Trojaner-Board - Probleme mit pc-on-internet-popups

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme mit pc-on-internet-popups (https://www.trojaner-board.de/57060-probleme-pc-on-internet-popups.html)

Probleme mit pc-on-internet-popups

Hej ich brauche eure Hilfe,

beim surfen mit Firefox öffnen sich regelmäßig Pop up Fenster, zb Quelle oder "Spyware secure" oder sonstige Werbung.
Ich habe den PC im Abgesicherten Modus bereits per Antivir und Spybot gescannt aber nichts gefunden!

Hier mein Hijackthis scan:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:59:42, on 01.08.2008

Platform: Windows Vista  (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\ZoneAlarm\zlclient.exe

C:\Program Files\ClamWin\bin\ClamTray.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Users\***\AppData\Local\wiceo.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [wiceo] c:\users\***\appdata\local\wiceo.exe wiceo

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O13 - Gopher Prefix: 

O17 - HKLM\System\CCS\Services\Tcpip\..\{69437A16-D500-44D9-8C9E-0F06E8F9A813}: NameServer = 213.191.74.11 213.191.92.82

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
 

--

End of file - 5883 bytes

hier auch noch mein mbam-log:

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1014

Windows 6.0.6000 
 

09:51:29 01.08.2008

mbam-log-8-1-2008 (09-51-29).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 110663

Laufzeit: 43 minute(s), 25 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Windows\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

die infizierte Datei hab ich entfernt,... und jetzt??

Hat keiner eine Idee??
Kann mir niemand helfen???

Hallo mobolo und

http://www.mysmilie.de/generator/ablage/156/257.png

Navilog1 - von IL-MAFIOSO

Bitte lade Dir Navilog1 herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.
(Anleitung von Myrtille)

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Könnt ihr mir auch helfen??

Bei mir öffnen sich seit gestern Werbefenster

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke. :)

[/edit]

Danke [GC]Sunny

werde alles nach deiner Anleitung erledigen und die Logs hier posten!

Also, lange hat es gedauert aber ich hab es endlich geschafft die scans durzuführen!

Scan mit navilog1:

Code:

Search Navipromo version 3.6.1 began on 04.08.2008 at 23:23:41,00
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Actual User Account : "xxx" 
 

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO
 

Microsoft Windows Vista 6.0.6000 

Version Internet Explorer : 7.0.6000.16575

Filesystem type : NTFS
 

Search done in normal mode
 

*** Searching for installed Software ***
 
 

*** Search folders in "C:\Windows" ***
 
 

*** Search folders in "C:\Program Files" ***
 
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***
 

...\MessengerSkinner found !
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***
 
 

*** Search folders in "C:\ProgramData" ***
 
 

*** Search folders in "c:\users\xxx\appdata\roaming\micros~1\windows\startm~1\programs" ***
 
 

*** Search folders in "C:\Users\xxx\AppData\Local\virtualstore\Program Files" ***
 
 

*** Search folders in "C:\Users\xxx\AppData\Roaming" ***
 

...\MessengerSkinner found !

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : h**p://www.gmer.net
 

No Navipromo file found
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\Windows\system32" *
 

* Scan in "C:\Users\xxx\AppData\Local\Microsoft" *
 

* Scan in "C:\Users\xxx\AppData\Local" *
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***
 

HKEY_CURRENT_USER\Software\Lanconfig found ! 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\Windows\system32" :
 
 

* In "C:\Users\xxx\AppData\Local\Microsoft" :
 
 

* In "C:\Users\xxx\AppData\Local" :
 

wiceo_nav.dat found !

wiceo_navps.dat found !
 

3)Certificates Search :
 

Egroup certificate found !

Electronic-Group certificate found !

OOO-Favorit certificate found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 04.08.2008 at 23:30:00,22 ***

und scan mit SmitfraudFix:

Code:

SmitFraudFix v2.333
 

Scan done at 23:34:57,61, 04.08.2008

Run from C:\Users\xxx\Desktop\Maleware entfernen bei Marina\SmitfraudFix

OS: Microsoft Windows [Version 6.0.6000] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» Process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 

hosts file corrupted !
 

