Trojaner!? System rettbar?
 

Hallo Zusammen,

vor einigen Tagen hat Malware mein Windows befallen: Antivir deaktiviert, blinkende Hintergrundgrafik auf dem Desktop, im Explorer keine Dateiendungen mehr, eingeschränkte Ordneroptionen, regelmässige Verbindungsversuche von Firefox mit Webseiten von "Sicherheits"-Software (Verbindung zum Netz ist seit Auftreten des Befalls gekappt), Fehlermeldungen bei Öffnen von Flash-Videos, PDFs und anderen Dateien.
Im folgenden seht Ihr ein HiJackThis-LogFile; ich wäre Euch dankbar, wenn Ihr einen Blick darauf werfen könntet. Insbesondere "477464178.exe" kommt mir merkwürdig vor (Suche ergab keine Ergebnisse), sowie natürlich der Eintrag in Zeile O7.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:32:37, on 12.05.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Dantz\Retrospect\retrorun.exe

C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Programme\WDC\SetIcon.exe

C:\WINDOWS\TBPanel.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Windows Defender\MSASCui.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Programme\avmwlanstick\FRITZWLANMini.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOKUME~1\Matze\LOKALE~1\Temp\477464178.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\OpenOffice.org 3\program\soffice.exe

C:\Programme\OpenOffice.org 3\program\soffice.bin

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Filzip\Filzip.exe

C:\DOKUME~1\Matze\LOKALE~1\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe

O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"

O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOKUME~1\Matze\LOKALE~1\Temp\477464178.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1604462724.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe

O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe



--

End of file - 6959 bytes


Danke im Voraus für jede Hilfe

Matze

Hab ich beim Posten irgendwas vergessen oder nicht beachtet?
Wäre nett, wenn mal jemand durch das LogFile sehen könnte.
Vielen Dank im Voraus.

Hallo und :hallo:

1.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart

2.) Lade alle ausführbaren Dateien (.exe), die sich in diesem Ordner befinden:
gemäß dieser Anleitung bei uns hoch.

3.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Danke für die Antwort. Werde das morgen im Laufe des Tages abarbeiten, und mich dann wieder melden.

Grüße

Matze

:daumenhoc

ciao, andreas

Hi Andreas,

hier, soweit möglich oder vorhanden, die Ergebnisse der empfohlenen Schritte:
-die Registry-Objekte
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
und
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
waren erst nach dem dritten Durchgang und Neustart mit HJT gefixt.

Antimalware gab folgendes Logfile:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2135
Windows 5.1.2600 Service Pack 2

15.05.2009 19:23:58
mbam-log-2009-05-15 (19-23-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|I:\|)
Durchsuchte Objekte: 198726
Laufzeit: 21 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Matze\Desktop\backups\backup-20090515-174729-162.dll (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Matze\Desktop\backups\backup-20090515-175500-754.dll (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ak1.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\frmwrk32.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\loader266.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yhs783ijfo3fe.dll (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UJO9UB\lsp[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\userinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ftp_non_crp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\p2hhr.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\loader49.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Vor dem Durchlauf waren der Ordner C:\DOKUMEnte und Einstellungen\Matze\LOKALE Einstellungen\Temp\ sowie der Punkt "Ordneroptionen" im Arbeitsplatz verschwunden; die Dateiendungen bei bekannten Dateien ausgeblendet.

Hier die Uninstall-List von HJT:

ABBYY FineReader 5.0 Sprint Plus
ACDSee 6.0 Standard
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.2 - Deutsch
Apple Software Update
Audacity 1.3.6 (Unicode)
Audiograbber 1.83 SE
Avira AntiVir Personal - Free Antivirus
Build Your Own Net Dream (remove only)
CCleaner (remove only)
DMIView
DVD Solution
EPSON CardMonitor
EPSON Copy Utility
EPSON Photo Print
EPSON PhotoStarter3.1
EPSON PRINT Image Framer Tool2.1
EPSON Scan
EPSON Smart Panel
EPSON-Drucker-Software
ETC B06.0828.01
EXPERTool
Feurio! CD-Writer
ffdshow [rev 2033] [2008-07-05]
Filzip 3.06
FLV Player
FLV Player 2.0 (build 25)
Fritz7
GIMP 2.6.5
Gothic II
Gothic II - Die Nacht des Raben
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB935448)
Hotfix für Windows XP (KB952287)
ICQ 5.1
Indeo® Software
IrfanView (remove only)
iTunes
J2SE Runtime Environment 5.0 Update 7
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Malwarebytes' Anti-Malware
MediaShow 3.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Baseline Security Analyzer 2.0.1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint Viewer 2007 (English)
Microsoft RAW Image Thumbnailer and Viewer for Windows XP Version 1.0 (Build 50)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Virtual PC 2007
Microsoft Visual C++ 2005 Redistributable
MozBackup 1.4.9
Mozilla Firefox (3.0.8)
Mozilla Thunderbird (2.0.0.21)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
muvee autoProducer 3.5 magicMoments
NVIDIA Drivers
OpenOffice.org 3.0
PC Inspector File Recovery
PhotoNow! 1.0
PIF DESIGNER2.1
Power2Go 5.0
PowerBackup 2.5
PowerDVD
PowerProducer
Prime95
Prism Video Converter
QuickTime
Real Alternative 1.52
Realtek High Definition Audio Driver
Retrospect 6.5
Samsung ML-1610 Series
ScanToWeb
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933566)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
SilverFast DC-VLT CD Dokumentation 6.4.0
SilverFast DC-VLT Dokumentation 6.4.0
SilverFast DC-VLT-SAMSUNG
Simplyzip (remove only)
SpeedFan (remove only)
Stronghold
SUPER © Version 2008.bld.30 (Mar 22, 2008)
TerraTec Home Cinema
Thermal Analysis Tool
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
V1.1b
VideoLAN VLC media player 0.8.6a
Virtual Cable Tester
WD Media Center Driver
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Defender
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 2
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
XviD MPEG-4 Codec

Sollte ich was vergessen haben, bitte melden.

