vermute virus durch msn messenger 2009

flo31083 · 05.11.2008, 02:08

hier mein log ka ob das so richtig ist:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:51:57, on 05.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\DOKUME~1\Flo\LOKALE~1\Temp\sidebar.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Tools&More\SelfHost-My-PC\SelfHost-My-PC.exe
C:\Programme\Download Direct\DLD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SelfHost-My-PC] "C:\Programme\Tools&More\SelfHost-My-PC\SelfHost-My-PC.exe" /AUTOSTART
O4 - HKCU\..\Run: [DLD.EXE] C:\Programme\Download Direct\DLD.exe
O4 - HKLM\..\Policies\Explorer\Run: [Sidebar] C:\DOKUME~1\Flo\LOKALE~1\Temp\sidebar.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11840 bytes

der virus schreibt allen meinen kontakten diese nachrricht:

Hi, ich habe letztens ein paar Superheisse Urlaubsphotos von mir
machen können. Die Bräute da waren einfach der Hammer!

hab adware durchlaufen lassen und antivir hat aber leider nichts gebracht wie bekomm ich den virus weg?

thx im vorraus

flo31083 · 05.11.2008, 02:38

[TABLE]ComboFix 08-11-04.02 - Flo 2008-11-05 2:17:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1425 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Flo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\uninstall.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-05 bis 2008-11-05 ))))))))))))))))))))))))))))))
.

