.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - Startup: mapdrive_1191912372.cmd
O4 - Startup: ShutDownPro.lnk = C:\Programme\ShutDownPro\ShutDownPro.EXE
O4 - Global Startup: Pinnacle ShowCenter StreamServer.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O8 - Extra context menu item: Subscribe in RSS Popper - C:\Programme\RSS Popper\ie_subscribe.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\preispiraten3ie.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=www.google.de
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/24.16/uploader2.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://musicstore.songtouch.com/install.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) - 
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.11.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Xampp\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: DVBViewer Recording service (DVBVRecorder) - CM & V - C:\Programme\DVBViewer\DVBVservice.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Fix-It Task Manager - Unknown owner - (no file)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Programme\Xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 16351 bytes

ComboFix folgt!

Grüße
Micha

Micha.79 · Dec 18, 2008

Hier die Log vom ComboFix

ComboFix 08-12-17.01 - Michael 2008-12-18 12:24:38.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1535.681 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-18 bis 2008-12-18 ))))))))))))))))))))))))))))))
.

2008-12-18 11:10 . 2008-12-18 11:10 <DIR> dr-h----- c:\dokumente und einstellungen\Michael\Recent
2008-12-17 17:20 . 2008-12-17 17:19 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-15 09:19 . 2008-12-15 09:19 <DIR> d-------- C:\fsaua.data
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\programme\Lavasoft
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-12-13 11:23 . 2008-11-05 08:02 210,944 --a------ c:\windows\mobackup8.exe
2008-12-13 11:23 . 2008-12-13 11:23 1,651 -r------- c:\windows\MOBackup-DatensicherungfürOutlook7_Uninstall.in
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\programme\iTunes
2008-12-08 11:37 . 2008-12-08 11:37 <DIR> d-------- c:\programme\iPod
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 10:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2008-12-18 10:17 --------- d-----w c:\programme\SUPERAntiSpyware
2008-12-17 16:19 --------- d-----w c:\programme\Java
2008-12-17 08:50 8,874 -csha-w c:\windows\system32\KGyGaAvL.sys
2008-12-13 20:52 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-13 20:47 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Lavasoft
2008-12-13 20:42 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\MailWasherPro
2008-12-13 20:31 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-12-13 10:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-13 10:23 --------- d-----w c:\programme\MOBackup
2008-12-12 11:41 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ESM-Tools
2008-12-11 08:55 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\U3
2008-12-10 09:22 --------- d-----w c:\programme\StarMoney 6.0 S-Edition
2008-12-08 10:37 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-08 10:33 --------- d-----w c:\programme\QuickTime
2008-12-08 08:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-02 15:15 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\VSO
2008-11-28 13:30 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org2
2008-11-26 15:39 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Skype
2008-11-23 15:27 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-17 08:36 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft Web Folders
2008-11-07 10:27 --------- d-----w c:\programme\a-squared Free
2008-11-07 09:36 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-07 08:08 --------- d-----w c:\programme\Bonjour
2008-11-07 07:09 13,127 ----a-w c:\windows\ujuf.bin
2008-11-07 07:09 12,770 ----a-w c:\windows\system32\itipicema.reg
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:59 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll
2008-10-06 15:17 11,390 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdb.bin
2008-10-03 10:15 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 18:21 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-30 13:05 16,269 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdbu.bin
2006-10-04 13:10 17,605 ------w c:\programme\WinSweephosts.bak
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\Michael\.cxpg61spc.dat
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\\Michael\.cxpg61spc.dat
2006-05-10 17:15 838 ------w c:\programme\index.html
2006-05-10 17:15 407 ------w c:\programme\nav.html
2006-05-10 17:15 1,059 ------w c:\programme\style.css
2007-12-10 16:40 6,275,816 ----a-w c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2008-09-22 06:49 122,880 ----a-w c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-12-12 12:43 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-12 12:43 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-12 12:43 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-12 12:43 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-12 12:43 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2006-07-24 15:41 12 --sh--r c:\windows\msmkctrl.dll
2005-08-03 17:20 56 -csh--r c:\windows\system32\3CC9DAE445.sys
2007-04-07 07:30 88 --sh--r c:\windows\system32\52B56A307C.sys
2007-03-24 10:13 56 --sh--r c:\windows\system32\7C306AB552.sys
.

((((((((((((((((((((((((((((( snapshot@2008-12-13_11.06.16.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-02-27 14:59:28 290,816 ----a-w c:\windows\Downloaded Program Files\auc_lib.dll
+ 2008-02-27 14:59:28 495,616 ----a-w c:\windows\Downloaded Program Files\daas_s.dll
+ 2008-02-27 15:00:12 262,144 ----a-w c:\windows\Downloaded Program Files\fscax.dll
+ 2008-02-27 14:59:16 588,392 ----a-w c:\windows\Downloaded Program Files\gatelauncher.exe
+ 2008-10-17 00:34:18 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
+ 2007-03-06 01:14:13 217,312 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:22 377,568 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
- 2008-10-17 00:34:18 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll
+ 2008-04-29 09:19:50 12,960 ----a-w c:\windows\system32\drivers\Awrtpd.sys
+ 2008-04-29 09:19:54 15,648 ----a-w c:\windows\system32\drivers\Awrtrd.sys
+ 2008-04-29 09:20:00 15,648 ----a-w c:\windows\system32\drivers\NSDriver.sys
- 2008-06-10 00:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2008-12-17 16:19:38 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-10 00:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2008-12-17 16:19:38 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 01:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2008-12-17 16:19:38 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2008-05-16 09:58:04 12,632 ----a-w c:\windows\system32\lsdelete.exe
- 2008-10-17 00:34:18 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-18 10:12:36 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_554.dat
+ 2008-12-18 10:12:44 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_574.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EmailNotifier"="c:\programme\EmailNotifier\EN.exe" [2006-02-16 434688]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-04-15 1291264]
"DVBV Service Ctrl"="c:\programme\DVBViewer\DVBVCtrl.exe" [2007-02-11 53760]
"GMX SMS-Manager"="c:\programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 3539968]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-17 136600]
"ShowIcon_Vosonic_USB Media Device Driver v1.19r003"="c:\programme\USB Media\shwicon.exe" [2003-01-22 73728]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 c:\windows\SOUNDMAN.EXE]

