Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Extrem Nervende Probleme! (https://www.trojaner-board.de/80278-extrem-nervende-probleme.html)

freeminits 11.12.2009 17:08
Extrem Nervende Probleme!
 
Ständig öffnet sich der internet explorer automatisch und zeigt i-welche werbung, meine windowseinstellungen verändert sich (z.b verschwindet die schnellstart-leiste, der media player lässt sich nicht mehr in einen mini-player minimieren etc etc).. ich hab versucht den internetexplorer zu löschen aber kaum lösch ich eine datei vom installationsverzeichnis des IE, schon erscheint die datei automatisch wieder :teufel1: außerdem benutz ich nieee IE, sondern immer firefox..


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:39, on 11.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\msa.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.***-mannheim.de:3***
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DelReg] C:\Programme\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DualCoreCenter.lnk = C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6671 bytes

kira 12.12.2009 18:54
Hallo und Herzlich Willkommen! :)

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow

freeminits 12.12.2009 19:10
danke für die antwort, habe das problemmit den viren etc aber jetzt beseitigt bekommen..

nur hab ich jetzt ein ganz anderes problem, und zwar stimmt etwas nicht mit den windows DIENSTEN (windows audio, kryptographiedienst, designs und und und)
das is DIE katastrophe schlecht hin:
ich kann nicht ins internet..
das hässlichste klassik-design überhaupt, verändern geht net..
kein sound mehr "es ist kein audio gerät installiert"...
(wie gesagt) uund und und..

die dienste lassen sich auch nicht einfach starten, sofort kommen fehler wie: Fehler 1053: Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung aber auch andere..

:pukeface:

kira 13.12.2009 08:07
Zitat:
Zitat von freeminits (Beitrag 486631)
danke für die antwort, habe das problemmit den viren etc aber jetzt beseitigt bekommen..
wie denn?
Zitat:
Zitat von freeminits (Beitrag 486631)
nur hab ich jetzt ein ganz anderes problem, und zwar stimmt etwas nicht mit den windows DIENSTEN (windows audio, kryptographiedienst, designs und und und)
das is DIE katastrophe schlecht hin:
ich kann nicht ins internet..
das hässlichste klassik-design überhaupt, verändern geht net..
kein sound mehr "es ist kein audio gerät installiert"...
(wie gesagt) uund und und..

die dienste lassen sich auch nicht einfach starten, sofort kommen fehler wie: Fehler 1053: Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung aber auch andere..
anscheinend doch nicht hinbekommen...

ohne die angeforderten Daten, kann gar nichts dazu sagen...-> http://www.trojaner-board.de/80278-e...tml#post486625

oder kannst noch folgendes versuchen:
1.
Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Zitat:
Windows ME,XP u. Vista enthält ein Programm zur Systemwiederherstellung ( Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Beim Ausführen der Systemwiederherstellung gehen keine persönlichen Dateien oder Kennwörter verloren. Dokumente, E-Mail-Nachrichten, Browserverlaufsdateien und die eingegebenen Kennwörter werden gespeichert, wenn Sie mithilfe der Systemwiederherstellung einen früheren Zustand wiederherstellen.
Die Systemwiederherstellung schützt Ihre persönlichen Dateien, indem Dateien im Ordner Eigene Dateien nicht wiederhergestellt werden. Darüber hinaus werden keine Dateien mit bekannten Dateinamenerweiterungen, wie DOC oder XLS, wiederhergestellt. Falls Sie nicht sicher sind, ob Ihre persönlichen Dateien bekannte Dateierweiterungen aufweisen, und Sie diese von der Systemwiederherstellung ausschließen möchten, speichern Sie sie im Ordner Eigene Dateien.
Falls ein Programm nach dem ausgewählten Wiederherstellungspunkt installiert wurde, kann das Programm im Rahmen der Wiederherstellung deinstalliert werden. Die mit diesem Programm erstellten Datendateien gehen nicht verloren. Um die Dateien wieder öffnen zu können, müssen Sie jedoch das entsprechende Programm erneut installieren.
Zitat:
Windows erstellt automatisch alle 24 Stunden automatisch einen Wiederherstellungspunkt -
Automatisch erstellte Wiederherstellungspunkte - bei Treiberinstallationen auch
Wiederherstellungspunkte (RP) werden erstellt, damit Benutzer zu früheren Systemzuständen zurückkehren können. Jeder Wiederherstellungspunkt erfasst die erforderlichen Daten für eine Wiederherstellung eines bestimmten Systemzustands. Wiederherstellungspunkte werden vor größeren Änderungen im System erstellt. Da diese Punkte automatisch erstellt werden, müssen Benutzer sie nicht manuell erzeugen (sofern sie dies nicht bewusst möchten).
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

oder:
2.
Den Computer mit der letzten als funktionierend bekannten Konfiguration starten
Methode D: Letzte als funktionierend bekannte Konfiguration aufrufen

freeminits 13.12.2009 20:58
habe die viren(?!) wie a.exe, b.exe, c.exe msa.exe sshnas.exe etc sowohl auf der festplatte, als auch in der registry fündig gemacht, und diese (inklusive ihrer abhängigkeiten) gelöscht bzw. in 'die quarantäne' gesteckt..
musste letzen endes diesen manuellen weg gehen weil kein antiVir programm was finden konnte..