2008-11-05 01:51 . 2008-11-05 01:51 <DIR> d-------- c:\programme\Trend Micro
2008-11-05 01:41 . 2008-11-05 01:41 200 --a------ C:\sqmnoopt05.sqm
2008-11-05 01:41 . 2008-11-05 01:41 200 --a------ C:\sqmdata05.sqm
2008-11-05 01:37 . 2008-11-05 01:37 200 --a------ C:\sqmnoopt04.sqm
2008-11-05 01:37 . 2008-11-05 01:37 200 --a------ C:\sqmdata04.sqm
2008-11-04 22:35 . 2008-11-04 22:35 <DIR> d-------- c:\programme\Lavasoft
2008-11-04 22:35 . 2008-11-04 22:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-04 21:30 . 2008-11-04 21:30 <DIR> d-------- c:\programme\Avira
2008-11-04 21:30 . 2008-11-04 21:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-04 15:20 . 2008-11-04 15:21 <DIR> d-------- c:\programme\SystemRequirementsLab
2008-11-04 15:20 . 2008-11-04 15:20 <DIR> d-------- c:\dokumente und einstellungen\Flo\SystemRequirementsLab
2008-11-04 15:15 . 2008-11-04 15:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-11-04 14:14 . 2008-11-04 14:14 200 --a------ C:\sqmnoopt03.sqm
2008-11-04 14:14 . 2008-11-04 14:14 200 --a------ C:\sqmdata03.sqm
2008-11-03 19:02 . 2008-11-03 19:02 2,250,024 --a------ c:\windows\system32\pbsvc.exe
2008-11-03 19:02 . 2008-11-03 19:02 107,832 --a------ c:\windows\system32\PnkBstrB.exe
2008-11-03 19:02 . 2008-11-03 19:02 66,872 --a------ c:\windows\system32\PnkBstrA.exe
2008-11-03 19:02 . 2008-11-03 19:02 22,328 --a------ c:\windows\system32\drivers\PnkBstrK.sys
2008-11-03 19:02 . 2008-11-03 19:02 22,328 --a------ c:\dokumente und einstellungen\Flo\Anwendungsdaten\PnkBstrK.sys
2008-11-03 18:55 . 2008-11-03 18:55 <DIR> d-------- c:\programme\Ubisoft
2008-11-03 16:54 . 2008-11-04 05:05 69 --a------ c:\windows\NeroDigital.ini
2008-11-03 16:45 . 2008-11-03 16:45 <DIR> d-------- c:\programme\Runtime Software
2008-11-03 16:05 . 2008-11-03 16:05 200 --a------ C:\sqmnoopt02.sqm
2008-11-03 16:05 . 2008-11-03 16:05 200 --a------ C:\sqmdata02.sqm
2008-11-03 14:54 . 2008-11-03 14:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe AIR
2008-11-02 20:50 . 2008-11-02 20:52 <DIR> d-------- c:\programme\Windows Live Safety Center
2008-11-02 20:22 . 2008-11-02 20:22 236 --a------ C:\sqmdata01.sqm
2008-11-02 20:22 . 2008-11-02 20:22 200 --a------ C:\sqmnoopt01.sqm
2008-11-02 20:21 . 2008-09-04 22:03 56,344 --a------ c:\windows\system32\drivers\fssfltr.sys
2008-11-02 20:19 . 2008-11-05 01:41 <DIR> d-------- c:\dokumente und einstellungen\Flo\Tracing
2008-11-02 20:16 . 2008-11-02 20:16 <DIR> d-------- c:\programme\Microsoft
2008-11-02 20:12 . 2008-11-02 20:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Windows Live
2008-11-02 18:21 . 2008-11-02 18:26 <DIR> d-------- c:\programme\Download Direct
2008-11-02 15:42 . 2008-11-02 15:45 <DIR> d-------- c:\programme\vpn_manager
2008-11-02 15:42 . 2008-11-02 15:42 <DIR> d-------- c:\programme\url_gateway
2008-11-02 15:37 . 2008-11-02 15:37 <DIR> d-------- c:\windows\Downloaded Installations
2008-11-02 15:37 . 2008-11-02 15:37 <DIR> d-------- c:\programme\Tools&More
2008-11-02 03:13 . 2008-11-03 13:44 <DIR> d-------- C:\Downloads
2008-11-02 00:07 . 2008-11-02 00:07 <DIR> d-------- c:\programme\Visions
2008-11-01 23:46 . 2008-11-01 23:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-11-01 23:40 . 2008-11-01 23:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vokabeltrainer 3
2008-11-01 23:36 . 2008-11-01 23:40 <DIR> d-------- c:\programme\Vokabeltrainer 3
2008-11-01 18:09 . 2008-11-01 18:09 <DIR> d-------- c:\programme\Bonjour
2008-11-01 18:02 . 2008-11-01 18:02 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2008-11-01 17:54 . 2008-11-01 17:55 <DIR> d-------- c:\windows\system32\E177E04D548C4006A465EEB92D3DE021
2008-11-01 17:53 . 2008-11-01 17:53 <DIR> d-------- c:\programme\Ipswitch
2008-11-01 17:53 . 2008-11-01 17:53 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Ipswitch
2008-11-01 17:53 . 2008-11-01 17:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ipswitch
2008-11-01 17:53 . 2006-07-25 07:42 606,293 --a------ c:\windows\system32\wbocx.ocx
2008-11-01 17:53 . 2006-07-25 07:42 50,688 --a------ c:\windows\system32\wbhelp2.dll
2008-11-01 16:56 . 2008-11-01 16:56 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Ulead Systems
2008-11-01 16:56 . 2008-11-01 17:21 543 --ah----- c:\windows\system32\ws073247.ocx
2008-11-01 16:56 . 2008-11-01 17:21 543 --ah----- C:\os357577.bin
2008-11-01 16:50 . 2008-11-01 23:18 46,640 --a------ c:\windows\system32\msln.exe
2008-11-01 16:49 . 2008-11-01 16:49 <DIR> d-------- c:\windows\Vbox
2008-11-01 16:49 . 2008-11-01 16:49 <DIR> d-------- c:\windows\Noslip
2008-11-01 16:49 . 2008-11-01 17:27 <DIR> d-------- c:\programme\Ulead Systems
2008-11-01 16:49 . 2008-11-01 17:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-11-01 16:34 . 2008-11-01 16:34 <DIR> d-------- c:\programme\MSN Messenger
2008-11-01 16:34 . 2008-11-01 16:34 <DIR> d-------- c:\programme\Gilly Messenger
2008-11-01 16:34 . 2008-11-01 16:34 720,896 --a------ c:\windows\iun6002.exe
2008-11-01 03:16 . 2008-11-01 03:16 <DIR> d-------- c:\programme\Quintessential Player
2008-11-01 03:13 . 2008-11-01 03:17 <DIR> d-------- c:\programme\Quintessential Media Player
2008-11-01 03:13 . 2008-11-01 03:17 <DIR> d-------- c:\programme\Any Video Converter
2008-11-01 03:13 . 2008-11-01 03:22 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Any Video Converter
2008-10-31 00:48 . 2008-10-31 00:48 <DIR> dr-h----- c:\dokumente und einstellungen\Flo\Anwendungsdaten\SecuROM
2008-10-31 00:48 . 2008-10-31 00:48 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-10-31 00:38 . 2008-10-31 00:38 2,285,056 --a------ c:\windows\system32\TUKernel.exe
2008-10-31 00:31 . 2008-10-31 00:32 <DIR> d--h----- c:\windows\Icons
2008-10-31 00:02 . 2008-10-31 00:02 <DIR> d-------- c:\programme\Ascaron Entertainment
2008-10-30 23:33 . 2008-10-30 23:35 <DIR> d-------- c:\programme\TuneUp Utilities 2008
2008-10-30 23:33 . 2008-10-30 23:33 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\TuneUp Software
2008-10-30 23:33 . 2008-10-30 23:33 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-10-30 23:33 . 2008-10-30 23:33 361,728 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-10-30 23:33 . 2008-07-18 15:05 28,416 --a------ c:\windows\system32\uxtuneup.dll
2008-10-30 04:25 . 2008-10-30 04:25 <DIR> d-------- c:\windows\Logs
2008-10-30 04:25 . 2008-10-31 00:35 413,696 --a------ c:\windows\system32\wrap_oal.dll
2008-10-30 04:25 . 2008-10-31 00:35 110,592 --a------ c:\windows\system32\OpenAL32.dll
2008-10-30 03:37 . 2008-10-30 03:37 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\AdobeUM
2008-10-30 03:35 . 2008-10-30 03:35 <DIR> d-------- c:\windows\system32\AGEIA
2008-10-30 03:35 . 2008-11-04 22:34 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-30 03:35 . 2008-10-30 03:35 <DIR> d-------- c:\programme\AGEIA Technologies
2008-10-29 13:02 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2008-10-28 21:56 . 2008-10-28 21:56 <DIR> d-------- C:\WHAT LIES BENEATH [C-XC M T-154 S-2 A-EN_DE Q-105]
2008-10-28 21:54 . 2008-10-28 21:54 <DIR> d-------- c:\programme\ratDVD
2008-10-28 19:26 . 2008-10-28 19:26 <DIR> d-------- c:\programme\Smart Projects
2008-10-28 14:59 . 2008-10-28 14:59 307,812 --a------ c:\windows\system32\system13.exe
2008-10-28 14:59 . 2008-10-28 14:59 115,920 --a------ c:\windows\system32\MSINET.OCX
2008-10-28 14:59 . 2008-10-28 14:59 12,288 --a------ c:\windows\setup_rec.exe
2008-10-28 14:59 . 2008-10-28 14:59 0 --a------ c:\windows\error.steam
2008-10-28 01:55 . 2008-11-02 18:02 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\dvdcss
2008-10-26 23:43 . 2008-10-26 23:43 410,976 --a------ c:\windows\system32\deploytk.dll
2008-10-26 23:43 . 2008-10-26 23:43 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-26 23:38 . 2008-10-26 23:38 <DIR> d-------- c:\windows\Sun
2008-10-26 19:46 . 2008-10-26 19:47 <DIR> d-------- c:\programme\mp3DirectCut
2008-10-25 02:00 . 2008-11-02 21:18 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Nero
2008-10-25 01:47 . 2008-10-25 01:47 24 ---hs---- c:\windows\SF6052E8B.tmp
2008-10-25 01:46 . 2008-10-25 01:46 <DIR> d-------- c:\programme\SlySoft
2008-10-25 01:40 . 2008-10-25 01:40 4,767 --a------ c:\windows\Irremote.ini
2008-10-25 01:37 . 2008-10-25 01:37 <DIR> d-------- c:\programme\Windows Sidebar
2008-10-25 01:20 . 2008-11-02 21:14 <DIR> d-------- c:\programme\Nero
2008-10-25 01:20 . 2008-11-02 21:13 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nero
2008-10-25 01:20 . 2008-10-28 01:47 <DIR> d-------- c:\dokumente und einstellungen\Flo\dwhelper
2008-10-25 01:20 . 2008-10-25 01:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2008-10-24 08:13 . 2008-10-15 17:57 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-23 21:47 . 2008-10-23 21:48 <DIR> d-------- c:\programme\ICQ6
2008-10-23 21:47 . 2008-10-23 21:48 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\ICQ
2008-10-23 17:35 . 2008-10-24 21:18 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\DivX
2008-10-23 17:26 . 2008-10-23 17:29 <DIR> d-------- C:\divx
2008-10-23 17:22 . 2008-10-23 17:22 <DIR> d-------- c:\programme\DivX
2008-10-23 17:22 . 2008-09-16 01:14 129,784 --------- c:\windows\system32\pxafs.dll
2008-10-23 17:22 . 2008-09-16 01:14 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys
2008-10-23 17:22 . 2008-09-16 01:14 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys
2008-10-23 11:13 . 2008-10-23 11:13 <DIR> d-------- c:\programme\Gemeinsame Dateien\xing shared
2008-10-23 11:13 . 2008-10-23 11:13 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real
2008-10-23 11:13 . 2008-10-23 11:13 <DIR> d-------- C:\Program Files
2008-10-22 20:11 . 2005-08-30 05:15 1,293,312 --a------ c:\windows\system32\SET29A.tmp
2008-10-22 20:11 . 2005-07-26 05:29 243,200 --a------ c:\windows\system32\SET2A0.tmp
2008-10-22 20:10 . 2008-10-22 20:10 <DIR> d-------- c:\programme\Microsoft CAPICOM 2.1.0.2
2008-10-22 20:06 . 2008-10-22 20:06 <DIR> d-------- c:\programme\MSXML 4.0
2008-10-22 20:06 . 2006-05-19 16:06 3,076,096 --a------ c:\windows\system32\SETC7.tmp
2008-10-22 20:06 . 2006-05-29 16:32 1,496,576 --a------ c:\windows\system32\SETCC.tmp
2008-10-22 20:06 . 2006-05-10 06:26 669,184 --a------ c:\windows\system32\SETCF.tmp
2008-10-22 20:06 . 2006-05-10 06:26 617,472 --a------ c:\windows\system32\SETCE.tmp
2008-10-22 20:06 . 2006-05-10 06:26 474,624 --a------ c:\windows\system32\SETCD.tmp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 17:55 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-03 15:40 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-01 22:18 --------- d-----w c:\programme\Symantec
2008-11-01 22:18 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-01 22:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2008-10-26 22:42 --------- d-----w c:\programme\Java
2008-10-22 03:01 --------- d-----w c:\programme\X10 Hardware
2008-10-22 02:59 --------- d-----w c:\programme\Realtek
2008-10-22 02:59 --------- d-----w c:\programme\Online-Dienste
2008-10-22 02:58 --------- d-----w c:\programme\Microsoft.NET
2008-10-22 02:58 --------- d-----w c:\programme\microsoft frontpage
2008-10-22 02:58 --------- d-----w c:\programme\ltmoh
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\InterVideo
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-22 02:56 --------- d-----w c:\programme\Common Files
2008-10-22 02:56 --------- d-----w c:\programme\ATI Technologies
2008-10-22 02:49 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\X10 Commander
2008-10-22 02:45 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
2008-10-22 02:45 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\toshiba
2008-10-22 02:45 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sonic
2008-10-21 18:27 --------- d-----w c:\programme\Intel
2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-16 00:14 43,528 ------w c:\windows\system32\drivers\pxhelp20.sys
2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-16 00:14 120,056 ------w c:\windows\system32\pxcpyi64.exe
2008-09-16 00:14 118,520 ------w c:\windows\system32\pxinsi64.exe
2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-08 23:03 51,712 ----a-w c:\windows\system32\sirenacm.dll
2008-09-05 14:56 287,744 ----a-w c:\windows\WLXPGSS.SCR
2008-08-20 05:33 673,280 ----a-w c:\windows\system32\wininet.dll
2008-08-20 05:33 673,280 ----a-w c:\windows\system32\SET8E.tmp
2008-08-20 05:33 621,056 ----a-w c:\windows\system32\SET8F.tmp
2008-08-20 05:33 474,624 ----a-w c:\windows\system32\SET90.tmp
2008-08-20 05:33 3,088,384 ----a-w c:\windows\system32\SET96.tmp
2008-08-20 05:33 1,499,136 ----a-w c:\windows\system32\SET91.tmp
2008-08-19 09:51 374,272 ----a-w c:\windows\system32\SETA0.tmp
2008-08-14 13:35 2,145,280 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:35 2,023,424 ----a-w c:\windows\system32\ntkrnlpa.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Google Update"="c:\dokumente und einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-10-21 133104]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2008-09-09 3513344]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"SelfHost-My-PC"="c:\programme\Tools&More\SelfHost-My-PC\SelfHost-My-PC.exe" [2005-12-03 417792]
"DLD.EXE"="c:\programme\Download Direct\DLD.exe" [2007-09-06 1343488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-01 7557120]
"NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2006-05-01 49152]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761948]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-08-25 356352]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 73728]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-01 802816]