c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\
mapdrive_1191912372.cmd [2007-11-04 132]
ShutDownPro.lnk - c:\programme\ShutDownPro\ShutDownPro.EXE [2005-08-05 100352]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pinnacle ShowCenter StreamServer.lnk - c:\programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe [2006-03-11 163840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"MaxRecentDocs"= 5 (0x5)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STAMPIT-Tray]
--a------ 2007-10-26 09:38 61440 c:\programme\STAMPIT\Binary\STRAY.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\EmailNotifier\\EN.exe"=
"c:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\WinSweep\\WSProxy.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SpeedProject\\SpeedCommander 11\\SpeedCommander.exe"=
"c:\\Programme\\DVBViewer\\DVBServer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Corel\\CorelDRAW Graphics Suite 13\\Programs\\CorelDRW.exe"=
"c:\\WINDOWS\\System32\\Sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP

xpsp2res.dll,-22004
"445:TCP"= 445:TCP

xpsp2res.dll,-22005
"137:UDP"= 137:UDP

xpsp2res.dll,-22001
"138:UDP"= 138:UDP

xpsp2res.dll,-22002
"1900:UDP"= 1900:UDP

xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP

xpsp2res.dll,-22008
"3389:TCP"= 3389:TCP

xpsp2res.dll,-22009
"80:TCP"= 80:TCP:Web Server (TCP 80)
"20:TCP"= 20:TCP:FTP (TCP/UDP 20)
"20:UDP"= 20:UDP:FTP (TCP/UDP 20)
"21:UDP"= 21:UDP:FTP (TCP/UDP 21)
"5800:TCP"= 5800:TCP:VNC (TCP/UDP 5800)
"5800:UDP"= 5800:UDP:VNC (TCP/UDP 5800)
"5900:TCP"= 5900:TCP:VNC (TCP/UDP 5900)
"5900:UDP"= 5900:UDP:VNC (TCP/UDP 5900)
"7792:TCP"= 7792:TCP:7792
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"4661:TCP"= 4661:TCP:Emule (TCP/UDP 4661)
"4661:UDP"= 4661:UDP:Emule (TCP/UDP 4661)
"4662:TCP"= 4662:TCP:Emule (TCP/UDP 4662)
"4662:UDP"= 4662:UDP:Emule (TCP/UDP 4662)
"4665:TCP"= 4665:TCP:Emule (TCP/UDP 4665)
"4665:UDP"= 4665:UDP:Emule (TCP/UDP 4665)
"4672:TCP"= 4672:TCP:Emule (TCP/UDP 4672)
"4672:UDP"= 4672:UDP:Emule (TCP/UDP 4672)
"21:TCP"= 21:TCP:FTP (TCP/UDP 21)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"RemoteAddresses"= *
"Enabled"= 1 (0x1)

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-01 22336]
R0 d346bus;d346bus;c:\windows\system32\DRIVERS\d346bus.sys [2005-08-03 156800]
R0 d346prt;d346prt;c:\windows\system32\Drivers\d346prt.sys [2005-08-03 5248]
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2006-02-03 30820]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-12 28544]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-01 45376]
R1 Cinemsup;Cinemsup;\??\c:\windows\system32\drivers\cinemsup.sys [2002-07-19 6656]
R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2006-10-10 5632]
R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2007-01-09 32256]
R2 DVBVRecorder;DVBViewer Recording service;c:\programme\DVBViewer\DVBVservice.exe [2007-08-05 324631]
R3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2006-02-16 4096]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-02-14 349184]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-04-29 29744]
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-11-06 10242176]
S3 TTUSB2BDA;TechniSat BDA USB 2.0 Driver;c:\windows\system32\DRIVERS\ttusb2bda.sys [2007-02-12 401024]
S3 ZD1201U(ZyXEL);ZyAIR B-220 IEEE 802.11b Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1201u.sys []
S4 Brdfpi;Brdfpi; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d3a122-aa01-11db-be87-000c76b813e9}]
\Shell\AutoRun\command - J:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abccd370-4fe7-11dd-822e-000c76b813e9}]
\Shell\AutoRun\command - j:\truecrypt\TrueCrypt.exe
\Shell\dismount\command - j:\truecrypt\TrueCrypt.exe /q /d
\Shell\start\command - j:\truecrypt\TrueCrypt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Inhalt des "geplante Tasks" Ordners

2008-11-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]

2008-12-17 c:\windows\Tasks\AntiVir PersonalEdition Classic starten.job
- c:\progra~1\ANTIVI~1\avcenter.exe [2008-06-26 10:55]

2008-12-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-12-18 c:\windows\Tasks\Start Outlook.job
- c:\dokumente und einstellungen\All Users\Startmen []

2008-12-18 c:\windows\Tasks\XoftSpySE 2.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]

2008-07-22 c:\windows\Tasks\XoftSpySE.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-RunOnce-<NO NAME> - (no file)

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.focus.de
uSearch Page = hxxp://www.focus.de
uDefault_Search_URL = hxxp://www.focus.de
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mDefault_Page_URL = hxxp://www.focus.de
mDefault_Search_URL = hxxp://www.focus.de
mSearch Page = hxxp://www.focus.de
mStart Page = hxxp://www.focus.de
mLocal Page = hxxp://www.focus.de
uInternet Settings,ProxyOverride = *.local
mSearchAssistant = hxxp://www.focus.de
mCustomizeSearch = hxxp://www.focus.de
IE:
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
IE: Subscribe in RSS Popper - c:\programme\RSS Popper\ie_subscribe.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO -

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.de/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\
FF - prefs.js: browser.startup.homepage - www.focus.de
FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\ImageShackCom.dll
FF - component: c:\progra~1\MOZILL~1\components\GoogleDesktopMozilla.dll

ATTENTION: FIREFOX POLICES IS IN FORCE
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 12:28:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2008-12-18 12:30:58
ComboFix-quarantined-files.txt 2008-12-18 11:30:53
ComboFix2.txt 2008-12-18 10:39:04
ComboFix3.txt 2008-12-18 10:08:28
ComboFix4.txt 2008-12-15 10:29:03
ComboFix5.txt 2008-12-18 11:23:38

Vor Suchlauf: 8.964.538.368 Bytes frei
Nach Suchlauf: 8,949,002,240 Bytes frei

337 --- E O F --- 2008-12-18 09:44:29

Grüße
Micha

raman · Dec 18, 2008

Nutze bitte sdfix nach diese Anleitung:

http://www.hijackthis-forum.de/showpost.php?p=195786&postcount=8

Mal schauen, was ich vergessen habe....