danach hab ich ccleaner, drWeb und avast nomma drüberlaufen lassen, und meine pc war schneller und besser wie vorher (vor den viren).. :Boogie:

und das mit den diensten hab ich mir selber zuzuschreiben, hab nach der ganzen aktion noch stundenlang in der systemsteuerung gefummelt (u.a. hab ich halt unter software - 'windows komponenten hinzufügen/entfernen') alles entfernt, auch der ccleaner zeigte mir daten bei der registry untersuchung, bei denen ich mir net sicher war ob sie wirklich gelöscht werden sollten - habs aber getan :crazy:


systemwiederherstellung war das erste woran ich gedacht hab, aber selbst das geht nicht mehr; kommt direkt ne fehlermeldung 'Die Systemwiederherstellung kann den Computer nicht sichern. Starten Sie den Computer neu und führen Sie die Systemwiederherstellung erneut aus' (als ob das geklappt hätte, windows halt)

das 2. probier ich ma grad eben, die angeforderten daten kommen gleich mit

freeminits 14.12.2009 00:07
Letzte als funktionierend bekannte Konfiguration ist genau der selbe mist, die dienste sind net da...
und bei ccleaner unter systemwiederherstellung steht in klammern: der aktuellste punkt ist zur systemsicherheit deaktiviert :/
aber hier die Daten erstma:

filelist:
Code:
----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\

13.12.2009  21:17                43 filelist.txt
13.12.2009  21:10    2.145.386.496 pagefile.sys
12.12.2009  01:34              223 boot.ini
22.10.2009  23:59            54.178 test.log
22.09.2009  01:03                86 Setup.log
22.09.2009  01:03                50 AUTOEXEC.BAT
22.09.2009  01:01              159 SetupLCVI.log
21.09.2009  21:04          251.712 ntldr
21.09.2009  20:28                0 CONFIG.SYS
21.09.2009  20:28                0 MSDOS.SYS
21.09.2009  20:28                0 IO.SYS

----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\WINDOWS

13.12.2009  21:12              157 wiadebug.log
13.12.2009  21:12                0 0.log
13.12.2009  21:10                50 wiaservc.log
13.12.2009  21:10            2.048 bootstat.dat
13.12.2009  21:09            17.641 WindowsUpdate.log
13.12.2009  20:54            16.734 iis6.log
13.12.2009  20:54            54.409 comsetup.log
13.12.2009  20:54            42.674 ntdtcsetup.log
13.12.2009  20:54            10.988 ocmsn.log
13.12.2009  20:54            88.671 tsoc.log
13.12.2009  20:54            1.943 imsins.log
13.12.2009  20:54          171.070 ocgen.log
13.12.2009  20:54            10.489 msgsocm.log
13.12.2009  20:54          202.866 FaxSetup.log
13.12.2009  20:51          746.845 setupapi.log
13.12.2009  05:49            25.391 svcpack.log
12.12.2009  20:15            3.682 imsins.BAK
12.12.2009  20:15            2.382 wmsetup.log
12.12.2009  20:07            3.276 svcpack.log.1.log
12.12.2009  20:01              345 OEWABLog.txt
12.12.2009  06:02              850 KB911164.log
12.12.2009  05:17          133.378 ntbtlog.txt
12.12.2009  04:50                69 NeroDigital.ini
12.12.2009  02:41              416 WINNT32.LOG
12.12.2009  02:41              403 DHCPUPG.LOG
12.12.2009  02:40              108 setupact.log
12.12.2009  01:53              805 UPGRADE.TXT
12.12.2009  01:50                0 setuperr.log
12.12.2009  01:34              528 win.ini
12.12.2009  01:34              227 system.ini
22.09.2009  01:41          187.254 hpoins28.dat.temp
21.09.2009  22:43            1.594 VPNInstall.MIF
21.09.2009  21:31                0 nsreg.dat
21.09.2009  21:27          315.392 HideWin.exe
21.09.2009  21:22                0 Sti_Trace.log
21.09.2009  21:09          316.640 WMSysPr9.prx
21.09.2009  20:31            8.192 REGLOCS.OLD
21.09.2009  20:28                0 control.ini
21.09.2009  20:28            4.161 ODBCINST.INI
21.09.2009  20:27              749 WindowsShell.Manifest
21.09.2009  20:26                37 vbaddin.ini
21.09.2009  20:26                36 vb.ini
01.07.2008  05:02              796 hpomdl28.dat.temp
03.06.2008  07:55            4.869 VF0540.uns


----- System  ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\WINDOWS\system