127.0.0.1        ***.legal-at-spybot.info

127.0.0.1        legal-at-spybot.info
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\xxx
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\xxx\Application Data
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

"LoadAppInit_DLLs"=dword:00000001
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\Windows\\system32\\userinit.exe,"
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

wie soll ich am besten weiter machen?

Ps.: vielen Dank schon einmal für deine Zeit!!

Hmmm, hier wäre wieder ein Chefkompetenzler nötig...!

- help -

Zitat:

Zitat von mobolo (Beitrag 359880)

Hmmm, hier wäre wieder ein Chefkompetenzler nötig...!

- help -

Ich werde mir das erst heute Nachmittag anschauen können da ich mich derzeit auf der Arbeit befinde. ;)

Was du aber auf jeden Fall noch durchführen solltest ist das hier:

Combofix Update:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Hier der Combofix log:

Code:

ComboFix 08-08-04.01 - xxx 2008-08-05 11:56:56.1 - NTFSx86

ausgeführt von:: C:\Users\xxx\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MessengerSkinner

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MessengerSkinner\Datenschutzrichtlinien.url

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MessengerSkinner\Geschäftsbedingungen.url

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MessengerSkinner\Website.url

C:\Users\Marina\AppData\Local\wiceo.dat

c:\users\marina\appdata\local\wiceo.exe

c:\Users\Marina\AppData\Local\wiceo_nav.dat

C:\Users\Marina\AppData\Local\wiceo_navps.dat

C:\Users\Marina\AppData\Roaming\MessengerSkinner

C:\Windows\system32\x64
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-07-05 bis 2008-08-05  ))))))))))))))))))))))))))))))

.
 

2008-08-04 23:35 . 2008-08-04 23:35        1,718        --a------        C:\Windows\System32\tmp.reg

2008-08-04 23:21 . 2008-08-04 23:30        <DIR>        d--------        C:\Program Files\Navilog1

2008-08-01 09:06 . 2008-08-01 09:06        <DIR>        d--------        C:\Users\xxx\AppData\Roaming\Malwarebytes

2008-08-01 09:06 . 2008-08-01 09:06        <DIR>        d--------        C:\Users\All Users\Malwarebytes

2008-08-01 09:06 . 2008-08-01 09:06        <DIR>        d--------        C:\ProgramData\Malwarebytes

2008-08-01 09:06 . 2008-08-01 09:06        <DIR>        d--------        C:\Program Files\Malwarebytes' Anti-Malware

2008-08-01 09:06 . 2008-07-30 20:07        38,472        --a------        C:\Windows\System32\drivers\mbamswissarmy.sys

2008-08-01 09:06 . 2008-07-30 20:07        17,144        --a------        C:\Windows\System32\drivers\mbam.sys

2008-07-25 15:59 . 2008-07-25 16:01        <DIR>        d--------        C:\Users\xxx\AppData\Roaming\InfraRecorder

2008-07-25 15:59 . 2008-07-25 15:59        <DIR>        d--------        C:\Program Files\InfraRecorder

2008-07-20 11:08 . 2008-07-20 11:08        250        --a------        C:\Windows\gmer.ini

2008-07-20 11:07 . 2008-07-20 11:07        <DIR>        d--------        C:\Program Files\Trend Micro

2008-07-13 13:27 . 2008-07-13 13:27        <DIR>        d--------        C:\Program Files\DivX

2008-07-13 13:27 . 2008-07-13 13:27        684        --a------        C:\Windows\mozver.dat

2008-07-12 12:04 . 2008-07-12 12:04        <DIR>        d--------        C:\Users\xxx\AppData\Roaming\Media Player Classic

2008-07-12 12:03 . 2008-07-12 12:03        <DIR>        d--------        C:\Users\All Users\Real

2008-07-12 12:03 . 2008-07-12 12:03        <DIR>        d--------        C:\Program Files\Real Alternative

2008-07-05 10:07 . 2008-07-05 10:07        <DIR>        d--------        C:\Users\xxx\AppData\Roaming\SUPERAntiSpyware.com