Micha.79 · Dec 18, 2008

HI!

SDFix: Version 1.240
Run by Michael on 18.12.2008 at 14:13

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Michael\Desktop\SDFix\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\All Users\Dokumente\aqinuc.scr - Deleted
C:\Dokumente und Einstellungen\All Users\Dokumente\ehopyby.scr - Deleted
C:\WINDOWS\qewe._sy - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 14:29:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmanserver\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\LanmanServer_NetbiosSmb\0\Device\LanmanServer_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\LanmanServer_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\LanmanServer_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\LanmanServer_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\LanmanServer_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\LanmanServer_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\LanmanServer_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\LanmanServer_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmanworkstation\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\LanmanWorkstation_NetbiosSmb\0\Device\LanmanWorkstation_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\LanmanWorkstation_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\LanmanWorkstation_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\LanmanWorkstation_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\LanmanWorkstation_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\LanmanWorkstation_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\LanmanWorkstation_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\LanmanWorkstation_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Ndisuio\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\Ndisuio_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\Ndisuio_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\Ndisuio_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBIOS\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\NetBIOS_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\NetBIOS_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\NetBIOS_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\NetBIOS_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\NetBIOS_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\NetBIOS_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\NetBIOS_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\NetBIOS_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RasPppoe\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\RasPppoe_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\RasPppoe_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\RasPppoe_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmanserver\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\LanmanServer_NetbiosSmb\0\Device\LanmanServer_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\LanmanServer_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\LanmanServer_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\LanmanServer_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\LanmanServer_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\LanmanServer_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\LanmanServer_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\LanmanServer_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmanworkstation\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\LanmanWorkstation_NetbiosSmb\0\Device\LanmanWorkstation_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\LanmanWorkstation_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\LanmanWorkstation_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\LanmanWorkstation_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\LanmanWorkstation_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\LanmanWorkstation_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\LanmanWorkstation_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\LanmanWorkstation_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Ndisuio\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\Ndisuio_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\Ndisuio_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\Ndisuio_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NetBIOS\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\NetBIOS_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\NetBIOS_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\NetBIOS_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\NetBIOS_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\NetBIOS_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\NetBIOS_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\NetBIOS_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\NetBIOS_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NetBT\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RasPppoe\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\RasPppoe_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\RasPppoe_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\RasPppoe_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,89,5f,5e,20,7e,3c,5c,24,19,e3,4d,a4,5e,1a,fb,67,91,..
"hj34z0"=hex:3a,6c,da,ab,a6,bf,5b,d0,0c,46,ec,13,05,da,b1,de,0b,c7,fa,0e,c8,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\LanmanServer_NetbiosSmb\0\Device\LanmanServer_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\LanmanServer_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\LanmanServer_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\LanmanServer_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\LanmanServer_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\LanmanServer_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\LanmanServer_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\LanmanServer_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\LanmanWorkstation_NetbiosSmb\0\Device\LanmanWorkstation_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\LanmanWorkstation_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\LanmanWorkstation_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\LanmanWorkstation_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\LanmanWorkstation_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\LanmanWorkstation_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\LanmanWorkstation_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\LanmanWorkstation_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\Ndisuio_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\Ndisuio_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\Ndisuio_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBIOS\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\NetBIOS_NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\NetBIOS_NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\NetBIOS_NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\NetBIOS_NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\NetBIOS_NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\NetBIOS_NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\NetBIOS_NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\NetBIOS_NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\NetBT_Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\NetBT_Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\NetBT_Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\NetBT_Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\NetBT_Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\NetBT_Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\NetBT_Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\NetBT_Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasPppoe\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\RasPppoe_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\RasPppoe_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\RasPppoe_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\F‹\x2b04Ð‹\x2b08ÿ\xe951B\xffff‹]
"ÿu\20QQéBÿÿÿ\x2039\a"=str(7):"\Device\Tcpip_{A7C9F3EE-ED3D-4361-AB22-68B3B7BB12ED}\0\Device\Tcpip_{09D2E216-9FC1-4F2B-9B77-1B9AB2EBE369}\0\Device\Tcpip_{29524656-449E-4C91-8E68-DA3B5985E5CC}\0\Device\Tcpip_{35719485-AAA3-40E7-A8CC-1ADCB9D0E511}\0\Device\Tcpip_{3ED824F3-717E-4C8A-BAFF-6D6E22CA2316}\0\Device\Tcpip_{4AFE00BB-88C9-415E-A5E9-EB7DA42D3E4A}\0\Device\Tcpip_{47636DD0-18B2-414C-9DD8-D6BC19115C82}\0\Device\Tcpip_{A396180D-8655-43BB-82F2-1C4B0CE8867F}\0"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\EmailNotifier\\EN.exe"="C:\\Programme\\EmailNotifier\\EN.exe:*:Enabled:EmailNotifier"
"C:\\Programme\\Pinnacle\\Shared Files\\Programs\\StrmServer\\StrmServer.exe"="C:\\Programme\\Pinnacle\\Shared Files\\Programs\\StrmServer\\StrmServer.exe:LocalSubNet:Enabled:StrmServer.exe"
"C:\\Programme\\Pinnacle\\Shared Files\\Programs\\SettingsTool\\PSST.exe"="C:\\Programme\\Pinnacle\\Shared Files\\Programs\\SettingsTool\\PSST.exe:LocalSubNet:Enabled

SST.exe"
"C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaServer\\PMSInstallInit.exe"="C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaServer\\PMSInstallInit.exe:LocalSubNet:Enabled

