Trojaner-Board - Was ist das... antiviirus.exe und tmp0.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Was ist das... antiviirus.exe und tmp0.exe (https://www.trojaner-board.de/50515-antiviirus-exe-tmp0-exe.html)

Was ist das... antiviirus.exe und tmp0.exe

Hihi,

ich habe gerade mal die Logfile scannen lassen und da sind mir ein paar sehr merkwürdige Daten aufgefallen z.B. Unter Programme liegt eine Datei called: antiviirus.exe und eine C:\Programme\tmp0.exe die eine Gefahr darstellen soll (Fuzzy Algorithmusprüfung (2.44 / 5.00), Schädlich).

Wäre klasse wenn sich das einer mal angucken kann. Ich habe dne scann machen lassen da mein Rechner in letzter Zeit immer und immer langsamer wird zudem will er jeden Neustart ein Windowsupdate machen was mir echt komisch vorkommt... und eben hat mein Avast angeschlagen als ich ein Programm installieren wollte...

Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:23:15, on 15.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\A4Tech\Mouse\Amoumain.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\antiviirus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\valve\steam\steam.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\tmp0.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Johannes\Desktop\alte destopdaten\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tfh-wildau.de:8080
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GNX Rolex - {0D504883-70CA-48BD-A282-639753D3B0CE} - C:\WINDOWS\drnpfdxwlv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141508173084
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: BootChk - {753956ec-c3cb-4857-aaa2-2bc381af5fba} - C:\WINDOWS\Installer\{753956ec-c3cb-4857-aaa2-2bc381af5fba}\BootChk.dll
O21 - SSODL: zip - {6cf97c8a-ca75-4ff1-86c8-0bb8634c89be} - C:\WINDOWS\Installer\{6cf97c8a-ca75-4ff1-86c8-0bb8634c89be}\zip.dll
O21 - SSODL: altvxvm - {4E63A07D-5CB6-42DF-83F2-14615F6292EF} - C:\WINDOWS\altvxvm.dll
O21 - SSODL: bokpkov - {D2781CD1-EE81-47EF-9C50-462DF2A6712A} - C:\WINDOWS\bokpkov.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SQL Server (JTLWAWI) (MSSQL$JTLWAWI) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sJTLWAWI (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

entdeckt ihr noch mehr was so nicht sein sollte?

Hallo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat:

O2 - BHO: GNX Rolex - {0D504883-70CA-48BD-A282-639753D3B0CE} - C:\WINDOWS\drnpfdxwlv.dll

O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe

O21 - SSODL: BootChk - {753956ec-c3cb-4857-aaa2-2bc381af5fba} - C:\WINDOWS\Installer\{753956ec-c3cb-4857-aaa2-2bc381af5fba}\BootChk.dll

O21 - SSODL: zip - {6cf97c8a-ca75-4ff1-86c8-0bb8634c89be} - C:\WINDOWS\Installer\{6cf97c8a-ca75-4ff1-86c8-0bb8634c89be}\zip.dll

O21 - SSODL: altvxvm - {4E63A07D-5CB6-42DF-83F2-14615F6292EF} - C:\WINDOWS\altvxvm.dll

O21 - SSODL: bokpkov - {D2781CD1-EE81-47EF-9C50-462DF2A6712A} - C:\WINDOWS\bokpkov.dll (file missing)

2.
wende sdfix an - funktioniert nur im abgesicherten Modus
SDFix

poste dann hier den scanreport

3.
wende rvaxo an + poste den report
RVAXO

4.
wende Combofix im Normalmodus an + poste den report
combofix

*puh Schritt 1. und 2. sind durch

da scheint es ja echt noch ein paar mehr Probleme zu geben...

Hier die Log. 3.und4. mach ich gleich auch noch:

SDFix: Version 1.157

Run by Administrator on 15.03.2008 at 15:31

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Johannes\Desktop\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\Installer\{753956ec-c3cb-4857-aaa2-2bc381af5fba}\BootChk.dll - Deleted
C:\WINDOWS\Installer\{6cf97c8a-ca75-4ff1-86c8-0bb8634c89be}\zip.dll - Deleted
C:\WINDOWS\drnpfdxwlv.dll - Deleted
C:\Programme\antiviirus.exe - Deleted
C:\WINDOWS\altvxvm.dll - Deleted
C:\WINDOWS\fmsxwqs.exe - Deleted

Folder C:\WINDOWS\Installer\{753956ec-c3cb-4857-aaa2-2bc381af5fba} - Removed
Folder C:\WINDOWS\Installer\{6cf97c8a-ca75-4ff1-86c8-0bb8634c89be} - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-15 15:39:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000

scanning hidden files ...