Viele Grüße

Matze

Bitte surfe in der Zukunft vorsichtiger nachdem John dir geholfen hat :kloppen:
Hast dir echt nen riesiegen Malware Berg angeschafft :pfui:

Ja, böse...

Dabei hatte ich schon einiges getan, um dem zu entgehen: ntsvcfg abgearbeitet, regelmässig upgedated etc.
Ich weiß ehrlich gesagt nicht so recht, wo der ganze Mist herkommt.
Grösster und blödester Fehler war, aus Bequemlichkeit kein eingeschränktes Benutzerkonto eingerichtet zu haben... :headbang:

Ja, die sind mies, alles, was denen gefährlich werden kann, wird abgeschaltet oder kann erst gar nicht gestartet werden. :)
Der sorgt dafür, dass du regedit nicht mehr starten darfst.
Der verhindert, dass du dir alle Dateien anzeigen lassen kannst.
Das ist ganz simpel, ein gestarteter Dropper oder Downloader reichen aus, ein einziger Exploit und der ganze Mist wird nachgeladen. :)

Dann jagen wir doch gleich den nächsten hinterher:

http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung).

ciao, andreas

Hier -endlich- der SuperAntiSpyware-Scan:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/15/2009 at 10:32 PM

Application Version : 4.26.1002

Core Rules Database Version : 3895
Trace Rules Database Version: 1843

Scan type : Complete Scan
Total Scan Time : 01:28:57

Memory items scanned : 542
Memory threats detected : 0
Registry items scanned : 5383
Registry threats detected : 4
File items scanned : 114545
File threats detected : 136

Trojan.Sino-PWS/Gen
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BA40A2-74F0-42BD-F434-12345A2C8953}
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BA40A2-74F0-42BD-F434-12345A2C8953}

Rootkit.Agent/Gen-Rustock
HKLM\system\controlset001\services\ovfsthnhhfoeeskfysdtmtseuqfmdipekmouna
C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHGPIFEGMDKOSFLVXICRIUQANYMWNORSJM.SYS
HKLM\system\controlset003\services\ovfsthnhhfoeeskfysdtmtseuqfmdipekmouna

Trojan.Agent/Gen-FakeAlert
C:\DOKUMENTE UND EINSTELLUNGEN\MATZE\LOKALE EINSTELLUNGEN\TEMP\477464178.EXE

Rogue.FakeAlert/Wallpaper
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KLIN0L27\WARNING[1].GIF
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KLIN0L27\WARNING[2].GIF

Trojan.Unknown Origin
C:\WINDOWS\SYSTEM32\OVFSTHIFDKJFFOCPMPTRRKCBPGYEPTNMIMLTPS.DLL
C:\WINDOWS\SYSTEM32\OVFSTHNFNPMVWBQEVRQGWLWOHULCSHBICQLNVE.DLL

Trojan.Dropper/UserInit-Fake
C:\WINDOWS\SYSTEM32\USERINIT.EXE

Adware.Tracking Cookie
.sextracker.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
counter10.sextracker.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz11.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.sexlist.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cs.sexcounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
adserver.betandwin.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
adserver.betandwin.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.doubleclick.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.komtrack.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
as1.falkag.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.overture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.overture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.mediaplex.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.adtech.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
banner.t-online.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.adtech.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.e-2dj6wjkoehczgfo.stats.esomniture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.stats.esomniture.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.phg.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
ad.adition.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
ad.adition.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz9.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.paycounter.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
www.chickhotsex.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.atwola.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.2o7.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.imrworldwide.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.imrworldwide.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.weborama.fr [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz3.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz4.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hg1.hitbox.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.revenue.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.fastclick.net [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.realmedia.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.atdmt.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.apmebf.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.bdsmlibrary.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.bdsmlibrary.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.casalemedia.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.cz7.clickzs.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.hypercount.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.maxserving.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.maxserving.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.mediavantage.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.questionmarket.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.serving-sys.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.tribalfusion.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.z1.adserver.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
.z1.adserver.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
download.ontrack.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
image.masterstats.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
www.tripod.lycos.de [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
www1.addfreestats.com [ I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\cookies.txt ]
I:\lisa\benutzer (lisa)\Cookies\lisa@2o7[2].txt
I:\lisa\benutzer (lisa)\Cookies\lisa@adtech[2].txt
I:\lisa\benutzer (lisa)\Cookies\lisa@doubleclick[1].txt
I:\lisa\benutzer (lisa)\Cookies\lisa@indextools[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@doubleclick[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@mediaplex[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@as1.falkag[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@overture[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@bfast[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@valueclick[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@as1.falkag[3].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@hitbox[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@adserver.webchat[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@valueclick[3].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@www.zanox-affiliate[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@bluestreak[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@hg1.hitbox[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@www.clickxchange[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@ads.gorillanation[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@clickxchange[2].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@ads.adworldnetwork[1].txt
I:\lisa\alte platte\WINDOWS\Cookies\anyuser@maxserving[1].txt

Trojan.Service
I:\LISA\ALTE PLATTE\PROGRAMME\MICROSOFT MONEY\SYSTEM\SERVICE.EXE

Trojan.Dropper/Gen
I:\LISA\ALTE PLATTE\T_ONLINE\DRELREST.EXE

Trace.Known Threat Sources
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\016FC5E3\winlogon[2].htm
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\016FC5E3\winlogon[1].htm
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9YJS92N\onlinescanxpp_com[1].htm

Immer noch jede Menge Mist drin...