und da bin ich der hilde nachgegangen
http://www.trojaner-board.de/62407-v...messenger.html

abs genauso schritt für schritt gemacht

flo31083 · 05.11.2008, 15:39

sry da sich 3 post hintereinander mach, nur entweder bin ich zu doof oder man kann hier den beitrag nicht mehr bearbeiten zumindes nach paar stunden kann das sein ?

ich wollt noch was hinzufügen eig. beim 1. mal auch aber man kann ja sein eigener beitrag net beabeiten :- (

ich hab windows xp media center sp2
updates auf dem neusten stand,

hoffe mir kann jemand helfen

flo31083 · 06.11.2008, 14:33

schade das man hier keine hilfe bekommt hab mir extra mühe gegeben die suche benützt und alles sorgtfälig geschrieben aber man ignoriert meinen beitrag einfach

flo31083 · 11.11.2008, 01:25

hab den virus immer noch kann mir hier den niemand helfen ?
bekomm ihn einfach nuct weg

myrtille · 11.11.2008, 02:32

Hi,
als erstes solltest du all deine Passwörter von einem sauberen Rechner ändern und vorerst diese Passwörter auf dem infizierten Rechner nicht mehr eingeben.
man sollte nie, Nie, NIE, NIEMALS mehrere Antivirenprogramme gleichzeitig auf einem Rechner isntalliert haben.

Das führt zu massig Problemen, insbesondere wenn ein Antivirenprogramm das andere als schädlich erkannt und reduziert die Sicherheit deines Systems!
Deinstalliere bitte alle bis auf ein Antivirenprogramm:
Wenn du Norton deinstallieren willst, benutzt bitte das Removalprogramm von Norton: Link
Wenn du Antivir deinstallieren willst, kannst du dies einfach über Start->Systemsteuerung->Software tun.

Da scheint aber auch so noch einiges im Argen zu liegen, lass bitte folgende DateienLade diese bei virustotal auswerten:

Zitat:

c:\windows\system32\msln.exe
c:\windows\system32\system13.exe
c:\windows\setup_rec.exe
c:\dokume~1\Flo\LOKALE~1\Temp\sidebar.exe

Erstelle bitte ein Log mit Malwarebytes und poste es hier.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

EDIT: Seit wann verschickst du diese Links?

flo31083 · 11.11.2008, 02:56

so hier der unformatierter gewünschte log:

ComboFix 08-11-09.04 - Flo 2008-11-11 2:49:21.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1436 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Flo\Desktop\weg legen\viren schutz\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-11 bis 2008-11-11 ))))))))))))))))))))))))))))))
.

