Trojaner-Board - Trojaner TR/Crypt.XPack.Gen gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner TR/Crypt.XPack.Gen gefunden (https://www.trojaner-board.de/66041-trojaner-tr-crypt-xpack-gen-gefunden.html)

Trojaner TR/Crypt.XPack.Gen gefunden

Hallo,

Antivir hat beim Hochfahren meines XP-Rechners den Trojaner
TR/Crypt.XPack.Gen gefunden. Die infizierte Datei liegt im Ordner system32 und heisst kdau.exe.

Hier ist das HiJackThis log file:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:50, on 08.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\windows\system32\cisvc.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\windows\system32\nvsvc32.exe
C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\windows\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\windows\System32\SCardSvr.exe
C:\windows\System32\alg.exe
C:\windows\Explorer.EXE
C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Programme\Infineon\Security Platform Software\PSDrt.exe
C:\Programme\Infineon\Security Platform Software\SpTna.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\windows\system32\rundll32.exe
C:\windows\RTHDCPL.EXE
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\windows\VM305_STI.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\iPod\bin\iPodService.exe
c:\Programme\LRZ VPN Client\vpngui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\windows\system32\cidaemon.exe
C:\windows\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://*************
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht tp://************
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht tp://************
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://**************
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht tp://*************
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [BigDog305] C:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [C:\windows\system32\kdgau.exe] C:\windows\system32\kdgau.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ASUS Security Protect Manager-e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager-e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h t t p://******************************
O17 - HKLM\System\CCS\Services\Tcpip\..\{37A1196E-11F9-4C8A-94FD-DC3048885D3F}: NameServer = ****************
O17 - HKLM\System\CCS\Services\Tcpip\..\{91110A00-C300-4FF7-A423-91D4E5C44BF0}: NameServer = *************
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FECF66B-3A8D-427A-BFEF-B51C6149D48D}: NameServer = *************
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: OneCard - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\windows\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 13692 bytes

Würde gerne wissen wie bedrohlich die Situation ist und wie ich jetzt vorgehen sollte.
Werde mit diesem Rechner jetzt erstmal nicht mehr online gehen bis ich weiss was los ist und mache jetzt mal einen Scan mit AV im abgesicherten Modus. Hoffe heute abend euch dann von einem sauberen Rechner weitere infos geben zu können.

Vielen Dank für jede Hilfe ,
Johannes

Hallo Woodhousen und http://www.mysmilie.de/generator/ablage/156/257.png

Bitte poste nochmals ein neues Hijacklog, und achte darauf das diesesmal die Einträge unter O17 nicht editiert werden!

Erstellung eines Hijacklog

Hier gibt es die Anleitung -> http://www.trojaner-board.de/51130-a...ijackthis.html

zusätzlich:

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo [GC]Sunny,

danke zunächst einmal für deine Hilfe:
Ich habe mein System mit Antivir im abgesicherten Modus gescant, dabei habe ich nochmal 2 mit dem Trojaner TR/Crypt.XPack.Gen infizierte Dateien gefunden
und zusätzlich 2 Dateien die der WORM/Autorun.sri befallen hat.

Zitat:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Mozilla Firefox\components\iamfamous.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aa2ac6.qua' verschoben!
C:\resycled\boot.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.sri
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ac2b8c.qua' verschoben!
C:\WINDOWS\Temp\tempo-7A1.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aa2e39.qua' verschoben!
Beginne mit der Suche in 'D:\' <DATA>
D:\resycled\boot.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.sri
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ac2f12.qua' verschoben!

Die Dateien habe ich in die Quarantäne verschoben und danach Windows wieder im abgesicherten Modus gestartet und erneut gescant. Dabei wurde keine infizierten Dateien mehr gefunden.

Eine ähnliche Infektion gab es auch in diesem Thread (http://www.trojaner-board.de/65369-w...torun-sty.html) und die Server IP, die ich nicht editieren soll, stammt wie auch in diesem Thread von dem Urkrainischen Telefon Server.
Wie bedrohlich ist das? sollte ich meine Passwörter ändern?
Denn Rest der Liste werde ich jetzt abarbeiten.
Viele Grüße,
Johannes

Hier ist mein neues HighJack This logfile:

Zitat:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:53:52, on 08.12.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\System32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\windows\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\windows\system32\cisvc.exe

c:\Programme\LRZ VPN Client\cvpnd.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\WINDOWS\system32\IFXSPMGT.exe