das erste lag 8 monate zurück

----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\WINDOWS\system32

13.12.2009  21:12          200.819 nvapps.xml
12.12.2009  20:15          461.500 perfh007.dat
12.12.2009  20:15          443.368 perfh009.dat
12.12.2009  20:15            72.346 perfc009.dat
12.12.2009  20:15        1.076.162 PerfStringBackup.INI
12.12.2009  20:15            86.062 perfc007.dat
12.12.2009  20:15              525 mapisvc.inf
12.12.2009  03:51              126 mmc.exe.config
12.12.2009  03:51              126 mmc.exe.config.NAR00
09.12.2009  23:31            3.002 CONFIG.NT
09.12.2009  18:24            13.646 wpa.dbl
01.12.2009  21:06        25.966.024 MRT.exe
26.11.2009  00:00            5.122 TZLog.log
25.11.2009  00:54        1.280.480 aswBoot.exe
25.11.2009  00:47            97.480 AvastSS.scr
12.11.2009  02:18          125.320 FNTCACHE.DAT
29.10.2009  19:54        3.091.968 mshtml.dll
29.10.2009  06:24          672.768 wininet.dll
29.10.2009  06:24        1.509.888 shdocvw.dll
29.10.2009  06:24            61.952 tdc.ocx
29.10.2009  06:24          628.736 urlmon.dll
28.10.2009  16:07            46.080 tzchange.exe
21.10.2009  18:19          108.144 CmdLineExt.dll
21.10.2009  06:38            75.776 strmfilt.dll
21.10.2009  06:38            25.088 httpapi.dll
13.10.2009  11:32          271.360 oakley.dll
12.10.2009  14:38            79.872 raschap.dll
12.10.2009  14:38          150.528 rastls.dll
25.09.2009  06:35            81.920 ieencode.dll
25.09.2009  06:16          371.200 html.iec
21.09.2009  23:20          149.280 javaws.exe
21.09.2009  23:20          145.184 javaw.exe
21.09.2009  23:20            73.728 javacpl.cpl
21.09.2009  23:20          145.184 java.exe
21.09.2009  23:20          411.368 deploytk.dll
21.09.2009  23:13            16.832 amcompat.tlb
21.09.2009  23:13            23.392 nscompat.tlb
21.09.2009  22:24            13.646 wpa.bak
21.09.2009  21:29          146.650 BuzzingBee.wav
21.09.2009  21:29          940.794 LoopyMusic.wav
21.09.2009  21:23                0 h323log.txt
21.09.2009  21:09              249 spupdwxp.log
21.09.2009  20:29              261 $winnt$.inf
21.09.2009  20:27              488 logonui.exe.manifest
21.09.2009  20:27              488 WindowsLogon.manifest
21.09.2009  20:27              749 cdplayer.exe.manifest
21.09.2009  20:27              749 nwc.cpl.manifest
21.09.2009  20:27              749 wuaucpl.cpl.manifest
21.09.2009  20:27              749 sapi.cpl.manifest
21.09.2009  20:27              749 ncpa.cpl.manifest
21.09.2009  20:26            21.740 emptyregdb.dat
11.09.2009  15:17          136.192 msv1_0.dll
04.09.2009  22:03            58.880 msasn1.dll
01.09.2009  15:46          282.654 msaud32.acm
26.08.2009  09:00          247.326 strmdll.dll
25.08.2009  10:17          354.816 winhttp.dll
14.08.2009  16:10        1.850.752 win32k.sys
13.08.2009  16:15          512.000 jscript.dll
06.08.2009  18:24          209.632 wuweb.dll
06.08.2009  18:24          327.896 wucltui.dll
06.08.2009  18:24            18.144 wuaueng.dll.mui
06.08.2009  18:24            35.552 wups.dll
06.08.2009  18:24            44.768 wups2.dll
06.08.2009  18:24            15.584 wuapi.dll.mui
06.08.2009  18:24          217.816 wuaucpl.cpl
06.08.2009  18:24            53.472 wuauclt.exe
06.08.2009  18:24            15.584 wuaucpl.cpl.mui
06.08.2009  18:24            96.480 cdm.dll
06.08.2009  18:24            23.264 wucltui.dll.mui
06.08.2009  18:23          575.704 wuapi.dll
06.08.2009  18:23        1.929.952 wuaueng.dll
05.08.2009  09:59          206.336 mswebdvd.dll
04.08.2009  18:26        2.147.840 ntoskrnl.exe
04.08.2009  18:25        2.026.496 ntkrnlpa.exe
31.07.2009  10:02        1.372.672 msxml6.dll
31.07.2009  05:32        1.172.480 msxml3.dll
29.07.2009  05:34            81.920 fontsub.dll
29.07.2009  05:34          119.808 t2embed.dll
26.07.2009  15:44            48.448 sirenacm.dll
21.07.2009  07:52          348.160 msvcr71.dll
21.07.2009  07:52          499.712 msvcp71.dll
21.07.2009  00:05        1.348.432 msxml4.dll
17.07.2009  20:01            58.880 atl.dll
17.07.2009  17:15        1.441.792 query.dll
13.07.2009  22:43          286.208 wmpdxm.dll
13.07.2009  22:43        10.841.088 wmp.dll
25.06.2009  09:25          301.568 kerberos.dll
25.06.2009  09:25          147.456 schannel.dll
25.06.2009  09:25          737.792 lsasrv.dll
25.06.2009  09:25            54.272 wdigest.dll
25.06.2009  09:25            56.832 secur32.dll
15.06.2009  11:43            78.848 telnet.exe
10.06.2009  15:13            85.504 avifil32.dll
10.06.2009  08:19        2.066.432 mstscax.dll
10.06.2009  07:14          132.096 wkssvc.dll
03.06.2009  20:09        1.296.896 quartz.dll