2008-07-05 10:07 . 2008-07-05 10:07        <DIR>        d--------        C:\Users\All Users\SUPERAntiSpyware.com

2008-07-05 10:07 . 2008-07-05 10:07        <DIR>        d--------        C:\ProgramData\SUPERAntiSpyware.com

2008-07-05 10:07 . 2008-07-05 10:07        <DIR>        d--------        C:\Program Files\SUPERAntiSpyware
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-05 09:30        352,615        ---ha-w        C:\Windows\system32\drivers\vsconfig.xml

2008-08-04 22:27        68,096        ----a-w        C:\Windows\Internet Logs\xDB66FC.tmp

2008-08-04 21:32        876,544        ----a-w        C:\Windows\Internet Logs\xDB66CD.tmp

2008-08-04 14:57        1,501,696        ----a-w        C:\Windows\Internet Logs\xDB6AF2.tmp

2008-08-01 08:54        1,500,672        ----a-w        C:\Windows\Internet Logs\xDB6882.tmp

2008-07-30 19:58        ---------        d-----w        C:\Users\xxx\AppData\Roaming\Skype

2008-07-30 19:49        ---------        d-----w        C:\Users\xxx\AppData\Roaming\skypePM

2008-07-30 17:44        ---------        d-----w        C:\Users\xxx\AppData\Roaming\OpenOffice.org2

2008-07-27 19:10        829,952        ----a-w        C:\Windows\Internet Logs\xDB62E6.tmp

2008-07-27 19:10        1,494,528        ----a-w        C:\Windows\Internet Logs\xDB6596.tmp

2008-07-23 18:20        ---------        d-----w        C:\Users\xxx\AppData\Roaming\dvdcss

2008-07-19 09:03        1,620,480        ----a-w        C:\Windows\Internet Logs\xDB6F26.tmp

2008-07-19 09:03        1,484,288        ----a-w        C:\Windows\Internet Logs\xDB7510.tmp

2008-07-13 13:12        2,306,048        ----a-w        C:\Windows\Internet Logs\xDB6B20.tmp

2008-07-13 13:12        1,474,560        ----a-w        C:\Windows\Internet Logs\xDB7204.tmp

2008-07-13 11:27        ---------        d-----w        C:\Program Files\Mozilla Sunbird

2008-07-10 16:41        92,167        ----a-w        C:\Windows\Internet Logs\vsmon_2nd_2008_07_10_16_12_15_small.dmp.zip

2008-07-10 16:36        2,497,958        ----a-w        C:\Windows\Internet Logs\tvDebug.zip

2008-07-08 16:21        1,462,272        ----a-w        C:\Windows\Internet Logs\xDB66DC.tmp

2008-07-05 08:06        ---------        d-----w        C:\Program Files\Common Files\Wise Installation Wizard

2008-06-24 07:44        163,840        ----a-w        C:\Windows\Internet Logs\xDB60C4.tmp

2008-06-24 07:44        1,444,864        ----a-w        C:\Windows\Internet Logs\xDB63F1.tmp

2008-06-22 18:41        667,136        ----a-w        C:\Windows\Internet Logs\xDB6824.tmp

2008-06-22 18:41        1,443,840        ----a-w        C:\Windows\Internet Logs\xDB6AB4.tmp

2008-06-21 14:57        ---------        d-----w        C:\Program Files\Microsoft Works

2008-06-21 13:17        ---------        d-----w        C:\Users\xxx\AppData\Roaming\.clamwin

2008-06-21 13:10        ---------        d-----w        C:\ProgramData\.clamwin

2008-06-21 13:10        ---------        d-----w        C:\Program Files\ClamWin

2008-06-21 12:06        355,584        ----a-w        C:\Windows\System32\TuneUpDefragService.exe

2008-06-21 12:06        ---------        d-----w        C:\Users\xxx\AppData\Roaming\TuneUp Software

2008-06-21 12:06        ---------        d-----w        C:\ProgramData\TuneUp Software

2008-06-21 12:06        ---------        d-----w        C:\Program Files\TuneUp Utilities 2008

2008-06-21 12:01        ---------        d-----w        C:\Program Files\PeerGuardian2