Ja und das wird auch nicht weniger werden, wenn du dich weiterhin auf solchen Seiten rumtreibst:
Und die Alte Platte solltest du am besten formatieren.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hier das ComboFix Log-File:

ComboFix 09-05-15.01 - Matze 15.05.2009 23:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1703 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Matze\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\jestertb.dll
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\drivers\ovfsthgpifegmdkosflvxicriuqanymwnorsjm.sys
c:\windows\system32\ovfsthcgfxbjijtjakhnlpyapembosckrmmkul.dat
c:\windows\system32\ovfsthfnnllgxipmlddlncjegsfdblrmbxabxb.dat
c:\windows\system32\ovfsthrlgtqkcsxvyrbysfnnhggqgixswbrrom.dll
c:\windows\system32\uniq.tll
I:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthnhhfoeeskfysdtmtseuqfmdipekmouna


((((((((((((((((((((((( Dateien erstellt von 2009-04-15 bis 2009-05-15 ))))))))))))))))))))))))))))))
.

2009-05-15 18:58 . 2009-05-15 18:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 18:58 . 2009-05-15 18:58 -------- d-----w c:\programme\SUPERAntiSpyware
2009-05-15 18:58 . 2009-05-15 18:58 -------- d-----w c:\dokumente und einstellungen\Matze\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 17:06 . 2009-05-15 17:06 29937 ----a-w c:\windows\system32\1wd.exe
2009-05-15 17:01 . 2009-05-15 17:01 -------- d-----w c:\dokumente und einstellungen\Matze\Anwendungsdaten\Malwarebytes
2009-05-15 17:01 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-15 17:01 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-15 17:01 . 2009-05-15 17:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-15 17:01 . 2009-05-15 17:01 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-15 16:50 . 2009-05-15 16:50 -------- d-----w c:\programme\CCleaner
2009-05-12 11:15 . 2009-05-12 11:15 142096 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-27 20:44 . 2009-04-27 20:44 -------- d-----w c:\programme\MozBackup
2009-04-27 13:45 . 2009-04-27 13:45 -------- d-----w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-04-23 05:24 . 2005-07-26 04:39 60416 -c----w c:\windows\system32\dllcache\colbact.dll
2009-04-23 05:24 . 2009-02-06 16:39 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-23 05:24 . 2009-03-06 14:44 286208 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-23 05:24 . 2009-02-09 10:18 473088 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-23 05:24 . 2009-02-09 10:18 399360 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-23 05:24 . 2009-02-09 10:04 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-23 05:24 . 2009-02-09 10:18 677888 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-23 05:24 . 2009-02-09 10:18 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-23 05:24 . 2009-02-09 10:18 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-23 05:24 . 2008-04-21 21:25 217600 -c----w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-15 18:58 . 2007-06-15 22:05 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-15 18:46 . 2008-12-23 10:50 -------- d-----w c:\programme\CyberMistress
2009-05-07 07:44 . 2007-06-16 15:01 -------- d-----w c:\programme\Mozilla Thunderbird
2009-04-29 06:01 . 2009-03-07 23:05 -------- d-----w c:\programme\Limit
2009-04-27 19:57 . 2007-06-17 11:58 -------- d-----w c:\programme\Regclean
2009-04-23 06:04 . 2002-08-29 12:00 64296 ----a-w c:\windows\system32\perfc007.dat
2009-04-23 06:04 . 2002-08-29 12:00 392676 ----a-w c:\windows\system32\perfh007.dat
2009-04-18 12:53 . 2007-06-16 14:52 -------- d-----w c:\programme\Java
2009-04-09 23:50 . 2007-11-23 12:51 -------- d-----w c:\programme\FLV Player
2009-03-09 03:19 . 2008-12-04 18:38 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:44 . 2002-08-29 12:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2002-08-29 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2007-06-16 08:05 78336 ----a-w c:\windows\system32\ieencode.dll
2006-05-03 09:06 . 2008-05-06 20:08 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-05-06 20:08 31232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 12:43 . 2008-05-06 20:08 27648 --sh--w c:\windows\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Seticons"="\Programme\WDC\SetIcon.exe" [2004-04-28 42496]
"Gainward"="c:\windows\TBPanel.exe" [2006-09-14 2162688]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-08-11 7630848]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2007-06-01 257088]
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2007-05-31 1073152]
"EPSON Stylus Photo RX500"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE" [2003-09-12 99840]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"WD Button Manager"="WDBtnMgr.exe" - c:\windows\system32\WDBtnMgr.exe [2007-06-15 331776]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-11 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-08-11 86016]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-07-21 16261632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Matze\Startmen�\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrSetup.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\ChannelEditor\\CinergyDvrChannelEditor.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [27.09.2007 20:11 265088]
R3 inibtmgr;WD Bridge Controller Driver;c:\windows\system32\drivers\inibtmgr.sys [16.06.2007 00:05 9728]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [27.09.2007 20:11 4352]
S3 MarkFun_NT;MarkFun_NT;\??\c:\programme\Gigabyte\ET5\markfun.w32 --> c:\programme\Gigabyte\ET5\markfun.w32 [?]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
S3 SmsBdaT;Cinergy Piranha - DVB-T BDA;c:\windows\system32\drivers\SmsBdaT.sys [30.06.2007 21:28 15488]
S3 SmsDvbR;Cinergy Piranha - Digital Video Router;c:\windows\system32\drivers\SmsDvbR.sys [30.06.2007 21:28 24448]
S3 SmsUsbG;Cinergy Piranha - USB Generic Driver;c:\windows\system32\drivers\SmsUsbG.sys [30.06.2007 21:28 14080]
.
Inhalt des "geplante Tasks" Ordners