----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\WINDOWS\Prefetch

12.12.2009  00:46            21.574 LOGONUI.EXE-0AF22957.pf
12.12.2009  00:42            97.206 AVAST.SETUP-2B043760.pf
12.12.2009  00:33            21.268 ADOBEARM.EXE-237273D1.pf
12.12.2009  00:33            14.502 VERCLSID.EXE-3667BD89.pf
12.12.2009  00:33            61.662 ACRORD32.EXE-2E761392.pf
12.12.2009  00:33            58.440 ACRORD32INFO.EXE-19B1D743.pf
12.12.2009  00:31            15.312 NOTEPAD.EXE-336351A9.pf
12.12.2009  00:00            72.976 UPDATE.EXE-00793824.pf
12.12.2009  00:00            11.278 RUNDLL32.EXE-4B1DB1FC.pf
12.12.2009  00:00            78.474 UPDATE.EXE-20F3CD37.pf
12.12.2009  00:00            86.842 WUAUCLT.EXE-399A8E72.pf
11.12.2009  23:04            91.260 VLC.EXE-29851A71.pf
11.12.2009  21:47            15.464 SNDVOL32.EXE-383480B7.pf
11.12.2009  21:47            15.694 SNDREC32.EXE-309776A8.pf
11.12.2009  21:46            29.386 SETUP_WM.EXE-19AC5A9B.pf
11.12.2009  21:34            7.470 JQSNOTIFY.EXE-1E60A522.pf
11.12.2009  21:34            95.638 FIREFOX.EXE-1D57670A.pf
11.12.2009  21:34            14.212 FLASHGOT.EXE-22F076C3.pf
11.12.2009  21:19            22.994 WMIADAP.EXE-2DF425B2.pf
11.12.2009  21:19            19.226 MSPAINT.EXE-11CBB631.pf
11.12.2009  21:19            11.740 RUNDLL32.EXE-451FC2C0.pf
11.12.2009  21:18            10.888 ZCLIENTM.EXE-360CFDB5.pf
11.12.2009  21:18            12.230 SETUP.EXE-393E66AE.pf
11.12.2009  21:18            17.794 IMAPI.EXE-0BF740A4.pf
11.12.2009  21:14            82.842 RUNDLL32.EXE-13404D23.pf
11.12.2009  21:14            42.930 SYSOCMGR.EXE-31169C54.pf
11.12.2009  20:51            10.872 SOFFICE.EXE-26427B3D.pf
11.12.2009  20:51            38.170 SWRITER.EXE-232617FC.pf
11.12.2009  20:51            88.332 SOFFICE.BIN-1E52E616.pf
11.12.2009  20:50            74.790 MSNMSGR.EXE-3ACF7E89.pf
11.12.2009  20:48            67.820 WLCOMM.EXE-222494DB.pf
11.12.2009  20:48          101.204 WLMAIL.EXE-07132131.pf
11.12.2009  20:45            65.262 WMPLAYER.EXE-09969338.pf
11.12.2009  20:45            57.150 TEATIMER.EXE-38E505A8.pf
11.12.2009  20:44            90.482 SPYBOTSD.EXE-1D495A65.pf
11.12.2009  20:44            13.498 TEATIMER166.EXE-26780E18.pf
11.12.2009  20:44            35.676 TEATIMER166.TMP-01598EFB.pf
11.12.2009  20:44            28.158 ADVCHECK165.TMP-08B7AF53.pf
11.12.2009  20:44            13.514 ADVCHECK165.EXE-14F6A535.pf
11.12.2009  20:44            21.584 UPDATE.EXE-334BAC79.pf
11.12.2009  20:44            58.238 SDUPDATE.EXE-30CF90C0.pf
11.12.2009  20:42            14.592 REGEDIT.EXE-1B606482.pf
11.12.2009  20:41            49.446 VPNGUI.EXE-10986A0F.pf
11.12.2009  20:38            35.312 CCLEANER.EXE-065E2F3F.pf
11.12.2009  20:38            27.068 WMIPRVSE.EXE-28F301A9.pf
11.12.2009  20:38            18.368 ALG.EXE-0F138680.pf
11.12.2009  20:38            24.428 ASHWEBSV.EXE-091EF0CF.pf
11.12.2009  20:38            27.520 ASHMAISV.EXE-24E25810.pf
11.12.2009  20:38            66.932 DUALCORECENTER.EXE-2928C5DF.pf
11.12.2009  20:38            18.464 WMIAPSRV.EXE-1E2270A5.pf
11.12.2009  20:38            22.288 RUNDLL32.EXE-35A483DA.pf
11.12.2009  20:38        1.144.884 NTOSBOOT-B00DFAAD.pf
11.12.2009  20:31            56.960 MBAM.EXE-11D8BBD8.pf
11.12.2009  20:29            36.762 DWWIN.EXE-30875ADC.pf
11.12.2009  20:29            86.930 DUMPREP.EXE-1B46F901.pf
11.12.2009  20:24            15.902 REGSVR32.EXE-25EEFE2F.pf
11.12.2009  20:24            7.820 MBAMGUI.EXE-1E06AB95.pf
11.12.2009  20:23            22.096 MBAM-SETUP.TMP-21D95889.pf
11.12.2009  20:23            14.368 MBAM-SETUP.EXE-360978DA.pf
11.12.2009  20:20            17.032 OTM.EXE-1D46737B.pf
11.12.2009  20:19            11.824 RUNDLL32.EXE-268BFF96.pf
11.12.2009  20:18            32.996 MSCONFIG.EXE-35E4DAE9.pf
11.12.2009  20:15            16.908 TASKMGR.EXE-20256C55.pf
11.12.2009  20:08            16.862 OTM.EXE-2EF0DDD7.pf
11.12.2009  19:53            8.998 TASKMAN.EXE-286CBC75.pf
11.12.2009  19:52            19.936 HIJACKTHIS.EXE-39024128.pf
11.12.2009  19:43            22.460 DRWTSN32.EXE-2B4B52AC.pf
11.12.2009  19:33            49.776 9MZ9AXP.EXE-2BE2644C.pf
11.12.2009  19:33            11.854 N2778N.EXE-0183D5A4.pf
11.12.2009  19:33            61.344 LAUNCH.EXE-14703BDE.pf
11.12.2009  19:31            11.234 5PQWG8.EXE-1E57AFE5.pf
11.12.2009  19:31            59.684 CBR4R2Y5.EXE-2877B5C2.pf
11.12.2009  19:30            24.618 SVCHOST.EXE-3530F672.pf
11.12.2009  19:20            70.970 ASHAVAST.EXE-0274A551.pf
11.12.2009  19:13            32.686 EXPLORER.EXE-082F38A9.pf
11.12.2009  18:49            73.334 ASHSIMPL.EXE-007287FE.pf
11.12.2009  18:48            21.418 CCSETUP226_SLIM.EXE-061BA45C.pf
11.12.2009  18:41            20.684 RUNDLL32.EXE-2576181F.pf
11.12.2009  17:36            54.680 SHMGRATE.EXE-1BA69E68.pf
11.12.2009  17:36            73.686 UNREGMP2.EXE-07CACB61.pf
11.12.2009  17:02            59.098 MSA.EXE-1E98B210.pf
11.12.2009  16:50            15.002 HJTINSTALL202.EXE-02C1888A.pf
11.12.2009  16:48            16.910 RUNDLL32.EXE-3EEFBDBD.pf
11.12.2009  16:48            17.484 RUNONCE.EXE-2803F297.pf
11.12.2009  16:48            12.312 GRPCONV.EXE-111CD845.pf
11.12.2009  16:33            93.294 IEXPLORE.EXE-2CA9778D.pf
11.12.2009  16:27            59.274 WMPLAYER.EXE-09969332.pf
11.12.2009  04:24          138.610 MSIEXEC.EXE-2F8A8CAE.pf
11.12.2009  04:24            4.146 FIFA 08_UNINST.EXE-1DD540D3.pf
11.12.2009  04:18            17.772 AU_.EXE-0A08667B.pf
11.12.2009  04:18            13.820 EAUNINSTALL.EXE-31F2F8D5.pf
11.12.2009  04:17            15.786 RAR-PASSWORD-RECOVERY.EXE-23717FB0.pf
11.12.2009  04:16          108.502 WINRAR.EXE-3588DFE8.pf
11.12.2009  04:12            49.684 SCALC.EXE-315C5666.pf
11.12.2009  01:56            50.256 START_CD.EXE-26DDA44B.pf
11.12.2009  01:56            51.278 START_CD.EXE-37A4BDC6.pf
10.12.2009  22:14            6.828 WMPNSCFG.EXE-094B04CE.pf
10.12.2009  22:12            12.142 IEDW.EXE-2D047874.pf
10.12.2009  20:43            25.832 SETUP.EXE-050FC5D9.pf
10.12.2009  20:42            56.556 ADBERDR920_DE_DE.EXE-264B0AEB.pf
10.12.2009  20:41          123.862 JAVAW.EXE-0159D575.pf
10.12.2009  20:41            20.392 JAVAWS.EXE-1714DD62.pf
10.12.2009  20:27            95.484 JAVA.EXE-2167859B.pf
10.12.2009  18:18          102.556 HELPSVC.EXE-2878DDA2.pf
10.12.2009  18:17          582.274 Layout.ini
10.12.2009  01:05            20.676 UNRAR.EXE-36E29CDF.pf
10.12.2009  00:04            9.438 JDOWNLOADER.EXE-129F7506.pf
09.12.2009  23:11            46.288 AVAST.SETUP-235119C9.pf
08.12.2009  18:44            8.176 SSSTARS.SCR-2D6FC20D.pf
            109 Datei(en)      6.030.908 Bytes
              0 Verzeichnis(se), 87.324.692.480 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\WINDOWS\tasks