C:\WINDOWS\system32\IFXTCS.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\windows\system32\nvsvc32.exe

C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\windows\system32\svchost.exe

C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe

C:\windows\Explorer.EXE

C:\Programme\Infineon\Security Platform Software\PSDrt.exe

C:\Programme\Infineon\Security Platform Software\SpTna.exe

C:\Programme\ATK Hotkey\Hcontrol.exe

C:\Programme\ASUS\ATK Media\DMEDIA.EXE

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Wireless Console 2\wcourier.exe

C:\windows\system32\RUNDLL32.EXE

C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\Programme\ASUS\Power4 Gear\BatteryLife.exe

C:\Programme\ASUS\Splendid\ACMON.exe

C:\windows\RTHDCPL.EXE

C:\windows\system32\rundll32.exe

C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe

C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\system32\ACEngSvr.exe

C:\windows\VM305_STI.EXE

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\windows\system32\ctfmon.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Programme\ATK Hotkey\ATKOSD.exe

C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Programme\iPod\bin\iPodService.exe

C:\windows\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\windows\system32\NOTEPAD.EXE

C:\windows\system32\cidaemon.exe

C:\windows\system32\cidaemon.exe

C:\windows\system32\NOTEPAD.EXE

C:\windows\system32\wuauclt.exe

C:\Programme\HighJack This\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"

O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [BigDog305] C:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKLM\..\Run: [C:\windows\system32\kdgau.exe] C:\windows\system32\kdgau.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ASUS Security Protect Manager-e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll

O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager-e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{91110A00-C300-4FF7-A423-91D4E5C44BF0}: NameServer = 85.255.112.139;85.255.112.133

O17 - HKLM\System\CCS\Services\Tcpip\..\{9FECF66B-3A8D-427A-BFEF-B51C6149D48D}: NameServer = 10.150.127.2,10.150.126.2

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: APSHook.dll

O20 - Winlogon Notify: OneCard - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe

O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\windows\system32\HPZipm12.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
 

--

End of file - 13246 bytes

Folgende Einträge habe ich nach der Empfehlung einer Online Auswertung
gefixt:

Zitat:

Code:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKLM\..\Run: [C:\windows\system32\kdgau.exe] C:\windows\system32\kdgau.exe

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

Hier ist das Log File von Anti Maleware:

Zitat:

Code:

Malwarebytes' Anti-Malware 1.31

Datenbank Version: 1475

Windows 5.1.2600 Service Pack 3
 

08.12.2008 22:16:35

mbam-log-2008-12-08 (22-16-22).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 255642

Laufzeit: 1 hour(s), 30 minute(s), 38 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 4

Infizierte Verzeichnisse: 1

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdgau.exe -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{91110a00-c300-4ff7-a423-91d4e5c44bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.139;85.255.112.133 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{91110a00-c300-4ff7-a423-91d4e5c44bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.139;85.255.112.133 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{91110a00-c300-4ff7-a423-91d4e5c44bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.139;85.255.112.133 -> No action taken.
 

Infizierte Verzeichnisse:

C:\resycled (Trojan.DNSChanger) -> No action taken.
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

was heisst diese Zeile
"Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken."
hat er das nicht bereinigt? wegen "no aktion taken"

und hier ist das Log-File von Combo-Fix:

Zitat:

Code:

ComboFix 08-12-07.03 - Johannes 2008-12-08 23:57:27.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2391 [GMT 1:00]

ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\autorun.inf

D:\Autorun.inf

D:\resycled
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-11-08 bis 2008-12-08  ))))))))))))))))))))))))))))))

.
 

2008-12-08 23:42 . 2008-12-08 23:42        <DIR>        d--------        C:\Programme\CCleaner

2008-12-08 20:36 . 2008-12-08 20:36        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-12-08 20:36 . 2008-12-08 20:36        <DIR>        d--------        C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes

2008-12-08 20:36 . 2008-12-08 20:36        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-12-08 20:36 . 2008-12-03 19:52        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-12-08 20:36 . 2008-12-03 19:52        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-12-08 19:52 . 2008-12-08 23:25        <DIR>        d--------        C:\Programme\HighJack This

2008-12-07 22:53 . 2008-12-07 22:53        <DIR>        d--------        C:\Programme\FreePDF_XP

2008-12-07 22:53 . 2008-12-07 22:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\FreePDF

2008-12-07 22:53 . 2008-02-25 22:23        119,152        --a------        C:\WINDOWS\system32\redmon.hlp

