Hallo zusammen,

ich bin pc-mäßig eine absolute -0 und wäre froh, wenn mir jemand weiterhelfen könnte.

mein betriebssystem ist windows xp und ich benutze den firefox als ständigen browser.
heute mittag meldete mein AntiVir Guard (ZoneAlarm hatte ich deaktiviert, da er andere programme blockierte) folgenden fund :in meinen dokumenten/einstellungen .../llyswury.exe ist das trojanische pferd TR/Fakealert.SS.8
der versuch, das tierchen zu löschen schlug fehl, aber in quarantäne konnte ich es verschieben.
die angegebene datei (llyswury.exe) ließ ich auf dem pc suchen, ohne ergebnis.
über google fand ich auch nichts über TR/Fakealert.SS.8.

ungefähr zwei minuten später folgte die nächste meldung :
C:\Dokumente\Einstellungen...\wpad[1].htm enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Agent.KO
das teil konnte ich löschen.

ich ließ den ad-adware durchlaufen, der lediglich die üblichen 16 unauffälligen
cookies und einen mru erwischte.

daraufhin startete ich eine zweite überprüfung mit hijackthis.
diesen log-editor gab ich auf der zugehörigen seite zur auswertung ein und erhielt eine "schädlingsmeldung", mit der ich leider überhaupt nichts anfangen konnte :
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...tml?p=ZNfox000
(Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.)


meine fragen sind nun:

- was bewirkt TR/Fakealert.SS.8?
- ist er in der quarantäne auch noch aktiv?
- wie kann ich es löschen?
- ist JS/Dldr.Agent.KO wirklich so einfach gelöscht?
- wie lösche ich den von jack gefundenen schädling, von dem ich nichtmal weiß, wie ich ihn finden soll?

und ...zum guten schluss: mit welchen schutzprogrammen wäre mein pc wirklich einigermaßen vernünftig abgesichert?

über hilfe oder tips wäre ich sehr dankbar


.

edit:

soeben erhalte ich von antivir folgendes :

C:\dokumente und einstellungen\ ... \ZGI13E.tmp

Dieses Archiv enthält einen oder mehrere Viren oder unerwünschte Programme!
Betroffene Dateien in Archiven werden nicht repariert oder gelöscht!
Achtung : Das gesamte Archiv ist von der ausgewählten Aktion betroffen!

ich habe es nun in quarantäne verschoben.
langsam mach ich mir doch sorgen ...

Hallo,
poste bitte als erstes ein HijackThis Logfile, um eine Übersicht vom Zustand deines Systems zu bekommen (vergiss nicht, alle aktiven Links und persönliche Namen unkenntlich zu machen!), erst dann kann dir geholfen werden.

Zitat:

- was bewirkt TR/Fakealert.SS.8

Wie der Name schon andeutet, er täuscht einen Alarm vor. Wird oft in Verbindung mit Rogue Software gebracht.

Zitat:

- ist er in der quarantäne auch noch aktiv?

Die einzelne Datei normalerweise nicht.

Zitat:

- wie kann ich es löschen?

Folgt später.

Zitat:

- ist JS/Dldr.Agent.KO wirklich so einfach gelöscht?

Folgt ebenfalls später.

Zitat:

- wie lösche ich den von jack gefundenen schädling, von dem ich nichtmal weiß, wie ich ihn finden soll?

Siehe oben.

Edit: Den aktiven Link in deinem ersten Post bitte unschädlich machen

hallo und vielen dank für die schnelle antwort

ich kann meinen beitrag leider nicht mehr editieren, oder hab ich eine funktion übersehen?

logs kommen sofort ...

Kein Problem, wird dann ein Admin. oder Mod. übernehmen müssen

ok, hier das file...sry für den geposteten link.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:28:51, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Update Helper - {25D596E9-BD03-4D4A-8310-5DF3B31E8D26} - C:\Programme\Google\Update\1.2.121.17\GoopdateBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.3.24.3\gears.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.3.24.3\gears.dll
O9 - Extra 'Tools' menuitem: &Google Gears Settings - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.3.24.3\gears.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate1c8e46c7422bd36) (gupdate1c8e46c7422bd36) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7548 bytes

So, das Logfile ist an sich sauber, bis auf den MyWebSearch-Eintrag.
Geh mal in die Systemsteuerung => Software und deinstalliere das Google-Zeugs, ZoneAlarm und (falls vorhanden) alles was mit MyWebSearch zu tun hat.