2008-11-11 02:41 . 2008-11-11 02:41 200 --a------ C:\sqmnoopt10.sqm
2008-11-11 02:41 . 2008-11-11 02:41 200 --a------ C:\sqmdata10.sqm
2008-11-11 02:11 . 2007-08-14 08:12 18,816 --------- c:\windows\system32\SAVRKBootTasks.sys
2008-11-11 02:04 . 2008-11-11 02:04 <DIR> d-------- c:\programme\Sophos
2008-11-11 01:58 . 2008-11-11 01:58 200 --a------ C:\sqmnoopt09.sqm
2008-11-11 01:58 . 2008-11-11 01:58 200 --a------ C:\sqmdata09.sqm
2008-11-10 13:26 . 2008-11-10 13:26 200 --a------ C:\sqmnoopt08.sqm
2008-11-10 13:26 . 2008-11-10 13:26 200 --a------ C:\sqmdata08.sqm
2008-11-07 10:37 . 2008-11-07 10:37 200 --a------ C:\sqmnoopt07.sqm
2008-11-07 10:37 . 2008-11-07 10:37 200 --a------ C:\sqmdata07.sqm
2008-11-07 10:33 . 2008-11-07 10:33 200 --a------ C:\sqmnoopt06.sqm
2008-11-07 10:33 . 2008-11-07 10:33 200 --a------ C:\sqmdata06.sqm
2008-11-05 02:25 . 2008-11-05 02:25 <DIR> d-------- c:\programme\CCleaner
2008-11-05 01:51 . 2008-11-05 01:51 <DIR> d-------- c:\programme\Trend Micro
2008-11-05 01:41 . 2008-11-05 01:41 200 --a------ C:\sqmnoopt05.sqm
2008-11-05 01:41 . 2008-11-05 01:41 200 --a------ C:\sqmdata05.sqm
2008-11-05 01:37 . 2008-11-05 01:37 200 --a------ C:\sqmnoopt04.sqm
2008-11-05 01:37 . 2008-11-05 01:37 200 --a------ C:\sqmdata04.sqm
2008-11-04 22:35 . 2008-11-04 22:35 <DIR> d-------- c:\programme\Lavasoft
2008-11-04 22:35 . 2008-11-04 22:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-04 21:30 . 2008-11-04 21:30 <DIR> d-------- c:\programme\Avira
2008-11-04 21:30 . 2008-11-04 21:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-04 15:20 . 2008-11-04 15:21 <DIR> d-------- c:\programme\SystemRequirementsLab
2008-11-04 15:20 . 2008-11-04 15:20 <DIR> d-------- c:\dokumente und einstellungen\Flo\SystemRequirementsLab
2008-11-04 15:15 . 2008-11-04 15:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-11-04 14:14 . 2008-11-04 14:14 200 --a------ C:\sqmnoopt03.sqm
2008-11-04 14:14 . 2008-11-04 14:14 200 --a------ C:\sqmdata03.sqm
2008-11-03 19:02 . 2008-11-03 19:02 2,250,024 --a------ c:\windows\system32\pbsvc.exe
2008-11-03 19:02 . 2008-11-03 19:02 107,832 --a------ c:\windows\system32\PnkBstrB.exe
2008-11-03 19:02 . 2008-11-03 19:02 66,872 --a------ c:\windows\system32\PnkBstrA.exe
2008-11-03 19:02 . 2008-11-03 19:02 22,328 --a------ c:\windows\system32\drivers\PnkBstrK.sys
2008-11-03 19:02 . 2008-11-03 19:02 22,328 --a------ c:\dokumente und einstellungen\Flo\Anwendungsdaten\PnkBstrK.sys
2008-11-03 18:55 . 2008-11-03 18:55 <DIR> d-------- c:\programme\Ubisoft
2008-11-03 16:54 . 2008-11-10 18:35 69 --a------ c:\windows\NeroDigital.ini
2008-11-03 16:45 . 2008-11-03 16:45 <DIR> d-------- c:\programme\Runtime Software
2008-11-03 16:05 . 2008-11-03 16:05 200 --a------ C:\sqmnoopt02.sqm
2008-11-03 16:05 . 2008-11-03 16:05 200 --a------ C:\sqmdata02.sqm
2008-11-03 14:54 . 2008-11-03 14:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe AIR
2008-11-02 20:50 . 2008-11-02 20:52 <DIR> d-------- c:\programme\Windows Live Safety Center
2008-11-02 20:22 . 2008-11-02 20:22 236 --a------ C:\sqmdata01.sqm
2008-11-02 20:22 . 2008-11-02 20:22 200 --a------ C:\sqmnoopt01.sqm
2008-11-02 20:21 . 2008-09-04 22:03 56,344 --a------ c:\windows\system32\drivers\fssfltr.sys
2008-11-02 20:19 . 2008-11-11 02:26 <DIR> d-------- c:\dokumente und einstellungen\Flo\Tracing
2008-11-02 20:16 . 2008-11-02 20:16 <DIR> d-------- c:\programme\Microsoft
2008-11-02 20:12 . 2008-11-02 20:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Windows Live
2008-11-02 18:21 . 2008-11-02 18:26 <DIR> d-------- c:\programme\Download Direct
2008-11-02 15:42 . 2008-11-02 15:45 <DIR> d-------- c:\programme\vpn_manager
2008-11-02 15:42 . 2008-11-02 15:42 <DIR> d-------- c:\programme\url_gateway
2008-11-02 15:37 . 2008-11-02 15:37 <DIR> d-------- c:\windows\Downloaded Installations
2008-11-02 15:37 . 2008-11-02 15:37 <DIR> d-------- c:\programme\Tools&More
2008-11-02 03:13 . 2008-11-03 13:44 <DIR> d-------- C:\Downloads
2008-11-02 00:07 . 2008-11-02 00:07 <DIR> d-------- c:\programme\Visions
2008-11-01 23:46 . 2008-11-01 23:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-11-01 23:40 . 2008-11-01 23:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vokabeltrainer 3
2008-11-01 23:36 . 2008-11-01 23:40 <DIR> d-------- c:\programme\Vokabeltrainer 3
2008-11-01 18:09 . 2008-11-01 18:09 <DIR> d-------- c:\programme\Bonjour
2008-11-01 18:02 . 2008-11-01 18:02 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2008-11-01 17:54 . 2008-11-01 17:55 <DIR> d-------- c:\windows\system32\E177E04D548C4006A465EEB92D3DE021
2008-11-01 17:53 . 2008-11-01 17:53 <DIR> d-------- c:\programme\Ipswitch
2008-11-01 17:53 . 2008-11-01 17:53 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Ipswitch
2008-11-01 17:53 . 2008-11-01 17:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ipswitch
2008-11-01 17:53 . 2006-07-25 07:42 606,293 --a------ c:\windows\system32\wbocx.ocx
2008-11-01 17:53 . 2006-07-25 07:42 50,688 --a------ c:\windows\system32\wbhelp2.dll
2008-11-01 16:56 . 2008-11-01 16:56 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Ulead Systems
2008-11-01 16:56 . 2008-11-01 17:21 543 --ah----- c:\windows\system32\ws073247.ocx
2008-11-01 16:56 . 2008-11-01 17:21 543 --ah----- C:\os357577.bin
2008-11-01 16:50 . 2008-11-01 23:18 46,640 --a------ c:\windows\system32\msln.exe
2008-11-01 16:49 . 2008-11-01 16:49 <DIR> d-------- c:\windows\Vbox
2008-11-01 16:49 . 2008-11-01 16:49 <DIR> d-------- c:\windows\Noslip
2008-11-01 16:49 . 2008-11-01 17:27 <DIR> d-------- c:\programme\Ulead Systems
2008-11-01 16:49 . 2008-11-01 17:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-11-01 16:34 . 2008-11-01 16:34 <DIR> d-------- c:\programme\MSN Messenger
2008-11-01 16:34 . 2008-11-01 16:34 720,896 --a------ c:\windows\iun6002.exe
2008-11-01 03:16 . 2008-11-01 03:16 <DIR> d-------- c:\programme\Quintessential Player
2008-11-01 03:13 . 2008-11-01 03:17 <DIR> d-------- c:\programme\Quintessential Media Player
2008-11-01 03:13 . 2008-11-01 03:17 <DIR> d-------- c:\programme\Any Video Converter
2008-11-01 03:13 . 2008-11-01 03:22 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Any Video Converter
2008-10-31 00:48 . 2008-10-31 00:48 <DIR> dr-h----- c:\dokumente und einstellungen\Flo\Anwendungsdaten\SecuROM
2008-10-31 00:48 . 2008-10-31 00:48 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-10-31 00:38 . 2008-10-31 00:38 2,285,056 --a------ c:\windows\system32\TUKernel.exe
2008-10-31 00:31 . 2008-10-31 00:32 <DIR> d--h----- c:\windows\Icons
2008-10-31 00:02 . 2008-10-31 00:02 <DIR> d-------- c:\programme\Ascaron Entertainment
2008-10-30 23:33 . 2008-10-30 23:35 <DIR> d-------- c:\programme\TuneUp Utilities 2008
2008-10-30 23:33 . 2008-10-30 23:33 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\TuneUp Software
2008-10-30 23:33 . 2008-10-30 23:33 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-10-30 23:33 . 2008-10-30 23:33 361,728 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-10-30 23:33 . 2008-07-18 15:05 28,416 --a------ c:\windows\system32\uxtuneup.dll
2008-10-30 04:25 . 2008-10-30 04:25 <DIR> d-------- c:\windows\Logs
2008-10-30 04:25 . 2008-10-31 00:35 413,696 --a------ c:\windows\system32\wrap_oal.dll
2008-10-30 04:25 . 2008-10-31 00:35 110,592 --a------ c:\windows\system32\OpenAL32.dll
2008-10-30 03:37 . 2008-10-30 03:37 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\AdobeUM
2008-10-30 03:35 . 2008-10-30 03:35 <DIR> d-------- c:\windows\system32\AGEIA
2008-10-30 03:35 . 2008-11-04 22:34 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-30 03:35 . 2008-10-30 03:35 <DIR> d-------- c:\programme\AGEIA Technologies
2008-10-29 13:02 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2008-10-28 21:56 . 2008-10-28 21:56 <DIR> d-------- C:\WHAT LIES BENEATH [C-XC M T-154 S-2 A-EN_DE Q-105]