2008-06-14 16:58        136,704        ----a-w        C:\Windows\Internet Logs\xDB71F4.tmp

2008-06-11 00:04        200,704        ----a-w        C:\Windows\System32\ssldivx.dll

2008-06-11 00:04        1,044,480        ----a-w        C:\Windows\System32\libdivx.dll

2008-06-02 20:53        41,984        ----a-w        C:\Windows\Internet Logs\xDB7EB0.tmp

2008-05-30 17:33        191,488        ----a-w        C:\Windows\Internet Logs\xDB7A9B.tmp

2008-05-29 07:28        28,416        ----a-w        C:\Windows\System32\uxtuneup.dll

2008-05-29 07:28        16,640        ----a-w        C:\Windows\System32\authuitu.dll

2008-05-22 11:11        132,096        ----a-w        C:\Windows\Internet Logs\xDB7AF9.tmp

2008-05-21 18:26        1,403,392        ----a-w        C:\Windows\Internet Logs\xDB7CAD.tmp

2008-05-18 21:30        89,088        ----a-w        C:\Windows\Internet Logs\xDB6DDE.tmp

2008-05-14 20:27        70,656        ----a-w        C:\Windows\Internet Logs\xDB7280.tmp

2008-05-14 20:27        1,397,760        ----a-w        C:\Windows\Internet Logs\xDB7407.tmp

2008-05-11 10:00        38,912        ----a-w        C:\Windows\Internet Logs\xDB6805.tmp

2008-05-11 10:00        1,395,712        ----a-w        C:\Windows\Internet Logs\xDB69BB.tmp

2008-05-07 20:36        366,080        ----a-w        C:\Windows\Internet Logs\xDB6778.tmp

2008-05-07 20:36        1,394,688        ----a-w        C:\Windows\Internet Logs\xDB6883.tmp

2008-04-06 13:58        174        --sha-w        C:\Program Files\desktop.ini

2008-02-18 11:26        32        ----a-w        C:\Users\All Users\ezsid.dat

2008-02-18 11:26        32        ----a-w        C:\ProgramData\ezsid.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-09 07:09 865840]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 16:46 266497]

"ZoneAlarm Client"="C:\Programme\ZoneAlarm\zlclient.exe" [2008-03-03 15:05 959976]

"ClamWin"="C:\Program Files\ClamWin\bin\ClamTray.exe" [2008-06-14 14:13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= divxa32.acm
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Acer VCM.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Acer VCM.lnk

backup=C:\Windows\pss\Acer VCM.lnk.CommonStartup

backupExtension=.CommonStartup
 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk

backup=C:\Windows\pss\Empowering Technology Launcher.lnk.CommonStartup

backupExtension=.CommonStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Tour Reminder]

--a------ 2007-05-22 15:49 151552 C:\Acer\AcerTour\Reminder.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-03-08 04:38 40048 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eAudio]

--a------ 2007-06-11 14:54 1286144 C:\Acer\Empowering Technology\eAudio\eAudio.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]

--a------ 2007-04-25 16:33 457216 C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]

--a------ 2007-07-31 03:36 707080 C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2007-06-26 09:33 81920 C:\Windows\System32\nvmctray.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]

--a------ 2007-06-26 09:33 86016 C:\Windows\System32\nvsvc.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayMovie]

--------- 2007-05-24 13:38 206952 C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSet]

--a------ 2007-04-25 13:47 45056 C:\Windows\PLFSet.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]

--a------ 2006-11-05 22:48 57344 C:\Acer\WR_PopUp\WarReg_PopUp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

--a------ 2007-08-14 06:33 1006264 C:\Program Files\Windows Defender\MSASCui.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter]

--a------ 2006-11-02 14:34 2159104 C:\Windows\System32\oobefldr.dll
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HotKeysCmds"=C:\Windows\system32\hkcmd.exe

"IgfxTray"=C:\Windows\system32\igfxtray.exe

"NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

"Persistence"=C:\Windows\system32\igfxpers.exe

"RtHDVCpl"=RtHDVCpl.exe

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{4C580168-126C-42B2-8A8D-044236F383EC}"= Profile=Private|C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe

"{CC8249BE-6FB8-4F31-95AD-E9E81BAE84F5}"= Profile=Private|C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician

"{0D67F139-56C4-45F4-AFE5-97FB47C652D2}"= Profile=Private|C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia

"{AE0EBDCB-FE25-44EA-9135-8E43A383D3B1}"= Profile=Private|C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard

"{102B2A50-49CA-4D60-9FEE-3F1240EE2C94}"= Profile=Private|C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine

"{CCE377C9-71C3-43DA-B843-A29A937B09B3}"= Profile=Private|C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie

"{E240EB36-203A-4D5B-8022-298CCAE90B10}"= Profile=Private|C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program

"{528D9A30-DAB5-4150-A51B-20FC038C6550}"= Profile=Private|C:\Program Files\Acer\Acer VCM\VC.exe:Acer VCM

"{BE4823C9-B37B-44A2-A048-6168428C28CC}"= Disabled:C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe

"{BF11612B-2216-42FF-A90F-0A4FF94F1444}"= Disabled:C:\Program Files\Acer\Acer VCM\VC.exe:Acer VCM

"{564F363F-13AC-4079-A819-D18A361BB617}"= Disabled:C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard

"{FDEA0230-78C6-4070-A423-360156F20A6A}"= Disabled:C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine

"{2CDFE1FC-ECEA-404A-A107-20B2E623AA66}"= Disabled:C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia

"{E3ECB76F-56FA-4C42-9D1C-1CC7FF278D91}"= Disabled:C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie

"{37F78898-3042-420B-9E07-4FC524753ED8}"= Disabled:C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program

"{B4763716-BE64-4010-9C13-433747D56815}"= Disabled:C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician

"{24034947-5ADF-4DDF-98CC-C32224723009}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype

"{CC976F80-49F2-4CB9-AF14-DDC6D041E747}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"DisableNotifications"= 1 (0x1)

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]

"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"= 0 (0x0)
 

R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl [2006-11-02 16:51]

R2 ALaunchService;ALaunch Service;C:\Acer\ALaunch\ALaunchSvc.exe [2007-01-26 14:24]

R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2006-11-02 11:45]

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 09:03]

R3 winbondcir;Winbond IR Transceiver;C:\Windows\system32\DRIVERS\winbondcir.sys [2007-04-19 09:09]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-06-21 14:06]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-06-21 C:\Windows\Tasks\1-Klick-Wartung.job

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54]
 

2008-04-01 C:\Windows\Tasks\{0E1E0A54-2204-4AF2-A7A4-6045211EA59B}.job

- C:\Program Files\Skype\Phone\Skype.exe [2008-02-01 17:22]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-gnnvuec - c:\users\xxx\appdata\local\gnnvuec.exe

MSConfigStartUp-messengerskinner - C:\Users\xxx\Desktop\MessengerSkinner\MessengerSkinner.exe

MSConfigStartUp-SetPanel - C:\Acer\APanel\APanel.cmd
 
 

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\wu5optnt.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.googlemail.com/
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2008-08-05 11:58:22

Windows 6.0.6000  NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-08-05 11:59:05

ComboFix-quarantined-files.txt  2008-08-05 09:59:02
 

Pre-Run: 12 Verzeichnis(se), 41,955,385,344 Bytes frei

Post-Run: 19 Verzeichnis(se), 41,921,425,408 Bytes frei
 

233        --- E O F ---        2008-02-18 11:19:59

Vielen Dank nochmal für deine Zeit!

:Boogie:

PS.: wie lern ich am besten die Logs selbst aus zu werten, damit ich evtl auch helfen kann?!?

PopUps blieben jetzt schon eine ganze Weile aus, aber ich hätte trotzdem gerne noch die log's ausgewertet, nur um sicher zu gehen...?

Tausend DANK aber schon einmal im Voraus!!!
--> FETTES MERCI

:aplaus:

wenn die logs nur schon ausgewertet wären...! :rolleyes:

hat niemand ne Ahnung???? :confused:

Naja, dann muss ich mir wohl ein anderes Forum suchen... Schade, hatte so gut angefangen!!