2008-09-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-05-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Power2GoExpress - (no file)
HKU-Default-Run-Windows Resurections - c:\windows\TEMP\jeec8ed.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.metager.de/meta/cgi-bin/mg-perein.pl?mg_version=10&mm=and&maxtreffer=200&time=2&hitsPerServer=2&textmenge=2&wissRank=on&wikiboost=on&QuickTips=beschleuniger&synonyme=on&linkTest =no&check_time=3&dmoz=on&exalead=on&suchclip=on&wikipedia=on&yacy=on&witch=on&overture=on&fastbot=on&metarss=on&Nachrichten=on&mrwong=on&firstsfind=on &atsearch=on&qualigo=on&msn=on&yahoo=on&bildersuche=on&audioclipping=on&komercatv=on&zoggle=on&ebay=on&ecoshopper=on&marktjagd=on&eurobuch=on&dmozint= on&onlinks=on&usunis=on&plazoo=on&firstsfind_int=on&dest=bookmark
FF - plugin: c:\programme\BYOND\bin\npbyond.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbyond.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-15 23:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
"ImagePath"="\??\c:\programme\Gigabyte\ET5\markfun.w32"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1248)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-05-15 23:12
ComboFix-quarantined-files.txt 2009-05-15 21:12

Vor Suchlauf: 11 Verzeichnis(se), 33.795.567.616 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 33.784.594.432 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

172 --- E O F --- 2009-04-25 23:27

Nach Neustart war das Fritz Wlan-Programm nicht mitgestartet, und Firefox nicht mehr der Standard-Browser. Ist das normal?
Die "Alte Platte" auf Laufwerk I ist eine Sicherung von einem anderen Rechner; auf die hab ich noch nie zugegriffen. Trotzdem löschen?

Ich merke gerade, daß ich unaufmerksam war: hab die Sysdtemwiederhertsellungskonsolenabfrage doch mit "Ja" beantwortet.
Alles nochmal?

Ja, ComboFix ändert eine Menge Einstellungen, die üblicherweise von Schädlingen geändert werden. Da nichts bei denken.
Das sollst du auch, du sollst sie nur eben nicht so installieren, wie es in der Anleitung beschrieben ist. Passt schon.
Die scheint mir ziemlich verseucht zu sein und wenn du noch nie darauf zugegriffen hast, wozu soll die dann gut sein. Nein, formatieren musst du gar nichts, zumindest noch nicht. Und dazu sage ich jetzt lieber nichts:
1.) Start => Ausführen => combofix /u => OK

2.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

Musst Du ja auch nicht.

Hier das erste Logfile von RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Matze at 2009-05-15 23:56:10
Microsoft Windows XP Professional Service Pack 2
System drive C: has 32 GB (65%) free of 50 GB
Total RAM: 2046 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:11, on 15.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Matze\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\Matze\Desktop\Matze.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

--
End of file - 5392 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{AD6E6555-FB2C-47D4-8339-3E2965509877} - &TerraTec Home Cinema - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL [2007-04-20 527360]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WD Button Manager"=C:\WINDOWS\system32\WDBtnMgr.exe [2007-06-16 331776]
"Seticons"=\Programme\WDC\SetIcon.exe [2004-04-28 42496]
"Gainward"=C:\WINDOWS\TBPanel.exe [2006-09-14 2162688]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2006-08-11 7630848]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-07-21 16261632]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [2005-01-12 32768]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2007-06-01 257088]
"TerraTec Remote Control"=C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe [2007-05-31 1073152]
"EPSON Stylus Photo RX500"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE [2003-09-12 99840]
"Samsung Common SM"=C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe [2005-07-03 372736]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-09-06 413696]
"AVMWlanClient"=C:\Programme\avmwlanstick\FRITZWLANMini.exe [2007-02-02 283136]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneV]
C:\Programme\Gigabyte\ET5\GUI.exe []

C:\Dokumente und Einstellungen\Matze\Startmenü\Programme\Autostart
OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WIFD1F~1\MpShHook.dll [2006-11-03 83224]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvrSetup.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvrSetup.exe:*:Enabled:TerraTec Home Cinema (Setup)"
"C:\Programme\TerraTec\TerraTec Home Cinema\tvtvSetup\tvtv_Wizard.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\tvtvSetup\tvtv_Wizard.exe:*:Enabled:TerraTec tvtv Setup"
"C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvr.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\CinergyDvr.exe:*:Enabled:TerraTec Home Cinema"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Programme\TerraTec\TerraTec Home Cinema\ChannelEditor\CinergyDvrChannelEditor.exe"="C:\Programme\TerraTec\TerraTec Home Cinema\ChannelEditor\CinergyDvrChannelEditor.exe:*:Enabled:TerraTec ChannelEditor"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-05-15 23:56:10 ----D---- C:\rsit
2009-05-15 23:12:49 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-15 23:12:49 ----A---- C:\ComboFix.txt
2009-05-15 23:05:49 ----A---- C:\Boot.bak
2009-05-15 23:05:40 ----RASHD---- C:\cmdcons
2009-05-15 23:04:29 ----D---- C:\WINDOWS\ERDNT
2009-05-15 20:58:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 20:58:48 ----D---- C:\Programme\SUPERAntiSpyware
2009-05-15 20:58:48 ----D---- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-15 19:06:12 ----A---- C:\WINDOWS\system32\1wd.exe
2009-05-15 19:01:24 ----D---- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes
2009-05-15 19:01:20 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-15 19:01:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-15 18:50:20 ----D---- C:\Programme\CCleaner
2009-04-27 22:44:22 ----D---- C:\Programme\MozBackup
2009-04-23 07:28:20 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-04-23 07:28:15 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-04-23 07:26:34 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-04-23 07:26:24 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-04-23 07:26:14 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-04-23 07:26:01 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$