2008-10-28 21:54 . 2008-10-28 21:54 <DIR> d-------- c:\programme\ratDVD
2008-10-28 19:26 . 2008-10-28 19:26 <DIR> d-------- c:\programme\Smart Projects
2008-10-28 14:59 . 2008-10-28 14:59 307,812 --a------ c:\windows\system32\system13.exe
2008-10-28 14:59 . 2008-10-28 14:59 115,920 --a------ c:\windows\system32\MSINET.OCX
2008-10-28 14:59 . 2008-10-28 14:59 12,288 --a------ c:\windows\setup_rec.exe
2008-10-28 14:59 . 2008-10-28 14:59 0 --a------ c:\windows\error.steam
2008-10-28 01:55 . 2008-11-02 18:02 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\dvdcss
2008-10-26 23:43 . 2008-10-26 23:43 410,976 --a------ c:\windows\system32\deploytk.dll
2008-10-26 23:43 . 2008-10-26 23:43 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-26 23:38 . 2008-10-26 23:38 <DIR> d-------- c:\windows\Sun
2008-10-26 19:46 . 2008-10-26 19:47 <DIR> d-------- c:\programme\mp3DirectCut
2008-10-25 02:00 . 2008-11-02 21:18 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\Nero
2008-10-25 01:47 . 2008-10-25 01:47 24 ---hs---- c:\windows\SF6052E8B.tmp
2008-10-25 01:46 . 2008-10-25 01:46 <DIR> d-------- c:\programme\SlySoft
2008-10-25 01:40 . 2008-10-25 01:40 4,767 --a------ c:\windows\Irremote.ini
2008-10-25 01:37 . 2008-10-25 01:37 <DIR> d-------- c:\programme\Windows Sidebar
2008-10-25 01:20 . 2008-11-02 21:14 <DIR> d-------- c:\programme\Nero
2008-10-25 01:20 . 2008-11-02 21:13 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nero
2008-10-25 01:20 . 2008-10-28 01:47 <DIR> d-------- c:\dokumente und einstellungen\Flo\dwhelper
2008-10-25 01:20 . 2008-10-25 01:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2008-10-24 08:13 . 2008-10-15 17:57 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-23 21:47 . 2008-10-23 21:48 <DIR> d-------- c:\programme\ICQ6
2008-10-23 21:47 . 2008-10-23 21:48 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\ICQ
2008-10-23 17:35 . 2008-10-24 21:18 <DIR> d-------- c:\dokumente und einstellungen\Flo\Anwendungsdaten\DivX
2008-10-23 17:26 . 2008-10-23 17:29 <DIR> d-------- C:\divx
2008-10-23 17:22 . 2008-10-23 17:22 <DIR> d-------- c:\programme\DivX
2008-10-23 17:22 . 2008-09-16 01:14 129,784 --------- c:\windows\system32\pxafs.dll
2008-10-23 17:22 . 2008-09-16 01:14 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys
2008-10-23 17:22 . 2008-09-16 01:14 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 17:55 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-03 15:40 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-01 22:18 --------- d-----w c:\programme\Symantec
2008-11-01 22:18 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-01 22:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2008-10-26 22:42 --------- d-----w c:\programme\Java
2008-10-22 03:01 --------- d-----w c:\programme\X10 Hardware
2008-10-22 02:59 --------- d-----w c:\programme\Realtek
2008-10-22 02:59 --------- d-----w c:\programme\Online-Dienste
2008-10-22 02:58 --------- d-----w c:\programme\Microsoft.NET
2008-10-22 02:58 --------- d-----w c:\programme\microsoft frontpage
2008-10-22 02:58 --------- d-----w c:\programme\ltmoh
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\InterVideo
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-10-22 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-22 02:56 --------- d-----w c:\programme\Common Files
2008-10-22 02:56 --------- d-----w c:\programme\ATI Technologies
2008-10-22 02:49 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\X10 Commander
2008-10-22 02:45 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
2008-10-22 02:45 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\toshiba
2008-10-22 02:45 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sonic
2008-10-21 18:27 --------- d-----w c:\programme\Intel
2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-16 00:14 43,528 ------w c:\windows\system32\drivers\pxhelp20.sys
2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-16 00:14 120,056 ------w c:\windows\system32\pxcpyi64.exe
2008-09-16 00:14 118,520 ------w c:\windows\system32\pxinsi64.exe
2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-08 23:03 51,712 ----a-w c:\windows\system32\sirenacm.dll
2008-09-05 14:56 287,744 ----a-w c:\windows\WLXPGSS.SCR
2008-08-20 05:33 673,280 ----a-w c:\windows\system32\wininet.dll
2008-08-20 05:33 673,280 ----a-w c:\windows\system32\SET8E.tmp
2008-08-20 05:33 621,056 ----a-w c:\windows\system32\SET8F.tmp
2008-08-20 05:33 474,624 ----a-w c:\windows\system32\SET90.tmp
2008-08-20 05:33 3,088,384 ----a-w c:\windows\system32\SET96.tmp
2008-08-20 05:33 1,499,136 ----a-w c:\windows\system32\SET91.tmp
2008-08-19 09:51 374,272 ----a-w c:\windows\system32\SETA0.tmp
2008-08-14 13:35 2,145,280 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:35 2,023,424 ----a-w c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((( snapshot@2008-11-05_ 2.20.30,37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-10 12:24:43 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_238.dat
+ 2008-11-11 01:05:57 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_f8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Google Update"="c:\dokumente und einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-10-21 133104]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2008-09-09 3513344]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"SelfHost-My-PC"="c:\programme\Tools&More\SelfHost-My-PC\SelfHost-My-PC.exe" [2005-12-03 417792]
"DLD.EXE"="c:\programme\Download Direct\DLD.exe" [2007-09-06 1343488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-01 7557120]
"NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2006-05-01 49152]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761948]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-08-25 356352]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 73728]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-01 802816]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-01 696320]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-23 185872]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-10-26 136600]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-05-01 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 c:\windows\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 c:\windows\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"TFncKy"="TFncKy.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Sidebar"="c:\dokume~1\Flo\LOKALE~1\Temp\sidebar.exe" [BU]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows-Desktopsuche.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2006-03-26 257752]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= c:\windows\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= c:\windows\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"=
"c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Flo\\Desktop\\CryptLoad_1.1.5\\CryptLoad.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2ServerLauncher.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 adfs;adfs;c:\windows\system32\drivers\adfs.sys [2008-08-14 74720]
R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-09-04 56344]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-09-30 935208]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe [2004-08-10 14336]
R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\D3.tmp [ ]
R3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2005-11-28 7040]
S1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [2007-08-14 18816]
S3 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [2008-09-04 512536]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-10-30 361728]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c6e3e83-a865-11dd-a4df-00a0d15b45dd}]
\Shell\AutoRun\command - G:\Launch.exe