12.12.2009  00:46                6 SA.DAT
28.02.2006  13:00                65 desktop.ini
              2 Datei(en)            71 Bytes
              0 Verzeichnis(se), 87.324.696.576 Bytes frei
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\WINDOWS\Temp

13.12.2009  21:10            16.384 Perflib_Perfdata_1a0.dat
13.12.2009  21:10            16.384 Perflib_Perfdata_6a8.dat
13.12.2009  21:07            16.384 Perflib_Perfdata_280.dat
13.12.2009  20:46            16.384 Perflib_Perfdata_310.dat
13.12.2009  19:17            16.384 Perflib_Perfdata_30c.dat
12.12.2009  06:35            16.384 Perflib_Perfdata_1bc.dat
12.12.2009  06:15            16.384 Perflib_Perfdata_300.dat
12.12.2009  06:09            16.384 Perflib_Perfdata_1ec.dat
12.12.2009  05:43            16.384 Perflib_Perfdata_15c.dat
12.12.2009  05:43            16.384 Perflib_Perfdata_b4.dat
12.12.2009  05:25            16.384 Perflib_Perfdata_164.dat
12.12.2009  04:57            16.384 Perflib_Perfdata_200.dat
12.12.2009  04:08            16.384 Perflib_Perfdata_274.dat
12.12.2009  02:56            16.384 Perflib_Perfdata_24c.dat
12.12.2009  02:56            16.384 Perflib_Perfdata_640.dat
12.12.2009  01:56            16.384 Perflib_Perfdata_3ac.dat
12.12.2009  01:56            16.384 Perflib_Perfdata_1e0.dat
12.12.2009  01:53            41.083 dneinst.log
12.12.2009  01:52            16.384 Perflib_Perfdata_81c.dat
12.12.2009  01:27            16.384 Perflib_Perfdata_6a4.dat
11.12.2009  20:38            16.384 Perflib_Perfdata_d30.dat
11.12.2009  20:30            16.384 Perflib_Perfdata_d18.dat
11.12.2009  19:31            16.384 Perflib_Perfdata_77c.dat
11.12.2009  19:29            16.384 Perflib_Perfdata_638.dat
11.12.2009  19:29            16.384 Perflib_Perfdata_74c.dat
11.12.2009  19:26            16.384 Perflib_Perfdata_5c8.dat
11.12.2009  19:18            16.384 Perflib_Perfdata_594.dat
11.12.2009  18:45            16.384 Perflib_Perfdata_62c.dat
11.12.2009  18:31            16.384 Perflib_Perfdata_5cc.dat
11.12.2009  18:18            16.384 Perflib_Perfdata_748.dat
11.12.2009  16:22            16.384 Perflib_Perfdata_d68.dat
09.12.2009  23:33            16.384 Perflib_Perfdata_750.dat
              32 Datei(en)        548.987 Bytes
              0 Verzeichnis(se), 87.324.696.576 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 148E-5111