2008-12-07 22:53 . 2008-02-25 22:23        116,224        --a------        C:\WINDOWS\system32\redmonnt.dll

2008-12-07 22:53 . 2008-02-25 22:23        45,056        --a------        C:\WINDOWS\system32\unredmon.exe

2008-12-07 22:52 . 2008-12-07 22:52        <DIR>        d--------        C:\Programme\gs

2008-12-07 22:39 . 2008-12-07 22:39        <DIR>        d--------        C:\Programme\CIB software GmbH

2008-12-07 22:39 . 2008-04-14 03:22        185,344        --a--c---        C:\WINDOWS\system32\dllcache\framedyn.dll

2008-12-07 22:38 . 2008-12-07 22:38        <DIR>        d--------        C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\InstallShield

2008-12-04 15:16 . 2008-12-04 15:16        <DIR>        d--------        C:\Programme\Zattoo

2008-12-01 16:43 . 2008-12-01 16:45        <DIR>        d--------        C:\Programme\PDFCreator

2008-12-01 16:43 . 1998-07-06 18:55        158,208        --a------        C:\WINDOWS\system32\MSCMCDE.DLL

2008-12-01 16:43 . 1998-06-24 01:00        137,000        --a------        C:\WINDOWS\system32\MSMAPI32.OCX

2008-12-01 16:43 . 1998-07-06 18:56        125,712        --a------        C:\WINDOWS\system32\VB6DE.DLL

2008-12-01 16:43 . 2001-10-28 17:42        116,224        --a------        C:\WINDOWS\system32\pdfcmnnt.dll

2008-12-01 16:43 . 1998-07-06 18:55        64,512        --a------        C:\WINDOWS\system32\MSCC2DE.DLL

2008-12-01 16:43 . 1998-07-06 01:00        23,552        --a------        C:\WINDOWS\system32\MSMPIDE.DLL

2008-11-29 12:48 . 2008-11-29 12:48        <DIR>        d--------        C:\Programme\Avira

2008-11-29 12:48 . 2008-11-29 12:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-11-23 00:45 . 2008-11-23 00:45        <DIR>        d--------        C:\Programme\iPod

2008-11-23 00:44 . 2008-11-23 00:45        <DIR>        d--------        C:\Programme\iTunes

2008-11-23 00:44 . 2008-11-23 00:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-11-23 00:37 . 2008-11-23 00:38        <DIR>        d--------        C:\Programme\QuickTime

2008-11-21 20:23 . 2008-12-03 10:09        253,872        --a------        C:\bar.emf

2008-11-20 14:55 . 2008-11-20 14:55        7,680        --ahs----        C:\WINDOWS\Thumbs.db

2008-11-20 14:55 . 2008-11-20 14:55        5,120        --ahs----        C:\Thumbs.db

2008-11-12 15:31 . 2008-09-04 18:15        1,106,944        -----c---        C:\WINDOWS\system32\dllcache\msxml3.dll

2008-11-12 15:24 . 2008-10-24 12:21        455,296        -----c---        C:\WINDOWS\system32\dllcache\mrxsmb.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-08 23:05        16,767,008        --sha-w        C:\windows\system32\drivers\fidbox.dat

2008-12-08 23:01        199,484        --sha-w        C:\windows\system32\drivers\fidbox.idx

2008-12-08 15:50        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-12-08 15:16        ---------        d-----w        C:\Programme\LRZ VPN Client

2008-12-07 21:39        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-12-07 20:10        ---------        d-----w        C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Skype

2008-12-07 15:08        ---------        d-----w        C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\skypePM

2008-12-07 00:30        ---------        d-----w        C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Apple Computer

2008-11-29 11:24        4,049,236        ----a-w        C:\windows\Internet Logs\tvDebug.zip

2008-11-22 23:44        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Apple

2008-11-22 23:21        ---------        d-----w        C:\Programme\Safari

2008-11-21 12:47        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-11-19 22:07        1,668,096        ----a-w        C:\windows\Internet Logs\xDB1.tmp

2008-11-08 00:37        ---------        d-----w        C:\Programme\Yahoo!