*Newly Created Service* - MEMSWEEP2
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\emox98xj.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de

fficial
FF -: plugin - c:\dokumente und einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 02:52:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Sidebar = c:\dokume~1\Flo\LOKALE~1\Temp\sidebar.exe????????0??????`>??????????+???????`>???????????????????????????????????????????????????????????????????????? ??????????????????????????????????????????????????????????,?????@?????????????(????????E??????????????8??

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\D3.tmp"
.
Zeit der Fertigstellung: 2008-11-11 2:54:20
ComboFix-quarantined-files.txt 2008-11-11 01:54:03
ComboFix2.txt 2008-11-05 01:34:30
ComboFix3.txt 2008-11-05 01:21:04

Vor Suchlauf: 18 Verzeichnis(se), 37.164.642.304 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 37,154,127,872 Bytes frei

320 --- E O F --- 2008-10-24 07:21:53

flo31083 · 11.11.2008, 12:44

c:\windows\system32\msln.exe:

Datei msln.exe empfangen 2008.08.26 05:34:24 (CET)
Status: Beendet
Ergebnis: 0/36 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 -
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.26 -
BitDefender 7.2 2008.08.26 -
CAT-QuickHeal 9.50 2008.08.25 -
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6048 2008.08.25 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.26 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3387 2008.08.26 -
Norman 5.80.02 2008.08.25 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.26 -
Rising 20.59.02.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.25.1348 2008.08.25 -
VirusBuster 4.5.11.0 2008.08.25 -
Webwasher-Gateway 6.6.2 2008.08.25 -
weitere Informationen
File size: 46640 bytes
MD5...: 2d6b7efda9d4a44c7c5bdfe8d0bbc839
SHA1..: bb8b5a4496d3c5e614b15fa612566c9ef788c156
SHA256: 0b1e1bb34eb6fc2c1e3f6176b20b72bde45a0e2bea9ea9342cf8d3e57289e7dd
SHA512: 146b38e0a323e52f32b8036c8c5df998c0da892c13f5c4b6a75c779875e34588
5077ddbc58cab770721d25e0d54e3846c71edba7f878c1e30b95c5c607794789
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10026c8
timedatestamp.....: 0x46a95727 (Fri Jul 27 02:23:35 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a20 0x8c00 6.29 a5a9c3c6e77936ff1f8328a652784d4b
.data 0xa000 0x40 0x200 0.60 e8e030083a6aa6ced28939e09efb4142
.rsrc 0xb000 0x3b0 0x400 3.10 55150d77d0d260880d388afd30d91b94
.reloc 0xc000 0x534 0x600 4.61 8f3fc76e0db2af82a10d8247b80a2360

( 1 imports )
> ntdll.dll: NtQuerySystemTime, NtTerminateProcess, NtLoadDriver, RtlInitUnicodeString, NtDisplayString, NtAllocateVirtualMemory, NtFreeVirtualMemory, NtShutdownSystem, NtAdjustPrivilegesToken, NtOpenProcessToken, memset, memcpy, swprintf, wcsncpy, _itow, _i64tow, ZwSetValueKey, ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryValueKey, RtlEqualUnicodeString, ZwOpenKey, NtClose, RtlWriteRegistryValue, ZwDeleteKey, ZwDeleteValueKey, NtFsControlFile, NtReadFile, _allmul, NtFlushBuffersFile, NtWriteFile, NtUnloadDriver, NtOpenFile, _aulldiv, _allshl, _aullshr, RtlGetVersion, NtCreateFile

( 0 exports )

c:\windows\system32\system13.exe:

Datei system13.exe empfangen 2008.11.09 04:32:24 (CET)
Status: Beendet
Ergebnis: 10/35 (28.57%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - PCK/Enigma
Authentium - - -
Avast - - Win32:IRCBot-AND
AVG - - -
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:IRCBot-AND
Ikarus - - Trojan-PWS.Win32.Steam.gd
K7AntiVirus - - -
Kaspersky - - -
McAfee - - Generic.dx
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - Suspicious file
PCTools - - -
Rising - - -
SecureWeb-Gateway - - Packer.Enigma
Sophos - - -
Sunbelt - - VIPRE.Suspicious
Symantec - - Trojan Horse
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
weitere Informationen
MD5: 9e3a82242809982f3abff0f7cdfbfe7a
SHA1: 72521a855c13af9f1e6e3bbd3f83083b222e9a9c
SHA256: a907d69a2ba4111a92be63a7b8a5a0aebba1aff4a3c8a2f27f66bbc530d7faa3
SHA512: f8850738e98d745c1aef340dd9865faaf0e2b7e8cf98fc34ede4fee16a3d2a5703a4f735bcac3ddc405bb06cb60a24580aec2a20e3f9834a7aa43d0bbfc583d7

c:\windows\setup_rec.exe :

Datei setup_rec.exe empfangen 2008.10.14 15:06:28 (CET)
Status: Beendet
Ergebnis: 4/36 (11.11%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - Win32:Trojan-gen {Other}
AVG - - PSW.Agent.USN
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Trojan-gen {Other}
Ikarus - - Trojan-Downloader.Win32.Delf.aet
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
weitere Informationen
MD5: fecb5da4a87af5f5513670ab5d9fc641
SHA1: 23a139cdba9bb6fd76a25b47b95ff8d0d101306a
SHA256: 1c25dd0153ba4dd2b28a22627017ba93cfa50f968d9946e59551a20a55cd71bd
SHA512: 2ab0841d27a264101310dbd374e7bab1e2704412bbe1184723c30d77f72ed8cb3bb8b21390f911fc5722aa255870c5479e89c784b8a03e6d083cae89642e8650

c:\dokume~1\Flo\LOKALE~1\Temp\sidebar.exe
fnder er nicht auch wenn ich danach suche sidebar.exe

info.txt:

File-Upload.net - info_RSIT.txt

log.txt:

File-Upload.net - log_RSIT.txt

MalwareBytes :

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1381
Windows 5.1.2600 Service Pack 2