Danach folge der Anleitung für MalwareBytes, Link findest du in meiner Signatur.

mfg

vielen dank, mach ich sofort ...ergebnis folgt



edit:
können vor lachen ... ...irgendetwas blockiert die löschvorgänge... ich kann jetzt nicht einmal das (software)fenster schließen oder darin scrollen...
ich versuchs weiter ...

ich lösche noch fleissig (s.o.)

aber das hier auch noch :

antivir fand eben :
TR/Crypt.XPACK.Gen

ähm... es könnte sein, dass diese aktion mich am löschen gehindert hat *unschuldig-pfeif*




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. August 2008 00:40

Es wird nach 1536723 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 11:24:12
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 11:24:12
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 11:24:12
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 11:24:12
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 06:57:39
ANTIVIR2.VDF : 7.0.5.207 2316800 Bytes 04.08.2008 18:23:19
ANTIVIR3.VDF : 7.0.5.219 82944 Bytes 06.08.2008 08:30:17
Engineversion : 8.1.1.15
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.61 311675 Bytes 31.07.2008 18:20:46
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 09:53:26
AERDL.DLL : 8.1.0.20 418165 Bytes 05.07.2008 06:58:02
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 09:53:26
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 19.07.2008 13:33:46
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 25.07.2008 13:33:44
AEHELP.DLL : 8.1.0.15 115063 Bytes 05.07.2008 06:57:50
AEGEN.DLL : 8.1.0.32 315765 Bytes 31.07.2008 18:20:45
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 18:20:44
AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 18:20:42
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 10:41:37
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 11:24:12
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 11:24:12
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:20:40
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 11:24:12
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 11:24:12
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 11:24:12
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 11:24:09
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 11:24:09

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 7. August 2008 00:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScanningProcess.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScanningProcess.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VeohClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Temp\ZGI13E.tmp
[0] Archivtyp: ZIP SFX (self extracting)
--> Mosaic - Tomb of Mystery Deluxe\mosaictombofmystery.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e32ee8.qua' verschoben!
Beginne mit der Suche in 'D:\' <Volume>
Beginne mit der Suche in 'E:\' <DATEN>


Ende des Suchlaufs: Donnerstag, 7. August 2008 02:12
Benötigte Zeit: 1:32:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7739 Verzeichnisse wurden überprüft
290457 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
290455 Dateien ohne Befall
2696 Archive wurden durchsucht
1 Warnungen
1 Hinweise


jetzt aber ....löschen..... *hust*


.

Was ich noch vergaß:
Adobe Reader und Java updaten!

*hust* MalwareBytes? *hust*

Edit: Den Rest machen wir morgen(heute), gute Nacht.

melde gehorsamst: java und adobe reader auf dem neuesten stand und 2mal google/zonealarm gelöscht.
von "mywebsearch" leider weit und breit keine spur

malwarebytes läuft noch ...




edit: "rest" ist positiv ... bis nachher, gute nacht

so ...hier nun das ergebnis von malwarebytes :

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2

09:13:35 07.08.2008
mbam-log-8-7-2008 (09-13-35).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 119397
Laufzeit: 58 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger) -> Data: kdlva.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Temp\gos6A.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.

Ich sehe, das bei dir ein Rootkit aktiv war, drum haben wir den im HijackThis Logfile wohl nicht gesehn.
Führe bitte mal die Schritte aus:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.



Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

puhh,... ich fürchte, ich hab was versaubeutelt ...

aber beginnen wir mit dem positiven:

Search Navipromo version 3.6.1 began on 07.08.2008 at 14:14:38,07

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "name"

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\name\anwend~1" ***


*** Search folders in "C:\DOKUME~1\name\anwend~1" ***


*** Search folders in "C:\DOKUME~1\name\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\name\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\name\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\name\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\name\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\name\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\name\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No Navipromo file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\name\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\name\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\name\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\name\lokale~1\anwend~1" :


* In "C:\DOKUME~1\name\lokale~1\anwend~1" :


* In "C:\DOKUME~1\name\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 07.08.2008 at 14:22:56,95 ***


-----------------------------------------------------------------------

ja... wie soll ich es sagen.... ich hab die blbeta.exe. nicht gefunden .

deswegen denke ich, ist das hier wohl unnütz? :

08/07/08 14:34:35 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 14:34:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 14:34:35 [Note]: 7019 4
08/07/08 14:34:35 [Note]: 7005 0
08/07/08 14:35:23 [Note]: 7006 0
08/07/08 14:35:23 [Note]: 7011 1608
08/07/08 14:35:23 [Note]: 7035 0
08/07/08 14:35:23 [Note]: 7026 0
08/07/08 14:35:23 [Note]: 7026 0
08/07/08 14:35:24 [Note]: FSRAW library version 1.7.1024
08/07/08 14:52:05 [Note]: 7007 0



komm schon ...erschieß mich ...

.