2008-11-01 14:31        ---------        d-----w        C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\TechSmith

2008-10-29 16:06        ---------        d-----w        C:\Programme\AP Tuner

2008-10-24 11:21        455,296        ----a-w        C:\windows\system32\drivers\mrxsmb.sys

2008-10-16 13:13        202,776        ----a-w        C:\windows\system32\wuweb.dll

2008-10-16 13:13        1,809,944        ----a-w        C:\windows\system32\wuaueng.dll

2008-10-16 13:12        561,688        ----a-w        C:\windows\system32\wuapi.dll

2008-10-16 13:12        323,608        ----a-w        C:\windows\system32\wucltui.dll

2008-10-16 13:09        92,696        ----a-w        C:\windows\system32\cdm.dll

2008-10-16 13:09        51,224        ----a-w        C:\windows\system32\wuauclt.exe

2008-10-16 13:09        43,544        ----a-w        C:\windows\system32\wups2.dll

2008-10-16 13:08        34,328        ----a-w        C:\windows\system32\wups.dll

2008-09-30 15:43        1,286,152        ----a-w        C:\windows\system32\msxml4.dll

2008-09-16 00:14        524,288        ----a-w        C:\windows\system32\DivXsm.exe

2008-09-16 00:14        3,596,288        ----a-w        C:\windows\system32\qt-dx331.dll

2008-09-16 00:14        129,784        ------w        C:\windows\system32\pxafs.dll

2008-09-16 00:14        120,056        ------w        C:\windows\system32\pxcpyi64.exe

2008-09-16 00:14        118,520        ------w        C:\windows\system32\pxinsi64.exe

2008-09-16 00:12        81,920        ----a-w        C:\windows\system32\dpl100.dll

2008-09-16 00:12        593,920        ----a-w        C:\windows\system32\dpuGUI11.dll

2008-09-16 00:12        57,344        ----a-w        C:\windows\system32\dpv11.dll

2008-09-16 00:12        53,248        ----a-w        C:\windows\system32\dpuGUI10.dll

2008-09-16 00:12        344,064        ----a-w        C:\windows\system32\dpus11.dll

2008-09-16 00:12        294,912        ----a-w        C:\windows\system32\dpu11.dll

2008-09-16 00:12        294,912        ----a-w        C:\windows\system32\dpu10.dll

2008-09-16 00:12        200,704        ----a-w        C:\windows\system32\ssldivx.dll

2008-09-16 00:12        196,608        ----a-w        C:\windows\system32\dtu100.dll

2008-09-16 00:12        1,044,480        ----a-w        C:\windows\system32\libdivx.dll

2008-09-16 00:11        823,296        ----a-w        C:\windows\system32\divx_xx0c.dll

2008-09-16 00:11        823,296        ----a-w        C:\windows\system32\divx_xx07.dll

2008-09-16 00:11        815,104        ----a-w        C:\windows\system32\divx_xx0a.dll

2008-09-16 00:11        802,816        ----a-w        C:\windows\system32\divx_xx11.dll

2008-09-16 00:11        683,520        ----a-w        C:\windows\system32\DivX.dll

2008-09-16 00:11        161,096        ----a-w        C:\windows\system32\DivXCodecVersionChecker.exe

2008-09-16 00:11        12,288        ----a-w        C:\windows\system32\DivXWMPExtType.dll

2008-09-15 15:24        1,846,528        ----a-w        C:\windows\system32\win32k.sys

2008-09-10 01:13        1,307,648        ----a-w        C:\windows\system32\msxml6.dll

2008-03-14 23:15        32        -c--a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Secure Disks]

@="{666C7836-A9B6-4AB4-94ED-DC238C81E925}"

[HKEY_CLASSES_ROOT\CLSID\{666C7836-A9B6-4AB4-94ED-DC238C81E925}]

2006-10-26 17:35        391168        -ra------        C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\SFSShell.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\windows\system32\ctfmon.exe" [2008-04-14 03:22 15360]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-26 20:30 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATKHOTKEY"="C:\Programme\ATK Hotkey\Hcontrol.exe" [2007-04-19 10:32 225280]

"ATKMEDIA"="C:\Programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 07:27 61440]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 07:26 761945]

"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2005-10-17 16:09 987136]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-17 21:23 8478720]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-17 21:23 81920]

"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 12:37 174872]

"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 16:13 86016]

"CognizanceTS"="C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll" [2003-12-21 22:12 17920]

"ACMON"="C:\Programme\ASUS\Splendid\ACMON.exe" [2007-07-10 10:59 851968]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-04-16 10:24 819200]

"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-04-16 10:22 970752]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 03:27 144784]

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 08:05 919016]

"StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 15:51 36864]

"TomcatStartup"="C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 18:28 155648]

"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 14:16 111936]