11.11.2008 03:46:30
mbam-log-2008-11-11 (03-46-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 142624
Laufzeit: 39 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gmer scannen lassen:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-11 04:00:06
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT F7AAB644 ZwCreateThread
SSDT F7AAB630 ZwOpenProcess
SSDT F7AAB635 ZwOpenThread
SSDT F7AAB63F ZwTerminateProcess
SSDT F7AAB63A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\D3.tmp Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !
? C:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Udfs \UdfsCdRom DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Udfs \UdfsDisk DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{0A2C6EC6-E1BC-9BF5-B3F7D282645EFB0F}\{C08E0694-C5E1-48EE-3ACF6A24AC2BF796}\{A9549B8D-B7EF-15E1-4BD44DC35FFCD192}
Reg HKLM\SOFTWARE\Classes\CLSID\{0A2C6EC6-E1BC-9BF5-B3F7D282645EFB0F}\{C08E0694-C5E1-48EE-3ACF6A24AC2BF796}\{A9549B8D-B7EF-15E1-4BD44DC35FFCD192}@1D1OWFM6WKF6TLM3S2BGKKUUDG1 0x01 0x00 0x01 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{18E09523-0BB1-0E75-6B141AE958ABE9E7}\{8E8BA3D9-389B-9F43-3B5B6490B54F898E}\{0E0922CC-9ECE-C3AB-5B05A5FA1997F2CA}
Reg HKLM\SOFTWARE\Classes\CLSID\{18E09523-0BB1-0E75-6B141AE958ABE9E7}\{8E8BA3D9-389B-9F43-3B5B6490B54F898E}\{0E0922CC-9ECE-C3AB-5B05A5FA1997F2CA}@{3EE4C831-B7E0-4ed1-B9FC-EDC523C9612F}1 0x01 0x00 0x01 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{A3898AE7-11D1-364C-50B629D3BDD33730}\{75E2AEA1-D0D7-F395-00074BFE3B49B652}\{C6A3DC00-042F-33E6-17A49D873A8D73F7}
Reg HKLM\SOFTWARE\Classes\CLSID\{A3898AE7-11D1-364C-50B629D3BDD33730}\{75E2AEA1-D0D7-F395-00074BFE3B49B652}\{C6A3DC00-042F-33E6-17A49D873A8D73F7}@{3EE4C831-B7E0-4ed1-B9FC-EDC523C9612F}1 0x01 0x00 0x01 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{BF11F383-757D-CF48-6D213AC2BB6130AD}\{12507465-D6D8-AFB1-97ED5D21195D77D5}\{90E47118-DD98-E716-1AABCD138C042D55}
Reg HKLM\SOFTWARE\Classes\CLSID\{BF11F383-757D-CF48-6D213AC2BB6130AD}\{12507465-D6D8-AFB1-97ED5D21195D77D5}\{90E47118-DD98-E716-1AABCD138C042D55}@1D1OWFM6WKF6TLM3S2BGKKUUDG1 0x01 0x00 0x01 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{CD33F05B-57D8-EB8D-1C637C8E18479BDE}\{4B66B287-DF55-8BF6-0C7A245C073DF874}\{2B094E66-D192-13E4-CB3BD0799FCAC2FC}
Reg HKLM\SOFTWARE\Classes\CLSID\{CD33F05B-57D8-EB8D-1C637C8E18479BDE}\{4B66B287-DF55-8BF6-0C7A245C073DF874}\{2B094E66-D192-13E4-CB3BD0799FCAC2FC}@{3EE4C831-B7E0-4ed1-B9FC-EDC523C9612F}1 0x01 0x00 0x01 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EEC79885-4786-49D7-ED36B6E7637E50FF}\{25B171C9-78C7-18E7-FBBA7E6592C7CB70}\{6B8ADD0A-85A7-C5B5-191A2895BD30C6E1}
Reg HKLM\SOFTWARE\Classes\CLSID\{EEC79885-4786-49D7-ED36B6E7637E50FF}\{25B171C9-78C7-18E7-FBBA7E6592C7CB70}\{6B8ADD0A-85A7-C5B5-191A2895BD30C6E1}@1D1OWFM6WKF6TLM3S2BGKKUUDG1 0x01 0x00 0x01 0x00 ...

---- EOF - GMER 1.0.14 ----

Catchme scannen lassen:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 04:10:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

RootkitRevealer scannen lassen:

HKU\.DEFAULT\Control Panel\International 11.11.2008 02:54 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 11.11.2008 02:54 0 bytes Security mismatch.
HKU\S-1-5-21-230097066-698178000-1272494439-1005\Control Panel\International 11.11.2008 02:54 0 bytes Security mismatch.
HKU\S-1-5-21-230097066-698178000-1272494439-1005\Control Panel\International\Geo 11.11.2008 02:54 0 bytes Security mismatch.
HKU\S-1-5-21-230097066-698178000-1272494439-1005\Software\SecuROM\License information* 03.11.2008 19:16 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International 11.11.2008 02:54 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 11.11.2008 02:54 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 13.09.2006 16:11 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 13.09.2006 16:11 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{0A2C6EC6-E1BC-9BF5-B3F7D282645EFB0F}\{C08E0694-C5E1-48EE-3ACF6A24AC2BF796}\{A9549B8D-B7EF-15E1-4BD44DC35FFCD192}* 01.11.2008 17:55 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{18E09523-0BB1-0E75-6B141AE958ABE9E7}\{8E8BA3D9-389B-9F43-3B5B6490B54F898E}\{0E0922CC-9ECE-C3AB-5B05A5FA1997F2CA}* 01.11.2008 17:55 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{A3898AE7-11D1-364C-50B629D3BDD33730}\{75E2AEA1-D0D7-F395-00074BFE3B49B652}\{C6A3DC00-042F-33E6-17A49D873A8D73F7}* 01.11.2008 17:55 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{BF11F383-757D-CF48-6D213AC2BB6130AD}\{12507465-D6D8-AFB1-97ED5D21195D77D5}\{90E47118-DD98-E716-1AABCD138C042D55}* 01.11.2008 17:55 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{CD33F05B-57D8-EB8D-1C637C8E18479BDE}\{4B66B287-DF55-8BF6-0C7A245C073DF874}\{2B094E66-D192-13E4-CB3BD0799FCAC2FC}* 01.11.2008 17:55 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EEC79885-4786-49D7-ED36B6E7637E50FF}\{25B171C9-78C7-18E7-FBBA7E6592C7CB70}\{6B8ADD0A-85A7-C5B5-191A2895BD30C6E1}* 01.11.2008 17:55 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 11.11.2008 04:19 80 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 03.11.2008 19:06 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 03.11.2008 19:06 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 11.11.2008 04:17 64.00 KB Visible in Windows API, but not in MFT or directory index.

meinst du seid wann der virus meinen member den text verschickt?
seid ca einer woche hab ja den windows live msn 2009 den es noch gar net offizell gibt, soll ich den mal wieder löschen ?

so hoffe ich hab nichts vergessen,

lg

hinzugefügt:

hab einfach mal die exe von den msn 2009 bei Virustotal checken lassen,

folgendes kam dabei raus,

Datei Installer.msi empfangen 2008.08.21 00:54:20 (CET)
Status: Beendet
Ergebnis: 1/35 (2.86%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - Suspicious
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - -
weitere Informationen
MD5: cbed879c3d670134aa971b8c343f1bb2
SHA1: cc13adb18b076b426318496066011f1287c19eb5
SHA256: 49238b8cd6e38303ad95f2e80800f1951bb086504b828121d330108c3e8c5bf3
SHA512: e97a4d1715c86dc9eb0c6ce110e2bbfcbf729f8dcb67c23a150f7301a1a27c2c61aa62d8b7dddf1f6821b04486d3f9d5bfba748013d92ffa96d42f8088e66115

das einzigste was ja endeckt worden ist war der Suspicious ist das ein zeichen davon oder normal ?
sol ich den msn 2009 mal löschen ?

myrtille · 11.11.2008, 22:43

Hi,

wir sind der Malware zumindest schonmal auf der Spur.