C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0X4BCV0R\Werben-Sie-doch-Billig-mit-einem-Paidmail-Abo_W0QQitemZ8817829378QQcategoryZ8240QQcmdZViewItem[1].: 65454 bytes hidden from API
C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP2ZSPMN\_W0QQfgtpZ1QQfrppZ25QQsassZemail4cash[1].: 71470 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe:*:Enabled:WinDVD"
"C:\\Valve\\Steam\\steamapps\\benn90@gmx.de\\counter-strike\\hl.exe"="C:\\Valve\\Steam\\steamapps\\benn90@gmx.de\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\totalcmd\\TOTALCMD.EXE"="C:\\Programme\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*:Enabled:Assistent zum šbertragen von Dateien und Einstellungen"
"C:\\Spiele\\CS\\Valve\\hl.exe"="C:\\Spiele\\CS\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Microsoft Office\\OFFICE11\\WINWORD.EXE"="C:\\Programme\\Microsoft Office\\OFFICE11\\WINWORD.EXE:*:Enabled:Microsoft Office Word"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Disabled:Firefox"
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"="C:\\Programme\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.5"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

File Backups: - C:\DOKUME~1\Johannes\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 15 Mar 2008 16,584 ..SHR --- "C:\Programme\tmp0.exe"
Sat 3 Nov 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 27 Aug 2006 315,392 A.SH. --- "C:\Eigene Datein\Wohnung\2006_08_06-Hannes Umzug Berlin\SIV5.tmp"
Sun 25 Feb 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 29 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT3.tmp"
Mon 19 Feb 2007 0 ...H. --- "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Microsoft\Word\~WRL0318.tmp"
Mon 31 Dec 2007 0 ...H. --- "C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Microsoft\Word\~WRL0670.tmp"

Finished!

Der 3. Schritt :

---RVAXO.exe Updated: 2008-03-14---first run---
Uninstallers:

Files found:

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

4.Schritt habe ich erstmal seingelassen, die Nachricht, dass 1von 100 Rechner dne Test nicht schadenfrei überstehen hat mich erstmal zum stoppen gebracht.
Brauche ich den Test denn unbedingt?

Mfg

Johannes

1.
deaktiviere die tmp0.exe im Taskmanager

2.
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:

C:\Programme\tmp0.exe

C:\WINDOWS\drnpfdxwlv.dll 

C:\Programme\antiviirus.exe 

C:\WINDOWS\altvxvm.dll 

C:\WINDOWS\fmsxwqs.exe

Klicke auf den Roten MoveIt!

poste das log, was erscheint

3.
wende CCleaner an
CCleaner

4.
wende Combofix an , es wird kein Problem geben - poste den report
combofix

1.
tmo0.exe ist leider nicht im Taskmanager auffindbar.
2.
C:\Programme\tmp0.exe moved successfully.
File/Folder C:\WINDOWS\drnpfdxwlv.dll not found.
File/Folder C:\Programme\antiviirus.exe not found.
File/Folder C:\WINDOWS\altvxvm.dll not found.
File/Folder C:\WINDOWS\fmsxwqs.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03152008_203520

o.k.
nun CCleaner + das log von Combofix :)

CCleaner ist durch und hier das log vom Combofix:

ComboFix 08-03-14.4 - Johannes 2008-03-15 20:43:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.614 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Johannes\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-15 bis 2008-03-15 ))))))))))))))))))))))))))))))
.