Wieso erschießen?

sieht doch ganz gut aus.
Letzter Schritt:

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Wenn da alles i.O. ist, kann ich dich entlassen.

mfg

and here are the results of the british jury :

Code: Alles auswählenAufklappen

ATTFilter

Deckard's System Scanner v20071014.68
Run by name on 2008-08-07 15:25:52
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------



-- Last 5 Restore Point(s) --
34: 2008-08-07 13:14:44 UTC - RP755 - Deckard's System Scanner Restore Point
33: 2008-08-07 01:05:58 UTC - RP754 - Installed Adobe Reader 9 - Deutsch.
32: 2008-08-07 01:05:10 UTC - RP753 - Adobe Reader 7.1.0 - Deutsch wird entfernt
31: 2008-08-07 00:48:17 UTC - RP752 - Java(TM) 6 Update 7 wird installiert
30: 2008-08-07 00:30:24 UTC - RP751 - Removed Lively by Google


-- First Restore Point -- 
1: 2008-07-08 14:30:56 UTC - RP722 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 479 MiB (512 MiB recommended).
System Drive C: has 0.66 GiB (less than 15%) free.


-- HijackThis (run as name.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:25, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\name\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\name.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6136 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R3 MTsensor (ATK0110 ACPI UTILITY) - c:\windows\system32\drivers\asacpi.sys <Not Verified; ; ATK0110 ACPI Utility>

S3 SndTDriverV32 - c:\windows\system32\drivers\sndtdriverv32.sys <Not Verified; Windows (R) 2000/XP; Windows (R) 2000/XP Driver>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: SiS190 100/10 Ethernet Device
Device ID: PCI\VEN_1039&DEV_0190&SUBSYS_81391043&REV_00\3&267A616A&0&20
Manufacturer: Silicon Integrated Systems Corp.
Name: SiS190 100/10 Ethernet Device
PNP Device ID: PCI\VEN_1039&DEV_0190&SUBSYS_81391043&REV_00\3&267A616A&0&20
Service: SiSGbeXP


-- Files created between 2008-07-07 and 2008-08-07 -----------------------------

2008-08-07 14:11:38         0 d-------- C:\Programme\Navilog1
2008-08-07 02:36:44         0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-06 21:34:42         0 d-------- C:\Programme\Trend Micro
2008-07-13 00:13:01         0 d-------- C:\Programme\Google
2008-07-10 21:11:41         0 d-------- C:\Programme\Veoh Networks
2008-07-09 18:08:17         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-09 16:25:00         0 d-------- C:\WINDOWS\system32\Adobe


-- Find3M Report ---------------------------------------------------------------

2008-08-07 03:09:28         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-08-07 02:53:36         0 d-------- C:\Programme\Java
2008-08-07 02:36:48         0 d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Malwarebytes
2008-08-06 20:37:57         0 d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\OpenOffice.org2
2008-08-06 10:28:26       512 --a------ C:\ScanSectorLog.dat
2008-08-06 10:27:01      4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-08-03 11:20:40         0 d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\ICQ
2008-07-31 20:06:54         0 d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\DivX
2008-07-21 07:28:07         0 d-------- C:\Programme\Mozilla Thunderbird
2008-07-14 11:54:26         0 d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Adobe
2008-07-12 19:32:30         0 d-------- C:\Programme\DivX
2008-07-10 21:13:56         0 d--h----- C:\Programme\InstallShield Installation Information
2008-07-09 18:08:17         0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-05 08:54:58         0 d-------- C:\Programme\Avira
2008-07-02 20:04:49        33 --a------ C:\WINDOWS\popcinfo.dat
2008-06-26 13:07:26         0 d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla
2008-06-25 11:52:36         0 d-------- C:\Programme\WinLemm
2008-06-21 05:50:35         0 d-------- C:\Programme\Dofus
2008-06-17 16:48:24         0 d-------- C:\Programme\ICQToolbar
2008-06-13 16:33:31         0 d-------- C:\Programme\Lavasoft
2008-06-13 16:29:31         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-11 02:07:20   3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 02:03:26    196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-06-11 02:03:26     81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-06-11 02:03:20    802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-06-11 02:03:20    823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-11 02:03:20    815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-11 02:03:20    823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-11 02:03:18    683520 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-10 02:42:33         0 d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\AdobeUM
2008-05-23 00:18:54     12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
11.06.2008 22:33	75128	--a------	C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [05.05.2003 09:57]
"SiSPower"="SiSPower.dll" [04.01.2005 10:54 C:\WINDOWS\system32\SiSPower.dll]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.2008 04:27]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [18.07.2008 13:24]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [24.09.2006 03:24]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [12.06.2008 02:38]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [19.06.2008 15:15]
"@"="" []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"WinUpdate"= C:\WINDOWS\system32\accessh.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^name^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\name\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wissen.de kit.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wissen.de kit.lnk
backup=C:\WINDOWS\pss\wissen.de kit.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E-Mail Alarm]
"C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe" HIDE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE Club E-Mail Alarm]
"C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe" HIDE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE_WEB.DE SmartDrive Manager]
"C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

*Newly Created Service* - CATCHME
*Newly Created Service* - MBAMSWISSARMY



-- End of Deckard's System Scanner: finished at 2008-08-07 15:30:36