Konfiguriere bitte Antivir nach folgender Anleitung, mache einen Scan und poste das Ergebnis hier: http://www.trojaner-board.de/54192-a...tellungen.html

lg myrtille

flo31083 · 12.11.2008, 00:00

der hat vieles nun auch in die Quarantäneverzeichnis verschoben wo kein virus ist

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 11. November 2008 22:57

Es wird nach 1025852 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ----------------------------------
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: -----------

Versionsinformationen:
BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 09:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 20:32:21
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 12:27:15
ANTIVIR2.VDF : 7.1.0.57 2048 Bytes 09.11.2008 12:27:16
ANTIVIR3.VDF : 7.1.0.67 70144 Bytes 11.11.2008 12:20:26
Engineversion : 8.2.0.29
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:56
AESCRIPT.DLL : 8.1.1.13 332156 Bytes 05.11.2008 20:33:02
AESCN.DLL : 8.1.1.5 123251 Bytes 10.11.2008 12:27:23
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 20:33:00
AEPACK.DLL : 8.1.3.3 393591 Bytes 05.11.2008 20:32:58
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 10.11.2008 12:27:23
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 10.11.2008 12:27:21
AEHELP.DLL : 8.1.1.3 119157 Bytes 10.11.2008 12:27:19
AEGEN.DLL : 8.1.1.0 319859 Bytes 10.11.2008 12:27:19
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.4.1 172405 Bytes 10.11.2008 12:27:18
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 04.11.2008 20:32:25
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 11. November 2008 22:57

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '52441' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SelfHost-My-PC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CloneCDTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFncKy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TvsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Toshiba.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TAPPSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '68' Prozesse mit '68' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '71' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Flo\Desktop\CryptLoad_1.1.5\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494800ca.qua' verschoben!
C:\Dokumente und Einstellungen\Flo\Desktop\weg legen\CryptLoad_1.1.5.rar
[0] Archivtyp: RAR
--> router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4993012e.qua' verschoben!
C:\Dokumente und Einstellungen\Flo\Desktop\weg legen\viren schutz\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 32788R22FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49870156.qua' verschoben!
C:\Programme\Ulead Systems\Ulead GIF Animator 5 TBYB\e_ugifani505.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.TPE.BK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '498f0b59.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP58\A0004230.exe
[FUND] Enthält Erkennungsmuster des SPR/Pwdsteal.C-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0b96.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP69\A0006321.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.TPE.BK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0be2.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP81\A0009118.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c47.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP81\A0009124.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c4b.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP81\A0009158.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c50.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP81\A0009175.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c52.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP81\A0009181.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c54.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP82\A0010321.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 32788R22FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c65.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP82\A0010335.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c68.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP82\A0010342.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c6a.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP82\A0010353.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c6d.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP83\A0010438.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c72.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP83\A0010444.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c75.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010525.exe
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010525.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.FirePass.BD-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c7c.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010526.exe
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010526.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.TPE.BK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c7e.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010527.exe
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010527.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.TPE.BK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c80.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010528.exe
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP84\A0010528.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.TPE.BK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c83.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP85\A0011470.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c8a.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP85\A0011471.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 32788R22FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a0c8d.qua' verschoben!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP85\A0011472.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.TPE.BK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4823d666.qua' verschoben!
C:\WINDOWS\NIRCMD.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496c0cfc.qua' verschoben!
C:\WINDOWS\system32\system13.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Enigma). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '498d0e73.qua' verschoben!

Ende des Suchlaufs: Dienstag, 11. November 2008 23:58
Benötigte Zeit: 1:01:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9571 Verzeichnisse wurden überprüft
518665 Dateien wurden geprüft
38 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
26 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
518625 Dateien ohne Befall
8002 Archive wurden durchsucht
2 Warnungen
26 Hinweise
52441 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

myrtille · 12.11.2008, 00:09

Hi,

wenn du die Dateien kennst (also zb die Fritzboxsachen), kannst du sie aus der Quarantäne wieder herstellen.
Ein Großteil der Dateien gehören zu Combofix, das ist ok.

Ich seh leider nicht so genau woher die Infektion kommt, daher würde ich auch ungern ein Bereinigung empfehlen.

Eventuell sieht man mit RSIT mehr:

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille

flo31083 · 12.11.2008, 00:16

File-Upload.net - info.txt

File-Upload.net - log.txt

ich hab noch die kaspersky internet sec. 2009 ist die vieleicht besser? soll ich die mal drauf setzen?

myrtille · 12.11.2008, 01:26

Hi,

Kaspersky dürfte nichts bringen, man sieht ja bereits bei den Virustotalergebnissen, dass es nichts sieht.

Du hast auf jedenfall einen IRCBot auf deinem Rechner, das heißt du versendest nicht nur Spamlinks an deine Freunde, sondern dein Rechner nimmt auch Befehle von Fremden entgegen, du bist nicht mehr Herr deines Rechners.

Ich würde daher ein Neuaufsetzen in Betracht ziehen, danach hast du sicher Ruhe.
Wenn du das nicht tun willst, dann lösche deine aktuelle Combofix version und lade dir bitte die neueste herunter und speichere sie auf dem Desktop!

Bevor du Combofix ausführst stelle bitte sicher, dass alle Antiviren/AntiSpyware/Antimalwareprogramme deaktiviert sind.
Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

killall::
file::
C:\WINDOWS\usernames.txt
C:\WINDOWS\setup_rec.exe
C:\DOKUME~1\Flo\LOKALE~1\Temp\sidebar.exe
C:\DOKUME~1\Flo\LOKALE~1\Temp\JFCCUR.exe
C:\DOKUME~1\Flo\LOKALE~1\Temp\ZFSWIPEU.exe
registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Sidebar"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c6e3e83-a865-11dd-a4df-00a0d15b45dd}]

driver::
JFCCUR 
ZFSWIPEU

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

flo31083 · 12.11.2008, 01:55

so bitteschön

File-Upload.net - log_01_54.txt

myrtille · 12.11.2008, 02:02

Hi,

die identifizierten Schädlinge sind jetzt entfernt, was unklar ist, was bleibt.

Mache bitte die Onlinescans mit Bitdefender, Ewido und Kaspersky nach folgender Anleitung: Link

lg myrtille

vermute virus durch msn messenger 2009

Plagegeister aller Art und deren Bekämpfung: vermute virus durch msn messenger 2009