======List of files/folders modified in the last 1 months======

2009-05-15 23:55:45 ----D---- C:\WINDOWS
2009-05-15 23:55:39 ----D---- C:\WINDOWS\system32
2009-05-15 23:55:35 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-15 23:55:35 ----D---- C:\WINDOWS\Prefetch
2009-05-15 23:50:00 ----A---- C:\WINDOWS\Filzip.ini
2009-05-15 23:20:18 ----D---- C:\Programme\Mozilla Firefox
2009-05-15 23:17:37 ----D---- C:\WINDOWS\Temp
2009-05-15 23:12:32 ----SD---- C:\WINDOWS\Tasks
2009-05-15 23:11:54 ----A---- C:\WINDOWS\system.ini
2009-05-15 23:11:17 ----D---- C:\WINDOWS\system32\drivers
2009-05-15 23:11:17 ----D---- C:\WINDOWS\AppPatch
2009-05-15 23:11:16 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-15 23:09:16 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-05-15 23:06:28 ----A---- C:\WINDOWS\DFC.INI
2009-05-15 23:05:49 ----RASH---- C:\boot.ini
2009-05-15 23:01:11 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-05-15 20:58:55 ----SHD---- C:\WINDOWS\Installer
2009-05-15 20:58:48 ----RD---- C:\Programme
2009-05-15 20:58:10 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-15 20:46:33 ----D---- C:\Programme\CyberMistress
2009-05-15 20:27:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-05-15 18:52:49 ----D---- C:\WINDOWS\Debug
2009-05-15 17:49:54 ----D---- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\gtk-2.0
2009-05-07 09:44:11 ----D---- C:\Programme\Mozilla Thunderbird
2009-04-29 08:01:24 ----D---- C:\Programme\Limit
2009-04-27 22:37:33 ----HD---- C:\WINDOWS\inf
2009-04-27 21:57:03 ----D---- C:\Programme\Regclean
2009-04-23 08:04:04 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-04-23 07:59:43 ----D---- C:\WINDOWS\system32\wbem
2009-04-23 07:28:08 ----D---- C:\WINDOWS\system32\de-de
2009-04-23 07:28:08 ----D---- C:\Programme\Internet Explorer
2009-04-23 07:26:30 ----HD---- C:\WINDOWS\$hf_mig$
2009-04-18 14:53:32 ----D---- C:\Programme\Java

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-11-11 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-16 21248]
R1 vmm;Virtual Machine Monitor; \??\C:\WINDOWS\system32\Drivers\vmm.sys []
R2 DgiVecp;Team MFP Comm Driver; C:\WINDOWS\System32\Drivers\DgiVecp.sys [2004-05-17 41984]
R2 TBPanel;TBPanel; C:\WINDOWS\system32\drivers\TBPanel.sys [2002-07-27 5306]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
R3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-01-26 265088]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 inibtmgr;WD Bridge Controller Driver; C:\WINDOWS\System32\DRIVERS\inibtmgr.sys [2003-12-08 9728]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-07-24 4353024]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2007-06-16 9856]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 VPCNetS2;Virtual Machine Network Services Driver; C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys [2007-01-29 59280]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\System32\DRIVERS\yk51x86.sys [2006-07-12 248192]
R4 catchme;catchme; \??\C:\DOKUME~1\Matze\LOKALE~1\Temp\catchme.sys []
S3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2007-01-26 4352]
S3 Cardex;Cardex; \??\C:\WINDOWS\system32\drivers\TBPANEL.SYS []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 MarkFun_NT;MarkFun_NT; \??\C:\Programme\Gigabyte\ET5\markfun.w32 []
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 SmsBdaT;Cinergy Piranha - DVB-T BDA; C:\WINDOWS\system32\DRIVERS\SmsBdaT.sys [2007-05-20 15488]
S3 SmsDvbR;Cinergy Piranha - Digital Video Router; C:\WINDOWS\system32\DRIVERS\SmsDvbR.sys [2007-05-20 24448]
S3 SmsUsbG;Cinergy Piranha - USB Generic Driver; C:\WINDOWS\system32\DRIVERS\SmsUsbG.sys [2007-03-15 14080]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2006-08-11 155715]
R2 RetroLauncher;Retrospect Launcher; C:\Programme\Dantz\Retrospect\retrorun.exe [2003-11-12 49152]
R2 RetroWDSvc;Retrospect WD Service; C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe [2004-01-26 46592]
R2 WinDefend;Windows Defender; C:\Programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S3 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2007-06-01 501312]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]

-----------------EOF-----------------

...und hier das gekürzte info-file:

info.txt logfile of random's system information tool 1.06 2009-05-15 23:56:12

======Uninstall list======

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0B21B14F-403B-442E-86E1-3A912D70033D}\Setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11E83B33-972B-4512-A447-FF0FD0246EE9}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BFBC62A-3353-443D-93BE-7AC641D9F342}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3C1B8CBC-9118-11D7-86D3-00055DF3561E}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B100B05B-E290-41EF-9366-8BC4C76D7769}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FAD9402A-1A9B-4ABE-A410-393A3622FA5A}\setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader 5.0 Sprint Plus-->MsiExec.exe /X{D1696920-9794-4BBC-8A30-7A88763DE5A2}
ACDSee 6.0 Standard-->MsiExec.exe /I{083C54E1-22E9-415F-9CB8-3A8A31905305}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Audacity 1.3.6 (Unicode)-->"C:\Programme\Audacity 1.3 Beta (Unicode)\unins000.exe"
Audiograbber 1.83 SE -->"C:\Programme\Audiograbber\Uninstall.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Build Your Own Net Dream (remove only)-->C:\Programme\BYOND\Uninst.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
DMIView-->C:\WINDOWS\IsUninst.exe -fC:\Programme\Gigabyte\DMIView\Uninst.isu
DVD Solution-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
EPSON CardMonitor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x7 uninst
EPSON Copy Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B69CC1A5-0404-11D6-ABCB-005004C21D30}\setup.exe" -l0x7 ADDREMOVEDLG
EPSON Photo Print-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1349B2BD-3B1E-4D25-BF6E-1BBAE2DD2F67}\setup.exe" -l0x7 MyUninstall
EPSON PhotoStarter3.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x7 uninst
EPSON PRINT Image Framer Tool2.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
EPSON Scan-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E0131B2-CF18-40D9-A331-60A3746C1204}\SETUP.EXE" -l0x7 UNINSTALL
EPSON Smart Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x7 Uninstall
EPSON-Drucker-Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /r
ETC B06.0828.01-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9C6105B4-2A33-4ADB-89A0-F423D562F3B9}\setup.exe" -l0x9 -removeonly
EXPERTool-->RunDll32 Setupapi.dll,InstallHinfSection TB.Remove 4 TBNT4.inf
Feurio! CD-Writer-->msvcrt.dll
ffdshow [rev 2033] [2008-07-05]-->"C:\Programme\ffdshow\unins000.exe"
Filzip 3.06-->"C:\Programme\Filzip\unins000.exe"
FLV Player 2.0 (build 25)-->C:\Programme\FLV Player\uninst.exe
FLV Player-->"C:\WINDOWS\FLV Player\uninstall.exe" "/U:C:\Programme\FLV Player\Uninstall\uninstall.xml"
Fritz7-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D952A9F5-E24D-4264-86B7-79160E361EE8}\Setup.exe"
GIMP 2.6.5-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Gothic II - Die Nacht des Raben-->C:\PROGRA~1\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~1\JoWooD\GOTHIC~1\INSTALL.LOG
Gothic II-->C:\PROGRA~1\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~1\JoWooD\GOTHIC~1\INSTALL.LOG
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Matze\Desktop\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ 5.1-->C:\Programme\ICQLite\ICQLiteUninstall.EXE
Indeo® Software-->C:\WINDOWS\IsUninst.exe -fC:\Programme\Ligos\Indeo\Uninst.isu -c"C:\Programme\Ligos\Indeo\Indeo System Files\indounin.dll"
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
iTunes-->MsiExec.exe /I{553E56C3-7AA1-45FE-A2FC-2C43DC27F765}
J2SE Runtime Environment 5.0 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150070}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MediaShow 3.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D5A9B7C0-8751-11D8-9D75-000129760D75}\setup.exe" -uninstall
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Baseline Security Analyzer 2.0.1-->MsiExec.exe /I{7F231232-C309-4401-964A-2A002B6E1ED9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office PowerPoint Viewer 2007 (English)-->MsiExec.exe /X{95120000-00AF-0409-0000-0000000FF1CE}
Microsoft RAW Image Thumbnailer and Viewer for Windows XP Version 1.0 (Build 50)-->MsiExec.exe /X{2E5A5B57-57FC-4C79-A239-9DB280ADEC2A}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Virtual PC 2007-->MsiExec.exe /X{8A7CAA24-7B23-410B-A7C3-F994B0944160}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MozBackup 1.4.9-->C:\Programme\MozBackup\Uninstall.exe
Mozilla Firefox (3.0.8)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.21)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96}
muvee autoProducer 3.5 magicMoments-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{68AD6F25-07A0-4CFE-9555-A30633329B08}\Setup.exe" -l0x7
NVIDIA Drivers-->C:\WINDOWS\System32\nvudisp.exe UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
PC Inspector File Recovery-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe" -l0x7
PhotoNow! 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.exe" -uninstall
PIF DESIGNER2.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59B9F-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
Power2Go 5.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" -uninstall
PowerBackup 2.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ADD5DB49-72CF-11D8-9D75-000129760D75}\setup.exe" -uninstall
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
PowerProducer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe" -uninstall
Prime95-->"C:\Programme\Prime95\Uninstall.exe" "C:\Programme\Prime95\install.log"
Prism Video Converter-->C:\Programme\NCH Software\Prism\uninst.exe
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
Real Alternative 1.52-->"C:\Programme\Real Alternative\unins000.exe"
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x7 -removeonly
Retrospect 6.5-->MsiExec.exe /I{73B69C5C-87D6-471E-B695-0BD736C4B644}
Samsung ML-1610 Series-->C:\WINDOWS\Samsung\ML-1610\SETUP.EXE
ScanToWeb-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\setup.exe" ADDREMOVEDLG
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
...

...
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
SilverFast DC-VLT CD Dokumentation 6.4.0-->"C:\Programme\LaserSoft\unins000.exe"
SilverFast DC-VLT Dokumentation 6.4.0-->"C:\Programme\LaserSoft\Documentation\DCPro\D\unins000.exe"
SilverFast DC-VLT-SAMSUNG-->"C:\Programme\LaserSoft\SilverFast DC-VLT-SAMSUNG\unins000.exe"
Simplyzip (remove only)-->C:\Programme\Simplyzip\Uninst.exe
SpeedFan (remove only)-->"C:\Programme\SpeedFan\uninstall.exe"
Stronghold-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C917BA70-28A3-4C74-B163-41FD8C8E1A5A}\setup.exe"
SUPER © Version 2008.bld.30 (Mar 22, 2008)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TerraTec Home Cinema-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63B9BAB5-F36A-4A3B-9E5C-68A7F212BFB9}\setup.exe" -l0x7
Thermal Analysis Tool-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6B2C675E-8040-431B-99C4-137DF4FBF75A}\setup.exe" -l0x9 -removeonly
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
...

...
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
V1.1b-->"C:\Programme\CyberMistress\unins004.exe"
VideoLAN VLC media player 0.8.6a-->C:\Programme\VideoLAN\VLC\uninstall.exe
Virtual Cable Tester-->MsiExec.exe /X{3D654496-9C3D-4565-858C-3E551ECDA4E2}
WD Media Center Driver-->MsiExec.exe /X{3F70FB44-FD00-4ED2-9154-661AA9DB0B28}
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Windows Defender-->MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
XviD MPEG-4 Codec-->"C:\Programme\XviD\UninstXviD.exe"

=====HijackThis Backups=====

O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOKUME~1\Matze\LOKALE~1\Temp\477464178.exe [2009-05-15]
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1604462724.exe (User 'SYSTEM') [2009-05-15]
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]

======Security center information======

AV: Avira AntiVir PersonalEdition (disabled)

======System event log======

Computer Name: LIANLI
Event Code: 3005
Message: Windows-Defender Real-Time Protection agent has taken action to protect this machine from spyware or other potentially unwanted software.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {338BE503-924B-45F5-9ABF-BB511E1BDAFA}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Alert Type: Nicht klassifizierte Software