MSInstallInit.exe"
"C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"="C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe:LocalSubNet:Enabled

MSManager.exe"
"C:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"="C:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe:*:Enabled:Remote Control Software Patch Helper"
"C:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\WinSweep\\WSProxy.exe"="C:\\Programme\\WinSweep\\WSProxy.exe:*:Enabled:WSProxy"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:Enabled:Microsoft Fax Console"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled

xpsp3res.dll,-20000"
"C:\\Programme\\SpeedProject\\SpeedCommander 11\\SpeedCommander.exe"="C:\\Programme\\SpeedProject\\SpeedCommander 11\\SpeedCommander.exe:*:Enabled:SpeedCommander"
"C:\\Programme\\DVBViewer\\DVBServer.exe"="C:\\Programme\\DVBViewer\\DVBServer.exe:*:Enabled

VBViewer Pro NetworkServer"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Corel\\CorelDRAW Graphics Suite 13\\Programs\\CorelDRW.exe"="C:\\Programme\\Corel\\CorelDRAW Graphics Suite 13\\Programs\\CorelDRW.exe:*:Enabled:CorelDRAW(R)"
"C:\\WINDOWS\\System32\\Sessmgr.exe"="C:\\WINDOWS\\System32\\Sessmgr.exe:*:Enabled:Remote Assistance"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"="C:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe:*:Enabled:Remote Control Software Patch Helper"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled

xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\WINDOWS\\System32\\Sessmgr.exe"="C:\\WINDOWS\\System32\\Sessmgr.exe:*:Enabled:Remote Assistance"

Remaining Files :

File Backups: - C:\DOKUME~1\Michael\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 24 Jul 2006 12 ..SHR --- "C:\WINDOWS\msmkctrl.dll"
Mon 8 Sep 2008 48 ..SH. --- "C:\WINDOWS\S3219A94B.tmp"
Thu 12 Aug 2004 232,492 A..H. --- "C:\Programme\PDFzuWord Professional\pdf2wordconv.exe"
Tue 9 Oct 2007 5,903,928 A..H. --- "C:\Programme\Picasa2\setup.exe"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Wed 30 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"
Wed 3 Aug 2005 56 ..SHR --- "C:\WINDOWS\system32\3CC9DAE445.sys"
Sat 7 Apr 2007 88 ..SHR --- "C:\WINDOWS\system32\52B56A307C.sys"
Sat 24 Mar 2007 56 ..SHR --- "C:\WINDOWS\system32\7C306AB552.sys"
Wed 17 Dec 2008 8,874 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 10 Mar 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 8 Sep 2006 304,704 A..H. --- "C:\Programme\Canon\CanoScan Toolbox Ver5.0\Maint.exe"
Mon 25 Apr 2005 61,440 A..H. --- "C:\Programme\Canon\CanoScan Toolbox Ver5.0\uinstrsc.dll"
Tue 7 Aug 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 2 Jul 2008 36 ..SH. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Somebytes\oladdin.registered.sys"
Tue 15 Jul 2008 754,688 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL0334.tmp"
Thu 16 Feb 2006 0 A..H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL0456.tmp"
Thu 6 Mar 2008 119,808 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL1360.tmp"
Mon 13 Oct 2008 1,153,024 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL1532.tmp"
Fri 12 Oct 2007 31,744 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL2087.tmp"
Sat 13 Oct 2007 31,744 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL3322.tmp"
Fri 12 Oct 2007 31,744 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL3346.tmp"
Thu 4 Sep 2008 1,192,960 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL3439.tmp"
Wed 3 Dec 2008 0 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL3841.tmp"
Thu 4 Sep 2008 1,202,176 ...H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Word\~WRL4032.tmp"
Fri 2 May 2008 3,493,888 A..H. --- "C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\U3\temp\Launchpad Removal.exe"

Finished!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:56, on 18.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Xampp\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\DVBViewer\DVBVservice.exe
C:\Programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Xampp\xampp\apache\bin\apache.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\USB Media\shwicon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\EmailNotifier\EN.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\DVBViewer\DVBVCtrl.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ShutDownPro\ShutDownPro.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.focus.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programme\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [EmailNotifier] C:\Programme\EmailNotifier\EN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [DVBV Service Ctrl] C:\Programme\DVBViewer\DVBVCtrl.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - Startup: mapdrive_1191912372.cmd
O4 - Startup: ShutDownPro.lnk = C:\Programme\ShutDownPro\ShutDownPro.EXE
O4 - Global Startup: Pinnacle ShowCenter StreamServer.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O8 - Extra context menu item: Subscribe in RSS Popper - C:\Programme\RSS Popper\ie_subscribe.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\preispiraten3ie.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=www.google.de
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} -
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} -
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://musicstore.songtouch.com/install.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.11.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Xampp\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: DVBViewer Recording service (DVBVRecorder) - CM & V - C:\Programme\DVBViewer\DVBVservice.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\Xampp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Fix-It Task Manager - Unknown owner - (no file)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Programme\Xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 16001 bytes

Grüße
Micha

raman · Dec 18, 2008

Hake bitte folgendes in Hijckthis an, deaktiviere den Teatimer und druecke fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.focus.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} -
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} -
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://musicstore.songtouch.com/install.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)

Dann bitte neu starten, ein neuen CF Report posten und diesen bitte nicht in code Tags setzen....

Nachtrag: Du nutzt VNC(den Server) und dieser ist auch entsprechend mit Passwort gesichert?

Micha.79 · Dec 18, 2008

ComboFix 08-12-17.01 - Michael 2008-12-18 16:23:30.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1535.793 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\tmp.reg

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-18 bis 2008-12-18 ))))))))))))))))))))))))))))))
.