"BigDog305"="C:\windows\VM305_STI.EXE" [2006-03-17 10:03 61440]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-11-04 10:30 413696]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-11-20 13:20 290088]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]

"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2008-07-22 22:44 357376]

"nwiz"="nwiz.exe" [2007-08-17 21:23 1626112 C:\WINDOWS\system32\nwiz.exe]

"SkyTel"="SkyTel.EXE" [2007-09-27 17:21 1826816 C:\WINDOWS\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 17:21 16844800 C:\WINDOWS\RTHDCPL.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 03:22 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

LRZ VPN Client.lnk - C:\Programme\LRZ VPN Client\vpngui.exe [2008-04-10 11:36:24 1544984]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2007-02-06 18:30 74240 C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]

2006-03-10 08:20 434176 C:\WINDOWS\system32\IfxWlxEN.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=APSHook.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages        REG_MULTI_SZ           msv1_0 nwprovau

Notification Packages        REG_MULTI_SZ           scecli ASWLNPkg
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk

backup=C:\windows\pss\Bluetooth Manager.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^*******^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

path=C:\Dokumente und Einstellungen\*******\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk

backup=C:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ChkMail]

--a------ 2007-05-28 16:57 741376 C:\Programme\ChkMail\ChkMail\ChkMail.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

--a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]

-ra------ 2006-02-23 05:40 106496 C:\WINDOWS\ATK0100\HControl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]

-ra--c--- 2007-03-20 07:36 36864 C:\WINDOWS\RaidTool\xInsIDE.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

--a--c--- 2006-12-05 22:55 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMReminderService]

--a--c--- 2008-01-14 17:40 37144 C:\Programme\Mindjet\MindManager 7\MmReminderService.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

-----c--- 2006-11-23 15:10 56928 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"RichVideo"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 ItSDisk;ItSDisk;C:\windows\system32\Drivers\ItSDisk.sys [2006-05-16 18:14:00 23496]

R1 PersonalSecureDrive;PersonalSecureDrive;C:\windows\system32\drivers\psd.sys [2005-11-29 11:50:58 36768]

R2 ASChannel;Lokaler Verbindungskanal;C:\windows\System32\svchost.exe -k Cognizance [2004-08-04 13:00:00 14336]

R2 ithsgt;ithsgt;C:\windows\system32\DRIVERS\ithsgt.sys [2008-03-25 22:12:21 162432]

R2 lilsgt;lilsgt;C:\windows\system32\DRIVERS\lilsgt.sys [2008-03-25 22:12:21 12032]

R3 IFXTPM;IFXTPM;C:\windows\system32\DRIVERS\IFXTPM.SYS [2007-09-27 15:39:32 36352]

R3 SMSCIRDA;SMSC Infrared Device Driver;C:\windows\system32\DRIVERS\SMSCirda.sys [2007-09-27 15:25:22 31232]

S2 ASBroker;Anmeldesitzungsbroker;C:\windows\System32\svchost.exe -k Cognizance [2004-08-04 13:00:00 14336]

S3 cpuz129;cpuz129;\??\C:\Programme\PC Wizard 2008\pcwiz32.sys [2008-07-06 10:15:38 9600]

S3 ZSMC0305;CANYON CN-WCAM23 PC-Camera;C:\windows\system32\Drivers\usbVM305.sys [2008-11-04 14:39:38 392316]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;"C:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 [2005-12-09 10:40:04 2799808]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance        REG_MULTI_SZ           ASBroker ASChannel
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

.

Inhalt des "geplante Tasks" Ordners
 

2008-12-03 C:\windows\Tasks\AppleSoftwareUpdate.job

- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
 

2008-12-08 C:\windows\Tasks\Security Platform Backup Schedule.job

- C:\Programme\Infineon\Security Platform Software\SpBackupWz.exe [2006-03-10 08:33]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
 
 

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyOverride = *.local;<local>

IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {9FECF66B-3A8D-427A-BFEF-B51C6149D48D} = 10.150.127.2,10.150.126.2

FireFox -: Profile - C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\420k8ts5.default\

FF -: plugin - C:\Programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-09 00:03:54

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  BigDog305 = C:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@?????????????? 
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1104)

C:\windows\system32\IWPDGINA.DLL

C:\Programme\Intel\Wireless\Bin\SsoGnDEU.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\ocgina.dll

c:\programme\asus security center\asus security protect manager\bin\ItMsg.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\ocgina.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\brand.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\brand.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\ItMsg.dll

c:\programme\asus security center\asus security protect manager\bin\ItTal.dll

c:\programme\asus security center\asus security protect manager\bin\ItReports.DLL