2008-03-15 20:35 . 2008-03-15 20:35 <DIR> d-------- C:\_OTMoveIt
2008-03-15 15:28 . 2008-03-15 15:28 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-15 15:26 . 2006-02-28 20:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-15 15:26 . 2006-02-28 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-15 15:26 . 2006-02-28 19:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-15 15:26 . 2006-02-28 19:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-15 15:26 . 2006-02-28 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-15 15:26 . 2006-02-28 19:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-15 15:26 . 2006-02-28 19:53 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-14 14:19 . 2008-03-15 14:11 <DIR> d-------- C:\Programme\Accurate Monitor for SE
2008-03-13 14:09 . 2008-03-13 17:27 <DIR> d-------- C:\Programme\SEO Altimeter
2008-03-13 14:09 . 2008-03-13 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\SEO Altimeter
2008-03-13 14:05 . 2008-03-13 14:05 <DIR> d-------- C:\Programme\BackLinks Master
2008-03-13 14:05 . 2008-03-13 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\BackLinks Master
2008-03-13 13:59 . 2008-03-13 13:59 <DIR> d-------- C:\Programme\PaRaMeter
2008-03-13 13:59 . 2008-03-13 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\PaRaMeter
2008-03-13 12:03 . 2008-03-13 12:04 <DIR> d-------- C:\Programme\WinMerge
2008-03-04 01:21 . 2008-03-04 01:21 <DIR> d-------- C:\Programme\JTL-Software
2008-03-04 01:13 . 2008-03-04 01:13 <DIR> d-------- C:\Programme\Microsoft.NET
2008-03-04 01:12 . 2008-03-04 01:12 <DIR> d-------- C:\Programme\MSXML 6.0
2008-03-04 00:56 . 2008-03-04 00:56 <DIR> d-------- C:\Programme\Free Monitor for Google
2008-03-04 00:56 . 2008-03-04 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Free Monitor for Google
2008-02-29 22:50 . 2008-02-29 22:50 <DIR> d-------- C:\NeverwinterNights
2008-02-21 18:56 . 2008-03-06 07:11 <DIR> d-------- C:\Shop HG
2008-02-21 18:52 . 2008-02-21 18:52 <DIR> d-------- C:\Programme\SmartFTP Client
2008-02-21 18:51 . 2008-02-21 18:51 <DIR> d-------- C:\Programme\SmartFTP Client 2.5 Setup Files
2008-02-18 21:44 . 2008-02-18 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\SmartFTP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 04:46 --------- d-----w C:\Programme\Trillian
2008-03-04 00:18 --------- d-----w C:\Programme\Microsoft SQL Server
2008-02-29 21:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-20 15:02 --------- d-----w C:\Programme\CAO-Faktura
2008-02-12 10:30 --------- d-----w C:\Programme\DivX
2008-02-12 02:24 --------- d-----w C:\Programme\ALG2
2008-02-11 12:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-02-09 20:20 --------- d-----w C:\Programme\ElsterFormular
2008-02-06 16:00 --------- d-----w C:\Programme\ShotOnline
2008-02-06 08:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"GMX SMS-Manager"="C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 11:17 3539968]
"Steam"="c:\valve\steam\steam.exe" [2007-12-01 09:00 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 19:04 864256]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 13:34 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 13:33 561152]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 14:49 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"WheelMouse"="C:\Programme\A4Tech\Mouse\Amoumain.exe" [2006-02-17 10:14 163840]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-11-08 13:04:13 113664]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 18:28:24 258048]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 18:50:52 53248]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-03-18 00:46:26 278528]
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-11-01 14:07:27 6144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"C:\\Valve\\Steam\\steamapps\\benn90@gmx.de\\counter-strike\\hl.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\totalcmd\\TOTALCMD.EXE"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Spiele\\CS\\Valve\\hl.exe"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

R2 MSSQL$JTLWAWI;SQL Server (JTLWAWI);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sJTLWAWI []
R2 SQLWriter;SQL Server VSS Writer;"C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 05:29]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2006-03-10 22:40]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2001-08-17 13:28]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 14:33]
S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\PCX504.sys [2004-05-04 12:35]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-14 16:22:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-15 20:46:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-15 20:47:58
.
2008-03-15 02:01:39 --- E O F ---

«
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

«
du kannst noch einen scan mit Bitdefender machen , aber im Grunde müsste wieder alles i.o. sein
Online Virenscanner

Hey Super, Vielen Herzlichen Dank für die nette und schnelle Hilfe ;)

:daumenhoc :aplaus:

Lg

Johannes