2008-12-18 16:16 . 2008-12-18 16:16 <DIR> dr-h----- c:\dokumente und einstellungen\Michael\Recent
2008-12-18 14:07 . 2008-12-18 14:08 <DIR> d-------- c:\windows\ERUNT
2008-12-18 13:54 . 2008-12-18 13:55 <DIR> d-------- C:\programm_download
2008-12-18 12:38 . 2008-12-18 13:40 <DIR> d-------- c:\programme\Enigma Software Group
2008-12-17 17:20 . 2008-12-17 17:19 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-15 09:19 . 2008-12-15 09:19 <DIR> d-------- C:\fsaua.data
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\programme\Lavasoft
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-12-13 11:23 . 2008-11-05 08:02 210,944 --a------ c:\windows\mobackup8.exe
2008-12-13 11:23 . 2008-12-13 11:23 1,651 -r------- c:\windows\MOBackup-DatensicherungfürOutlook7_Uninstall.in
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\programme\iTunes
2008-12-08 11:37 . 2008-12-08 11:37 <DIR> d-------- c:\programme\iPod
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 15:11 --------- d-----w c:\programme\TightVNC
2008-12-18 13:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2008-12-18 10:17 --------- d-----w c:\programme\SUPERAntiSpyware
2008-12-17 16:19 --------- d-----w c:\programme\Java
2008-12-17 08:50 8,874 -csha-w c:\windows\system32\KGyGaAvL.sys
2008-12-13 20:52 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-13 20:47 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Lavasoft
2008-12-13 20:44 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-13 20:42 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\MailWasherPro
2008-12-13 20:31 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-12-13 10:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-13 10:23 --------- d-----w c:\programme\MOBackup
2008-12-12 11:41 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ESM-Tools
2008-12-11 08:55 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\U3
2008-12-10 09:22 --------- d-----w c:\programme\StarMoney 6.0 S-Edition
2008-12-08 10:37 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-08 10:33 --------- d-----w c:\programme\QuickTime
2008-12-08 08:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-02 15:15 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\VSO
2008-11-28 13:30 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org2
2008-11-26 15:39 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Skype
2008-11-23 15:27 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-17 08:36 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft Web Folders
2008-11-07 10:27 --------- d-----w c:\programme\a-squared Free
2008-11-07 09:36 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-07 08:08 --------- d-----w c:\programme\Bonjour
2008-11-07 07:09 13,127 ----a-w c:\windows\ujuf.bin
2008-11-07 07:09 12,770 ----a-w c:\windows\system32\itipicema.reg
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:59 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll
2008-10-06 15:17 11,390 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdb.bin
2008-10-03 10:15 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 18:21 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-30 13:05 16,269 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdbu.bin
2006-10-04 13:10 17,605 ------w c:\programme\WinSweephosts.bak
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\Michael\.cxpg61spc.dat
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\\Michael\.cxpg61spc.dat
2006-05-10 17:15 838 ------w c:\programme\index.html
2006-05-10 17:15 407 ------w c:\programme\nav.html
2006-05-10 17:15 1,059 ------w c:\programme\style.css
2007-12-10 16:40 6,275,816 ----a-w c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2008-09-22 06:49 122,880 ----a-w c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-12-12 12:43 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-12 12:43 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-12 12:43 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-12 12:43 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-12 12:43 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2006-07-24 15:41 12 --sh--r c:\windows\msmkctrl.dll
2005-08-03 17:20 56 -csh--r c:\windows\system32\3CC9DAE445.sys
2007-04-07 07:30 88 --sh--r c:\windows\system32\52B56A307C.sys
2007-03-24 10:13 56 --sh--r c:\windows\system32\7C306AB552.sys
.

((((((((((((((((((((((((((((( snapshot@2008-12-13_11.06.16.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-12-18 13:08:35 10,113,024 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-12-18 13:08:36 3,301,376 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-12-18 13:08:08 10,113,024 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-12-18 13:08:09 3,301,376 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-10-17 00:34:18 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
+ 2007-03-06 01:14:13 217,312 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:22 377,568 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
- 2008-10-17 00:34:18 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll
+ 2008-04-29 09:19:50 12,960 ----a-w c:\windows\system32\drivers\Awrtpd.sys
+ 2008-04-29 09:19:54 15,648 ----a-w c:\windows\system32\drivers\Awrtrd.sys
+ 2008-04-29 09:20:00 15,648 ----a-w c:\windows\system32\drivers\NSDriver.sys
- 2008-06-10 00:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2008-12-17 16:19:38 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-10 00:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2008-12-17 16:19:38 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 01:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2008-12-17 16:19:38 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2008-05-16 09:58:04 12,632 ----a-w c:\windows\system32\lsdelete.exe
- 2008-10-17 00:34:18 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-18 15:19:27 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_568.dat
+ 2008-12-18 15:19:35 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_57c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EmailNotifier"="c:\programme\EmailNotifier\EN.exe" [2006-02-16 434688]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-04-15 1291264]
"DVBV Service Ctrl"="c:\programme\DVBViewer\DVBVCtrl.exe" [2007-02-11 53760]
"GMX SMS-Manager"="c:\programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 3539968]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-17 136600]
"ShowIcon_Vosonic_USB Media Device Driver v1.19r003"="c:\programme\USB Media\shwicon.exe" [2003-01-22 73728]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 c:\windows\SOUNDMAN.EXE]

c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\
mapdrive_1191912372.cmd [2007-11-04 132]
ShutDownPro.lnk - c:\programme\ShutDownPro\ShutDownPro.EXE [2005-08-05 100352]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pinnacle ShowCenter StreamServer.lnk - c:\programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe [2006-03-11 163840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 5 (0x5)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STAMPIT-Tray]
--a------ 2007-10-26 09:38 61440 c:\programme\STAMPIT\Binary\STRAY.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\EmailNotifier\\EN.exe"=
"c:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\WinSweep\\WSProxy.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SpeedProject\\SpeedCommander 11\\SpeedCommander.exe"=
"c:\\Programme\\DVBViewer\\DVBServer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Corel\\CorelDRAW Graphics Suite 13\\Programs\\CorelDRW.exe"=
"c:\\WINDOWS\\System32\\Sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP

xpsp2res.dll,-22004
"445:TCP"= 445:TCP

xpsp2res.dll,-22005
"137:UDP"= 137:UDP

xpsp2res.dll,-22001
"138:UDP"= 138:UDP

xpsp2res.dll,-22002
"1900:UDP"= 1900:UDP

xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP

xpsp2res.dll,-22008
"3389:TCP"= 3389:TCP

xpsp2res.dll,-22009
"80:TCP"= 80:TCP:Web Server (TCP 80)
"20:TCP"= 20:TCP:FTP (TCP/UDP 20)
"20:UDP"= 20:UDP:FTP (TCP/UDP 20)
"21:UDP"= 21:UDP:FTP (TCP/UDP 21)
"5800:TCP"= 5800:TCP:VNC (TCP/UDP 5800)
"5800:UDP"= 5800:UDP:VNC (TCP/UDP 5800)
"5900:TCP"= 5900:TCP:VNC (TCP/UDP 5900)
"5900:UDP"= 5900:UDP:VNC (TCP/UDP 5900)
"7792:TCP"= 7792:TCP:7792
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"4661:TCP"= 4661:TCP:Emule (TCP/UDP 4661)
"4661:UDP"= 4661:UDP:Emule (TCP/UDP 4661)
"4662:TCP"= 4662:TCP:Emule (TCP/UDP 4662)
"4662:UDP"= 4662:UDP:Emule (TCP/UDP 4662)
"4665:TCP"= 4665:TCP:Emule (TCP/UDP 4665)
"4665:UDP"= 4665:UDP:Emule (TCP/UDP 4665)
"4672:TCP"= 4672:TCP:Emule (TCP/UDP 4672)
"4672:UDP"= 4672:UDP:Emule (TCP/UDP 4672)
"21:TCP"= 21:TCP:FTP (TCP/UDP 21)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"RemoteAddresses"= *
"Enabled"= 1 (0x1)

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-01 22336]
R0 d346bus;d346bus;c:\windows\system32\DRIVERS\d346bus.sys [2005-08-03 156800]
R0 d346prt;d346prt;c:\windows\system32\Drivers\d346prt.sys [2005-08-03 5248]
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2006-02-03 30820]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-12 28544]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-01 45376]
R1 Cinemsup;Cinemsup;\??\c:\windows\system32\drivers\cinemsup.sys [2002-07-19 6656]
R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2006-10-10 5632]
R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2007-01-09 32256]
R2 DVBVRecorder;DVBViewer Recording service;c:\programme\DVBViewer\DVBVservice.exe [2007-08-05 324631]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-02-14 349184]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-04-29 29744]
S3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2006-02-16 4096]
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-11-06 10242176]
S3 TTUSB2BDA;TechniSat BDA USB 2.0 Driver;c:\windows\system32\DRIVERS\ttusb2bda.sys [2007-02-12 401024]
S3 ZD1201U(ZyXEL);ZyAIR B-220 IEEE 802.11b Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1201u.sys []
S4 Brdfpi;Brdfpi; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d3a122-aa01-11db-be87-000c76b813e9}]
\Shell\AutoRun\command - J:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abccd370-4fe7-11dd-822e-000c76b813e9}]
\Shell\AutoRun\command - j:\truecrypt\TrueCrypt.exe
\Shell\dismount\command - j:\truecrypt\TrueCrypt.exe /q /d
\Shell\start\command - j:\truecrypt\TrueCrypt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Inhalt des "geplante Tasks" Ordners

2008-11-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]

2008-12-17 c:\windows\Tasks\AntiVir PersonalEdition Classic starten.job
- c:\progra~1\ANTIVI~1\avcenter.exe [2008-06-26 10:55]

2008-12-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-12-18 c:\windows\Tasks\Start Outlook.job
- c:\dokumente und einstellungen\All Users\Startmen []

2008-12-18 c:\windows\Tasks\XoftSpySE 2.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]

2008-07-22 c:\windows\Tasks\XoftSpySE.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE:
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
IE: Subscribe in RSS Popper - c:\programme\RSS Popper\ie_subscribe.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO -

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\
FF - prefs.js: browser.startup.homepage - www.focus.de
FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\ImageShackCom.dll
FF - component: c:\progra~1\MOZILL~1\components\GoogleDesktopMozilla.dll

ATTENTION: FIREFOX POLICES IS IN FORCE
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 16:27:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2008-12-18 16:28:50
ComboFix-quarantined-files.txt 2008-12-18 15:28:46
ComboFix2.txt 2008-12-18 10:39:04
ComboFix3.txt 2008-12-18 10:08:28
ComboFix4.txt 2008-12-15 10:29:03
ComboFix5.txt 2008-12-18 11:23:38

Vor Suchlauf: 8.733.376.512 Bytes frei
Nach Suchlauf: 8,714,895,360 Bytes frei

318 --- E O F --- 2008-12-18 09:44:29

TightVNC habe ich schon länge nicht mehr genutzt und habe es jetzt deinstalliert. Hatte aber ein PW.

raman · Dec 19, 2008

Lassen sich die Funde von Spaybot mit Hilfe von Spybot bereinigen?

Micha.79 · Dec 20, 2008

Ja,aber nach jedem Neustart wird der Fund wieder angezeigt.
Nach SDFix zeigt mir Spybot nichts an. Starte ich den Rechner neu, ist der Eintrag wieder da.

Micha.79 · Dec 20, 2008

Es liegt immer wieder an diesem Eintrag.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]
@=""

ComboFix 08-12-17.01 - Michael 2008-12-20 10:58:07.8 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1535.1181 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-20 bis 2008-12-20 ))))))))))))))))))))))))))))))
.