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AuthWiz.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\AuthWiz.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\TpmAuth.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\TpmAuth.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\TokenAuth.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ittalsnap.DLL

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\ittalsnap.DLL

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\TokenAuth.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItVCard.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AsChnl.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItDAC.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItAuth.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\TrayIcon.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\BioAuth.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\BioAuth.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\STEngine.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASBioAT.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItVCClient.dll

C:\windows\system32\xenroll.dll

C:\Programme\Bonjour\mdnsNSP.dll

C:\windows\system32\IfxWlxEN.dll
 

- - - - - - - > 'lsass.exe'(1160)

c:\programme\asus security center\asus security protect manager\bin\ASWLNPkg.dll

c:\programme\asus security center\asus security protect manager\bin\ItMsg.dll
 

- - - - - - - > 'Explorer.exe'(304)

C:\windows\system32\nview.dll

C:\windows\system32\NVWRSDE.DLL

C:\windows\system32\APSHook.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItClient.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\SFSShell.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItMsg.dll

C:\Programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\SFSShell.dll

C:\windows\system32\nvwddi.dll

.

Danke für deine Hilfe, bis jetzt gab es keine Viren Probleme mehr.
Wie kann ich die Autorun Funktion für USB und DVD-Laufgwerk wieder aktivieren?

Ist der Recher jetzt wieder sicher oder sollte ich das System besser neu aufsetzen? mich beunruhigt die Sache mit dem
"HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken."

Hier ist nochmal das aktuelle HighJack This log file:

Zitat:

[CODE]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13, on 2008-12-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\windows\system32\nvsvc32.exe
C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\windows\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\windows\Explorer.EXE
C:\Programme\Infineon\Security Platform Software\PSDrt.exe
C:\Programme\Infineon\Security Platform Software\SpTna.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\windows\RTHDCPL.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\windows\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\windows\VM305_STI.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\iPod\bin\iPodService.exe
C:\windows\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HighJack This\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [BigDog305] C:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ASUS Security Protect Manager-e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager-e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FECF66B-3A8D-427A-BFEF-B51C6149D48D}: NameServer = 10.150.127.2,10.150.126.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: OneCard - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\windows\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 11995 bytes

[CODE]

Könnte sich bitte noch jemand von den Kompetenzler die Log Files von Anti-Maleware, Combo Fix und HighJack This ansehen ?

Johannes

DNS-Informationen aus hosts extrahieren

Starte HijackThis -> Do a system scan only

rechts unten den Button "Config" anklicken

"Misc Tools"

"Open hosts file manager" öffnen

"Open in notepad"

und den gesamten Text abkopieren und in deinen Beitrag einfügen

So sollte es dann aussehen:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Danach bitte nochmal ein neues Hijacklog.

Die Autorunfunktion kannst du auch wieder aktivieren wenn du möchtest!
Gibt es ansonsten noch Probleme mit dem PC bzw. Google?

Hi,

bei mir steht der gleiche Eintrag drin, ohne den Kommentar.

Zitat:

127.0.0.1 localhost

mein High Jack This log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22, on 2008-12-10
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\windows\system32\nvsvc32.exe
C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\windows\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Infineon\Security Platform Software\PSDrt.exe
C:\Programme\Infineon\Security Platform Software\SpTna.exe
C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\windows\Explorer.EXE
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\windows\RTHDCPL.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\windows\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\windows\VM305_STI.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\windows\System32\svchost.exe
C:\windows\notepad.exe
C:\Programme\HighJack This\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [BigDog305] C:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ASUS Security Protect Manager-e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager-e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FECF66B-3A8D-427A-BFEF-B51C6149D48D}: NameServer = 10.150.127.2,10.150.126.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: OneCard - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\Infineon\Security Platform Software\PSDsrvc.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\windows\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 11977 bytes

Hatte bisher keine Probleme mehr mit dem Rechner, nur das "Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken." beunruhigt mich.
Vielen Dank!

Was bedeutet das jetzt?

Hey Sunny,

kann ich jetzt davon ausgehen, dass mein System sauber ist?

hey,

bräuchte nochmal rat von den kompetenzlern.

Kann man jetzt davon ausgehen, dass mein system wieder sauber ist
oder sollte ich es zur Sicherheit besser neu aufsetzen?

Bye,
Woody