Action: Ignorieren

Record Number: 8594
Source Name: WinDefend
Time Written: 20090427171811.000000+120
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 3004
Message: Windows-Defender Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. Windows-Defender can't undo changes that you allow.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {338BE503-924B-45F5-9ABF-BB511E1BDAFA}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Path Found: clsid:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};bho:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};file:C:\WINDOWS\system32\yhs783ijfo3fe.dll

Alert Type: Nicht klassifizierte Software

Detection Type:

Record Number: 8593
Source Name: WinDefend
Time Written: 20090427171811.000000+120
Event Type: Warnung
User:

Computer Name: LIANLI
Event Code: 3005
Message: Windows-Defender Real-Time Protection agent has taken action to protect this machine from spyware or other potentially unwanted software.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {C36FCDAB-9401-4BE5-A2C1-9753A238FF72}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Alert Type: Nicht klassifizierte Software

Action: Ignorieren

Record Number: 8592
Source Name: WinDefend
Time Written: 20090427171041.000000+120
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 3004
Message: Windows-Defender Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. Windows-Defender can't undo changes that you allow.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {C36FCDAB-9401-4BE5-A2C1-9753A238FF72}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Path Found: clsid:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};bho:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};file:C:\WINDOWS\system32\yhs783ijfo3fe.dll

Alert Type: Nicht klassifizierte Software

Detection Type:

Record Number: 8591
Source Name: WinDefend
Time Written: 20090427171041.000000+120
Event Type: Warnung
User:

Computer Name: LIANLI
Event Code: 3005
Message: Windows-Defender Real-Time Protection agent has taken action to protect this machine from spyware or other potentially unwanted software.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {DAAE1800-9435-4ECC-9845-61A0DCC21FCD}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Alert Type: Nicht klassifizierte Software

Action: Ignorieren

Record Number: 8590
Source Name: WinDefend
Time Written: 20090427170850.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: LIANLI
Event Code: 1524
Message: Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.



Record Number: 2520
Source Name: Userenv
Time Written: 20080204232639.000000+060
Event Type: Warnung
User: LIANLI\Matze

Computer Name: LIANLI
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2519
Source Name: LoadPerf
Time Written: 20080204162620.000000+060
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 2518
Source Name: LoadPerf
Time Written: 20080204162620.000000+060
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 0
Message:
Record Number: 2517
Source Name: iPod Service
Time Written: 20080204162235.000000+060
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 3002
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurde ein Fehler festgestellt. Er konnte daraufhin nicht gestartet werden

Benutzer: LIANLI\Matze

Agent: AutoStartAgent

Fehlercode: 0x8007139f

Fehlerbeschreibung: Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.

Record Number: 2516
Source Name: WinDefendRtp
Time Written: 20080204162234.000000+060
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=0f02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------

Lade bitte in der Zwischenzeit diese Datei bei uns hoch:
ciao, andreas

Kaspersky loaded das Update der Virendatenbank runter. 55 MB und eine sehr langsame Verbindung, das wird also noch mindestens eine halbe Stunde dauern.

Macht nichts, habe noch jede Menge Aufgaben für dich, die du zwischendurch abarbeiten kannst.

Erstelle ein Filelisting.

• Lade die Datei File-Upload.net - listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

1wd.exe ist hoch.

Der Link zu listing.txt:

http://www.materialordner.de/GgYXcs3T7lZdOePirFkuyvvCMVey3K8y.html

Und wieder etwas ganz neues, das noch kaum jemand entdeckt:

Irgendwie bin ich mir ziemlich sicher, dass es nicht der letzte Fund ist. :(

ciao, andreas

Vielleicht sollte ich doch einfach die Partition plattmachen und Windows neu aufspielen. Schheint ja kein Ende zu nehmen.

Ja, gut das du das vorschlägst. Lade vorher noch diese hier hoch:
Kannst du dich erinnern, wie das ganze angefangen hat? Irgendein Download? Ich bin noch immer auf der Suche nach der Ursache, der Rustock nimmt langsam überhand hier.

ciao, andreas

Nee, kann die Probleme nicht an einer Aktion festmachen. Das System ist zwei Jahre gelaufen; und ich dachte ja auch, ich hätte was für die Sicherheit getan. Kam schlagartig.

Hm, schade, muss ich weiter suchen, irgendwann komme ich schon drauf, aber bei dir sieht es mehr nach Exploit aus. Mit welchem Browser bist du normalerweise unterwegs? Benutzt du auch ab und zu den MSIE?

Neuaufsetzen oder Bereinigen liegt jetzt bei dir, aber du hast ja selbst gesehen, Kaspersky erkennt das Teil noch nicht, Avira genausowenig. Prevx würde folgen, aber der hat in einem anderen Fall so viele FPs (Falschmeldungen) rausgehauen, dass es schon nicht mehr feierlich war.

Dann bitte ich dich noch um einen Gefallen, packe den Ordner C:\Qoobox (da sind die Funde von Combofix drin) mit ZIP oder RAR, schalte aber vorher deinen Virenwächter ab und danach gleich wieder an, lade es bei einem Filehoster hoch und schicke mir den Link als PN.

ciao, andreas

C:\Qoobox finde ich nicht; auch der Suchassistent nicht (Suche Dateien/Ordner Arbeitsplatz).
Browser ist Firefox 3.08, IE so gut wie nie, und wenn, ohne ActiveX.
Macht es Sinn, auf Kaspersky online zu warten? Der Download steht jetzt bei 50%.

Kannst du auch nicht, ich habe es längst deinstallieren lassen. :headbang:
Einmal die falsche Adresse aufrufen oder ein falscher Klick reicht, wie bei diesem Fall hier: netzwelt.de Forum - Einzelnen Beitrag anzeigen - Neuling hat Probleme bei Pro7 Videos
Nein.