2008-12-20 10:40 . 2008-12-20 10:40 <DIR> dr-h----- c:\dokumente und einstellungen\Michael\Recent
2008-12-18 14:07 . 2008-12-18 14:08 <DIR> d-------- c:\windows\ERUNT
2008-12-18 13:54 . 2008-12-18 13:55 <DIR> d-------- C:\programm_download
2008-12-18 12:38 . 2008-12-18 13:40 <DIR> d-------- c:\programme\Enigma Software Group
2008-12-17 17:20 . 2008-12-17 17:19 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-15 09:19 . 2008-12-15 09:19 <DIR> d-------- C:\fsaua.data
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\programme\Lavasoft
2008-12-14 00:14 . 2008-12-14 00:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-12-13 11:23 . 2008-11-05 08:02 210,944 --a------ c:\windows\mobackup8.exe
2008-12-13 11:23 . 2008-12-13 11:23 1,651 -r------- c:\windows\MOBackup-DatensicherungfürOutlook7_Uninstall.in
2008-12-13 11:15 . 2008-12-19 12:18 4,110,850 --a------ c:\windows\Pfirewall.log.old
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\programme\iTunes
2008-12-08 11:37 . 2008-12-08 11:37 <DIR> d-------- c:\programme\iPod
2008-12-08 11:37 . 2008-12-08 11:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-20 09:19 --------- d-----w c:\programme\CleanUp!
2008-12-19 11:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2008-12-19 10:51 --------- d-----w c:\programme\StarMoney 6.0 S-Edition
2008-12-18 16:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-18 15:11 --------- d-----w c:\programme\TightVNC
2008-12-18 10:17 --------- d-----w c:\programme\SUPERAntiSpyware
2008-12-17 16:19 --------- d-----w c:\programme\Java
2008-12-17 08:50 8,874 -csha-w c:\windows\system32\KGyGaAvL.sys
2008-12-13 20:52 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-13 20:47 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Lavasoft
2008-12-13 20:44 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-13 20:42 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\MailWasherPro
2008-12-13 20:31 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-12-13 10:23 --------- d-----w c:\programme\MOBackup
2008-12-12 11:41 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ESM-Tools
2008-12-11 08:55 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\U3
2008-12-08 10:37 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-08 10:33 --------- d-----w c:\programme\QuickTime
2008-12-08 08:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-02 15:15 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\VSO
2008-11-28 13:30 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org2
2008-11-26 15:39 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Skype
2008-11-23 15:27 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-17 08:36 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft Web Folders
2008-11-07 10:27 --------- d-----w c:\programme\a-squared Free
2008-11-07 09:36 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-07 08:08 --------- d-----w c:\programme\Bonjour
2008-11-07 07:09 13,127 ----a-w c:\windows\ujuf.bin
2008-11-07 07:09 12,770 ----a-w c:\windows\system32\itipicema.reg
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:59 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll
2008-10-06 15:17 11,390 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdb.bin
2008-10-03 10:15 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 18:21 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-30 13:05 16,269 ----a-w c:\dokumente und einstellungen\Michael\Anwendungsdaten\mdbu.bin
2006-10-04 13:10 17,605 ------w c:\programme\WinSweephosts.bak
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\Michael\.cxpg61spc.dat
2006-09-07 20:52 45,789 ----a-w c:\dokumente und einstellungen\\Michael\.cxpg61spc.dat
2006-05-10 17:15 838 ------w c:\programme\index.html
2006-05-10 17:15 407 ------w c:\programme\nav.html
2006-05-10 17:15 1,059 ------w c:\programme\style.css
2007-12-10 16:40 6,275,816 ----a-w c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2008-09-22 06:49 122,880 ----a-w c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-12-12 12:43 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-12 12:43 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-12 12:43 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-12 12:43 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-12 12:43 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2006-07-24 15:41 12 --sh--r c:\windows\msmkctrl.dll
2005-08-03 17:20 56 -csh--r c:\windows\system32\3CC9DAE445.sys
2007-04-07 07:30 88 --sh--r c:\windows\system32\52B56A307C.sys
2007-03-24 10:13 56 --sh--r c:\windows\system32\7C306AB552.sys
.

((((((((((((((((((((((((((((( snapshot@2008-12-13_11.06.16.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-12-19 11:24:58 10,113,024 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-12-19 11:24:59 3,301,376 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-12-18 13:08:08 10,113,024 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-12-18 13:08:09 3,301,376 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-10-17 00:34:18 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
+ 2007-03-06 01:14:13 217,312 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:22 377,568 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
- 2008-10-17 00:34:18 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll
+ 2008-04-29 09:19:50 12,960 ----a-w c:\windows\system32\drivers\Awrtpd.sys
+ 2008-04-29 09:19:54 15,648 ----a-w c:\windows\system32\drivers\Awrtrd.sys
+ 2008-04-29 09:20:00 15,648 ----a-w c:\windows\system32\drivers\NSDriver.sys
- 2008-06-10 00:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2008-12-17 16:19:38 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-10 00:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2008-12-17 16:19:38 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 01:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2008-12-17 16:19:38 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2008-05-16 09:58:04 12,632 ----a-w c:\windows\system32\lsdelete.exe
- 2008-10-17 00:34:18 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 ----a-w c:\windows\system32\mshtml.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EmailNotifier"="c:\programme\EmailNotifier\EN.exe" [2006-02-16 434688]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-04-15 1291264]
"DVBV Service Ctrl"="c:\programme\DVBViewer\DVBVCtrl.exe" [2007-02-11 53760]
"GMX SMS-Manager"="c:\programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 3539968]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe" [2008-10-05 235936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-17 136600]
"ShowIcon_Vosonic_USB Media Device Driver v1.19r003"="c:\programme\USB Media\shwicon.exe" [2003-01-22 73728]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 c:\windows\SOUNDMAN.EXE]

c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\
mapdrive_1191912372.cmd [2007-11-04 132]
ShutDownPro.lnk - c:\programme\ShutDownPro\ShutDownPro.EXE [2005-08-05 100352]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pinnacle ShowCenter StreamServer.lnk - c:\programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe [2006-03-11 163840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 5 (0x5)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STAMPIT-Tray]
--a------ 2007-10-26 09:38 61440 c:\programme\STAMPIT\Binary\STRAY.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\EmailNotifier\\EN.exe"=
"c:\\Programme\\Logitech\\Harmony Remote\\PatchHelper.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\WinSweep\\WSProxy.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SpeedProject\\SpeedCommander 11\\SpeedCommander.exe"=
"c:\\Programme\\DVBViewer\\DVBServer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Corel\\CorelDRAW Graphics Suite 13\\Programs\\CorelDRW.exe"=
"c:\\WINDOWS\\System32\\Sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP

xpsp2res.dll,-22004
"445:TCP"= 445:TCP

xpsp2res.dll,-22005
"137:UDP"= 137:UDP

xpsp2res.dll,-22001
"138:UDP"= 138:UDP

xpsp2res.dll,-22002
"1900:UDP"= 1900:UDP

xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP

xpsp2res.dll,-22008
"3389:TCP"= 3389:TCP

xpsp2res.dll,-22009
"80:TCP"= 80:TCP:Web Server (TCP 80)
"20:TCP"= 20:TCP:FTP (TCP/UDP 20)
"20:UDP"= 20:UDP:FTP (TCP/UDP 20)
"21:UDP"= 21:UDP:FTP (TCP/UDP 21)
"5800:TCP"= 5800:TCP:VNC (TCP/UDP 5800)
"5800:UDP"= 5800:UDP:VNC (TCP/UDP 5800)
"5900:TCP"= 5900:TCP:VNC (TCP/UDP 5900)
"5900:UDP"= 5900:UDP:VNC (TCP/UDP 5900)
"7792:TCP"= 7792:TCP:7792
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"4661:TCP"= 4661:TCP:Emule (TCP/UDP 4661)
"4661:UDP"= 4661:UDP:Emule (TCP/UDP 4661)
"4662:TCP"= 4662:TCP:Emule (TCP/UDP 4662)
"4662:UDP"= 4662:UDP:Emule (TCP/UDP 4662)
"4665:TCP"= 4665:TCP:Emule (TCP/UDP 4665)
"4665:UDP"= 4665:UDP:Emule (TCP/UDP 4665)
"4672:TCP"= 4672:TCP:Emule (TCP/UDP 4672)
"4672:UDP"= 4672:UDP:Emule (TCP/UDP 4672)
"21:TCP"= 21:TCP:FTP (TCP/UDP 21)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"RemoteAddresses"= *
"Enabled"= 1 (0x1)

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-01 22336]
R0 d346bus;d346bus;c:\windows\system32\DRIVERS\d346bus.sys [2005-08-03 156800]
R0 d346prt;d346prt;c:\windows\system32\Drivers\d346prt.sys [2005-08-03 5248]
R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [2006-02-03 30820]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-01 45376]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-12 28544]
S1 Cinemsup;Cinemsup;\??\c:\windows\system32\drivers\cinemsup.sys [2002-07-19 6656]
S1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2006-10-10 5632]
S1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2007-01-09 32256]
S2 DVBVRecorder;DVBViewer Recording service;c:\programme\DVBViewer\DVBVservice.exe [2007-08-05 324631]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-04-29 29744]
S3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2006-02-16 4096]
S3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\DRIVERS\SkyNET.SYS [2007-02-14 349184]
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-11-06 10242176]
S3 TTUSB2BDA;TechniSat BDA USB 2.0 Driver;c:\windows\system32\DRIVERS\ttusb2bda.sys [2007-02-12 401024]
S3 ZD1201U(ZyXEL);ZyAIR B-220 IEEE 802.11b Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1201u.sys []
S4 Brdfpi;Brdfpi; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d3a122-aa01-11db-be87-000c76b813e9}]
\Shell\AutoRun\command - J:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abccd370-4fe7-11dd-822e-000c76b813e9}]
\Shell\AutoRun\command - j:\truecrypt\TrueCrypt.exe
\Shell\dismount\command - j:\truecrypt\TrueCrypt.exe /q /d
\Shell\start\command - j:\truecrypt\TrueCrypt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Inhalt des "geplante Tasks" Ordners

2008-12-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]

2008-12-17 c:\windows\Tasks\AntiVir PersonalEdition Classic starten.job
- c:\progra~1\ANTIVI~1\avcenter.exe [2008-06-26 10:55]

2008-12-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-12-20 c:\windows\Tasks\Start Outlook.job
- c:\dokumente und einstellungen\All Users\Startmen []

2008-12-20 c:\windows\Tasks\XoftSpySE 2.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]

2008-07-22 c:\windows\Tasks\XoftSpySE.job
- c:\programme\XoftSpySE\XoftSpy.exe [2007-07-13 13:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE:
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
IE: Subscribe in RSS Popper - c:\programme\RSS Popper\ie_subscribe.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO -

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\
FF - prefs.js: browser.startup.homepage - www.focus.de
FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\uhh304om.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\ImageShackCom.dll
FF - component: c:\progra~1\MOZILL~1\components\GoogleDesktopMozilla.dll

ATTENTION: FIREFOX POLICES IS IN FORCE
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-20 10:59:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(264)
c:\windows\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2008-12-20 11:01:33
ComboFix-quarantined-files.txt 2008-12-20 10:00:52
ComboFix2.txt 2008-12-18 15:28:53
ComboFix3.txt 2008-12-18 10:39:04
ComboFix4.txt 2008-12-18 10:08:28
ComboFix5.txt 2008-12-20 09:57:25

Vor Suchlauf: 9.466.036.224 Bytes frei
Nach Suchlauf: 9,455,411,200 Bytes frei

312 --- E O F --- 2008-12-18 09:44:29

raman · Dec 20, 2008

Tja, dann versuch mal folgendes CFscript:

Code:

file::
C:\Windows\System32\drivers\msliksurserv.sys

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msliksurserv.sys]

driver::
Brdfpi
ZD1201U(ZyXEL)
pavboot

dirlook::
c:\
c:\programme\Gemeinsame Dateien
c:\dokumente und einstellungen\All Users\Anwendungsdaten
c:\dokumente und einstellungen\Michael\Anwendungsdaten

Der "pavboot" gehoert zu Pandas Antirootkit, aber das fliegt auch erstmal raus.

Poste danach bitte den neuen CF REport und ein Gmer Report:
http://forum.hijackthis.de/showthread.php?t=16868

Zlob/DNS-Changer

New member

Expert-Visiting Fellow

New member

Expert-Visiting Fellow

New member

Expert-Visiting Fellow

New member

New member

Expert-Visiting Fellow

New member

New member

New member

Expert-Visiting Fellow

New member

Expert-Visiting Fellow

New member

Expert-Visiting Fellow

New member

New member

Expert-Visiting Fellow