 Verzeichnis von C:\DOKUME~1\Ali\LOKALE~1\Temp

13.12.2009  21:02            1.420 wmplog02.sqm
13.12.2009  20:52          132.257 jusched.log
13.12.2009  19:48            22.632 AdobeARM.log
13.12.2009  05:15            13.592 temp.ani
13.12.2009  05:15          208.896 drm_dyndata_7320010.dll
13.12.2009  05:14            65.536 drm_dialogs.dll
12.12.2009  03:29              250 msinterr.txt
12.12.2009  03:29            28.201 dotneteventlog11.txt
12.12.2009  03:29            6.659 netfxupdate.log
12.12.2009  03:29            10.969 netfxsl.log
12.12.2009  03:28            5.755 ASPNETSetup.log
12.12.2009  03:27          384.290 langpackMsi.log
12.12.2009  03:27            1.164 langpackSetup.log
12.12.2009  03:27            2.420 dotNetFx.log
12.12.2009  03:27        2.761.108 netfx.log
12.12.2009  03:23                0 dotneterrorlog11.txt
12.12.2009  03:18          797.676 IMT18.xml
12.12.2009  03:18              426 IMT17.xml
12.12.2009  03:18            2.036 IMT16.xml
12.12.2009  03:18          797.676 IMT15.xml
12.12.2009  03:18              426 IMT14.xml
12.12.2009  03:18            2.036 IMT13.xml
12.12.2009  03:18          797.676 IMT12.xml
12.12.2009  03:18              426 IMT11.xml
12.12.2009  03:18            2.036 IMT10.xml
12.12.2009  03:17          797.676 IMTF.xml
12.12.2009  03:17              426 IMTE.xml
12.12.2009  03:17            2.036 IMTD.xml
12.12.2009  03:16          797.676 IMTC.xml
12.12.2009  03:16              426 IMTB.xml
12.12.2009  03:16            2.036 IMTA.xml
12.12.2009  03:16          797.676 IMT9.xml
12.12.2009  03:16              426 IMT8.xml
12.12.2009  03:16            2.036 IMT7.xml
12.12.2009  03:16          797.676 IMT6.xml
12.12.2009  03:16              426 IMT5.xml
12.12.2009  03:16            2.036 IMT4.xml
12.12.2009  03:16          797.676 IMT3.xml
12.12.2009  03:16              426 IMT2.xml
12.12.2009  03:16            2.036 IMT1.xml
12.12.2009  02:00            1.420 wmplog01.sqm
12.12.2009  01:31            1.684 wmplog00.sqm
11.12.2009  20:27          311.296 ~DF254F.tmp
11.12.2009  20:24          311.296 ~DF84F2.tmp
11.12.2009  20:19          190.757 anycolor-3.tmp
11.12.2009  20:13          190.757 anycolor-2.tmp
11.12.2009  19:52          114.688 ~DF593B.tmp
11.12.2009  19:26          190.757 anycolor-1.tmp
11.12.2009  19:18          190.757 anycolor.tmp
11.12.2009  18:41            25.098 825e_appcompat.txt
11.12.2009  18:36          190.757 anycolor-40.tmp
11.12.2009  18:29            25.098 3f_appcompat.txt
11.12.2009  18:16            26.116 a.dat
11.12.2009  17:17            1.378 account{CA45F332-3DA3-4F4B-9DDB-B442B679EB2D}.oeaccount
11.12.2009  17:17            1.510 account{8FC8E0E0-3B1C-4EDD-848D-B61646AE785E}.oeaccount
11.12.2009  17:17            1.736 account{56F992E5-AD21-440E-90F2-4ACC6647CAB6}.oeaccount
11.12.2009  17:17            1.386 account{0EBFE6E9-0E5E-4475-9A72-9E550C65E863}.oeaccount
10.12.2009  20:41            10.253 java_install_reg.log
30.11.2009  23:23          233.338 iuf_v08.pdf
21.09.2009  21:29            25.764 German.bin
19.10.2007  17:46            39.330 hpzDE5mu.hlp
19.10.2007  17:46          206.192 hpzDE5mu.chm
              62 Datei(en)    12.337.621 Bytes
              0 Verzeichnis(se), 87.324.692.480 Bytes frei
dann hier nomma hijackthis

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:23, on 13.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\V0540Mon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.****.de:***
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DelReg] C:\Programme\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [V0540Mon.exe] C:\WINDOWS\V0540Mon.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1004336348-1965331169-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1004336348-1965331169-839522115-1004\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DualCoreCenter.lnk = C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***.de,***.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = ***.de,***.de
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: SearchList = ***.de,***.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***.de,***.de
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7242 bytes
...meine progs