Weil es schneller geht und sicherer ist: http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Der Vollständigkeit halber hier noch der Kaspersky-Scan:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 16. Mai 2009 11:40:59
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 15/05/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1977643
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
G:\
H:\
I:\
J:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 120620
Viren gefunden: 12
Infizierte Objekte gefunden: 55
Verdächtige Objekte gefunden: 14
Untersuchungszeit: 01:35:22

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-06172007-140042.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Citizens Bank and Charter One Bank" <businessclients.refLW2180][Date 14 Aug 2007 01:20:20 +0200 (add][Subj Citizens Bank and Charter One Bank: confirm your details! (mess]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Citizens bank" <clientserviceteam.refU3419342048H.gps@citizens][Date 5 Sep 2007 00:35:32 +0200 (adde][Subj Citizens Bank customer service: security issues! (message id: T]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
...
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip/Mahnung/Mahnung.pif Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox MailBerkeleymbox: infiziert - 16, verdächtig - 7 übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Elektra heilmann " <tenis-request@sportsya.com>][Date 24 Oct 2008 13:38:32][Subj Inkasso]/Rechnung.zip/zertifikat.ssl Infizierte Objekte: Worm.Win32.Downloader.wh übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Elektra heilmann " <tenis-request@sportsya.com>][Date 24 Oct 2008 13:38:32][Subj Inkasso]/Rechnung.zip Infizierte Objekte: Worm.Win32.Downloader.wh übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Sonia ehlen " <jwq@boomtownmail.com>][Date 24 Oct 2008 20:56:25][Subj Inkasso]/Anhang.zip/Rechnung.scr Infizierte Objekte: Trojan-Downloader.Win32.Agent.algj übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Sonia ehlen " <jwq@boomtownmail.com>][Date 24 Oct 2008 20:56:25][Subj Inkasso]/Anhang.zip Infizierte Objekte: Trojan-Downloader.Win32.Agent.algj übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip/Mahnung/Mahnung.pif Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash MailBerkeleymbox: infiziert - 6 übersprungen
C:\Dokumente und Einstellungen\Matze\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\temp\etilqs_69EYcSOJbbARdewJGk12 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009051620090517\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UJO9UB\lsp[2].exe Infizierte Objekte: Trojan-Downloader.Win32.FraudLoad.ekj übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_764.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\Mail\pop3.lycos.de\Inbox/[From "Stefan Knerrich" <stefan.knerrich@web.de>][Date 29 Apr 2003 19:14:48][Subj JOVUUE]/COHEJ.JPG.zlv Infizierte Objekte: Email-Worm.VBS.LoveLetter übersprungen
I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\Mail\pop3.lycos.de\Inbox MailBerkeleymbox: infiziert - 1 übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Inbox/[From "Citizens Bank and Charter One Bank" <businessclients.refLW2180][Date 14 Aug 2007 01:20:20 +0200 (add][Subj Citizens Bank and Charter One Bank: confirm your details! (mess]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
...
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip/Mahnung/Mahnung.pif Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Trash Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv ZIP: infiziert - 24, verdächtig - 7 übersprungen
I:\Mail\pop.web.de\Inbox/[From "Sparkassen-Finanzportal GmbH" <sparkasse-amberg-sulzbach@t-onl][Date 25 Jun 2006 21:12:19][Subj Achtung! Fur alleSparkassen-Finanzportal GmbH Kunden]/html Infizierte Objekte: Trojan-Spy.HTML.Sparfraud.g übersprungen
I:\Mail\pop.web.de\Inbox/[From "Sparkassen-Finanzportal GmbH" <root@sparkasse-emh.de>][Date 22 Aug 2006 05:42:52][Subj Wichtige Mitteilung der Sicherheitsteam der Sparkasse]/html Infizierte Objekte: Trojan-Spy.HTML.Sparfraud.g übersprungen
I:\Mail\pop.web.de\Inbox MailBerkeleymbox: infiziert - 2 übersprungen

Die Untersuchung wurde abgeschlossen.

Die Mails können nicht die Ursache sein, da ich sie in Thunderbird grundsätzlich nur im Textmodus öffne -und solche wie die genannten sowieso nicht.
Du hast recht, ich werde das System neu aufsetzen, desinfizieren hat keinen Sinn.
Bezüglich dessen: alle im Link genannten Sicherheitshinweise -bis auf das eingeschränkte Konto- hatte ich beachtet: hätte damit das Chaos vermieden werden können? (auf das Problem vor dem Bildschirm brauchst Du mich nicht noch einmal hinzuweisen...)

Das ist doch schonmal ein guter Anfang.
Es geht hauptsächlich um die Zeit. Da ich keinen klaren Anhaltspunkt habe, kommt mir jede Datei und jeder Ordner mittlerweile verdächtig vor.
Klicke auf die letzten beiden Links in meiner Signatur und lies alles aufmerksam. Ich habe nach allen üblichen Einfallstoren gesucht. Mehr als 90% unserer "Kunden" infizieren sich, weil sie sich bei meiner "Anleitung" an Punkt 1 und 6 halten. Bei dir ist dafür aber nicht der geringste Hinweis zu finden. Du benutzt kein Torrent, das sind keine Keygens, Cracks o.ä. Allerdings finden sich zahlreiche Hinweise auf den Punkt 7. Darüber einfach mal nachdenken. Also ich sehe jetzt nur zwei Möglichkeiten:

1.) Exploits, schlicht und ergreifend nicht mit dem MSIE surfen, niemals (einzige Ausnahme, Windowsupdates und Onlinevirenscans).

2.) Codecs oder Mediaplayer (bei dir findet sich der FLV Player, an sich legitim, aber die Schädlinge tarnen sich gerne so), die einem besonders gerne auf Schmuddelseiten untergejubelt werden.

Wenn du es schon kennst, dann ist das ein guter weiterer Schritt zum Leben ohne Kompromittierung. :)

Und jetzt: http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen. :)

ciao, andreas

Danke Dir sehr für Deine Geduld und Hilfe.

Viele Grüße

Matze