Code:
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        10.0.32.18
Adobe Flash Player ActiveX        Adobe Systems Incorporated        9.0.124.0
Adobe Reader 9.2 - Deutsch        Adobe Systems Incorporated        9.2.0
Adobe Shockwave Player        Adobe Systems, Inc.        10.2.0.22
Advanced Audio FX Engine               
AMD Processor Driver        AMD        1.3.2.0053
Anime Studio Pro 5.6        Smith Micro       
ArtMoney SE v7.30.3        System SoftLab        7.30
avast! Antivirus        Alwil Software        4.8
CCleaner        Piriform       
Cheat Engine 5.5        Dark Byte       
Cisco Systems VPN Client 5.0.05.0290        Cisco Systems, Inc.        5.0.5
Creative Live! Cam Video IM/Video Chat (VF0540) (1.00.08.00)               
Creative Live! Central               
Creative Systeminformationen               
DivX Web Player        DivX,Inc.        1.5.0
Driver: Parallel Lines        Ubisoft        1.00.0000
DualCoreCenter        MSI, Inc.       
DVD Suite        CyberLink Corporation        5.0.1319
EA Download Manager        Electronic Arts, Inc.        5.1.0.4
FUSSBALL MANAGER 10        Electronic Arts       
HijackThis 2.0.2        TrendMicro        2.0.2
ICQ Toolbar        ICQ        3.0.0
ICQ6.5        ICQ        6.5
Java(TM) 6 Update 16        Sun Microsystems, Inc.        6.0.160
Logitech SetPoint        Logitech        4.00
Malwarebytes' Anti-Malware        Malwarebytes Corporation       
Messenger Plus! Live        Patchou        4.83.0.372
Microsoft .NET Framework 1.1               
Microsoft .NET Framework 1.1 German Language Pack        Microsoft        1.1.4322
Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        3.2.30729
Microsoft .NET Framework 3.5 SP1        Microsoft Corporation       
Microsoft Compression Client Pack 1.0 for Windows XP        Microsoft Corporation        1
Microsoft User-Mode Driver Framework Feature Pack 1.0        Microsoft Corporation       
Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        9.0.30729
Mozilla Firefox (3.5.5)        Mozilla        3.5.5 (de)
MSN               
MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        4.20.9870.0
MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        4.20.9876.0
muveeNow 2.0 - Creative        muvee Technologies        2.00.001
Nero 7 Essentials        Nero AG        7.02.8507
NVIDIA Drivers               
NVIDIA PhysX        NVIDIA Corporation        9.09.0203
OpenOffice.org 3.1        OpenOffice.org        3.1.9420
PowerDVD        CyberLink Corporation        7.0.2414.0
PowerProducer               
Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        5.10.0.5605
Risen        Deep Silver        1.00.0000
SecurDisc Viewer        Nero AG        7.02.8511
Spybot - Search & Destroy        Safer Networking Limited        1.6.2
Stream Torrent 1.0               
Tropico 3 1.00        Kalypso Media        1.00
TVUPlayer 2.4.9.1        TVU networks        2.4.9.1
VEGA$ Tycoon               
VLC media player 1.0.3        VideoLAN Team        1.0.3
Windows Live Anmelde-Assistent        Microsoft Corporation        5.000.818.5
Windows Live Essentials        Microsoft Corporation        14.0.8089.0726
Windows Live-Uploadtool        Microsoft Corporation        14.0.8014.1029
Windows Media Format 11 runtime               
Windows Media Player 11               
Windows Media Player Firefox Plugin        Microsoft Corp        1.0.0.8
Windows XP Service Pack 3        Microsoft Corporation        20080414.031514
WinRAR               
WinZip        WinZip Computing, Inc.        8.1  (4331g)
uuun gmer
Code:
GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2009-12-13 23:58:09
Windows 5.1.2600 Service Pack 3
Running: 8vh6eqeq.exe; Driver: C:\DOKUME~1\Ali\LOKALE~1\Temp\axtdipog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwClose [0xB6FDE6B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwCreateKey [0xB6FDE574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwDeleteValueKey [0xB6FDEA52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwDuplicateObject [0xB6FDE14C]
SSDT            spkx.sys                                                                                                                      ZwEnumerateKey [0xBA6C5CA4]
SSDT            spkx.sys                                                                                                                      ZwEnumerateValueKey [0xBA6C6032]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwOpenKey [0xB6FDE64E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwOpenProcess [0xB6FDE08C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwOpenThread [0xB6FDE0F0]
SSDT            spkx.sys                                                                                                                      ZwQueryKey [0xBA6C610A]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwQueryValueKey [0xB6FDE76E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwRestoreKey [0xB6FDE72E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                          ZwSetValueKey [0xB6FDE8AE]

INT 0x73        ?                                                                                                                              8AC3BBF8
INT 0x83        ?                                                                                                                              8AE13BF8
INT 0xB4        ?                                                                                                                              8AC3BBF8

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 2CC8                                                                                          80504564 4 Bytes  JMP 924AB6FD
.text          ntkrnlpa.exe!ZwCallbackReturn + 2FA0                                                                                          8050483C 4 Bytes  CALL 4144FF3E
?              spkx.sys                                                                                                                      Das System kann die angegebene Datei nicht finden. !
.text          USBPORT.SYS!DllUnload                                                                                                          BA0988AC 5 Bytes  JMP 8AC3B1D8
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                      section is writeable [0xB9A41360, 0x32E00D, 0xE8000020]
.text          a7m34y14.SYS                                                                                                                  B99F5386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          a7m34y14.SYS                                                                                                                  B99F53AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          a7m34y14.SYS                                                                                                                  B99F53C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text          a7m34y14.SYS                                                                                                                  B99F53C9 1 Byte  [30]
.text          a7m34y14.SYS                                                                                                                  B99F53C9 11 Bytes  [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                                           
.text          C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                                        section is writeable [0xB67C0300, 0x3B6D8, 0xE8000020]
.text          C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                                        section is writeable [0xBAC38300, 0x1BEE, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                            [BA6A8042] spkx.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                                    [BA6A813E] spkx.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                            [BA6A80C0] spkx.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                                    [BA6A8800] spkx.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                            [BA6A86D6] spkx.sys
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                            [BA6B7E9C] spkx.sys
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!KfAcquireSpinLock]                                                          18C4830E
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!READ_PORT_UCHAR]                                                            1C8D9E88
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!KeGetCurrentIrql]                                                            9E880000
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!KfRaiseIrql]                                                                00001CA9
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!KfLowerIrql]                                                                0E798366
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!HalGetInterruptVector]                                                      74AAB000
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!HalTranslateBusAddress]                                                      8186C636
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!KeStallExecutionProcessor]                                                  1A00001C
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!KfReleaseSpinLock]                                                          1C8386C6
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                                    C6020000
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!READ_PORT_USHORT]                                                            001C8E86
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                    86C60200
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                            00001CAA
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[WMILIB.SYS!WmiSystemControl]                                                        8800001C
IAT            \SystemRoot\System32\Drivers\a7m34y14.SYS[WMILIB.SYS!WmiCompleteRequest]                                                      001CB19E

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[304] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00D32BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT            C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[304] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00D32CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT            C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[304] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00D32CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT            C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                  00380002
IAT            C:\WINDOWS\system32\services.exe[1112] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                        00380000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                        8AE121F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                        InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                        aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device          \FileSystem\Fastfat \FatCdrom                                                                                                  8AB14500

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbohci \Device\USBPDO-0                                                                                              8AC3A1F8
Device          \Driver\usbehci \Device\USBPDO-1                                                                                              8AC261F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{F092E3F8-9DDB-474E-9223-DD8B11A1846E}                                                      8A7A6500

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\sptd \Device\1167026370                                                                                                spkx.sys
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                                        8AE841F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                                        8AE841F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                                  8AC3C500
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                                        8AE841F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                                  8AC3C500
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                            [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                            [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e                                                                                    [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                            [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6                                                                                    [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                            [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\Cdrom \Device\CdRom2                                                                                                  8AC3C500
Device          \Driver\Cdrom \Device\CdRom3                                                                                                  8AC3C500
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                                        8A7A6500
Device          \Driver\USBSTOR \Device\00000078                                                                                              8A78E500
Device          \Driver\USBSTOR \Device\00000079                                                                                              8A78E500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                              8A7A6500
Device          \Driver\PCI_PNP1370 \Device\0000004f                                                                                          spkx.sys

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbohci \Device\USBFDO-0                                                                                              8AC3A1F8
Device          \Driver\usbehci \Device\USBFDO-1                                                                                              8AC261F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                              8ACAC500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                    8ACAC500
Device          \Driver\USBSTOR \Device\0000007d                                                                                              8A78E500
Device          \Driver\Ftdisk \Device\FtControl                                                                                              8AE841F8
Device          \Driver\USBSTOR \Device\0000007e                                                                                              8A78E500
Device          \Driver\a7m34y14 \Device\Scsi\a7m34y141Port4Path0Target1Lun0                                                                  8ABCB1F8
Device          \Driver\a7m34y14 \Device\Scsi\a7m34y141Port4Path0Target0Lun0                                                                  8ABCB1F8
Device          \Driver\a7m34y14 \Device\Scsi\a7m34y141Port4Path0Target2Lun0                                                                  8ABCB1F8
Device          \Driver\a7m34y14 \Device\Scsi\a7m34y141                                                                                        8ABCB1F8
Device          \FileSystem\Fastfat \Fat                                                                                                      8AB14500

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                      InCDrec.SYS (InCD File System Recognizer/Nero AG)

Device          \FileSystem\Cdfs \Cdfs                                                                                                        8A76F500

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                         
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                0
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                            0xE4 0xBD 0x1E 0xA4 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                      0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                    0x7F 0x84 0x2B 0xB7 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)           
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                              0xA3 0x2A 0xFB 0x14 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)           
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                              0xF7 0x20 0x23 0xA9 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)           
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                              0x1F 0x1A 0x27 0x57 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                            771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                            285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                            1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                             
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                            C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                            0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                        0xE4 0xBD 0x1E 0xA4 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                  0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                0x7F 0x84 0x2B 0xB7 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                               
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                          0xA3 0x2A 0xFB 0x14 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                               
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                          0xF7 0x20 0x23 0xA9 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2                               
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                          0x1F 0x1A 0x27 0x57 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                         
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                0
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                            0xE4 0xBD 0x1E 0xA4 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                      0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                    0x7F 0x84 0x2B 0xB7 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)           
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                              0xA3 0x2A 0xFB 0x14 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)           
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                              0xF7 0x20 0x23 0xA9 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)           
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                              0x1F 0x1A 0x27 0x57 ...

---- EOF - GMER 1.0.15 ----
hoffe das hilft euch (und mir) weiter, warte dann ma gespannt auf das ergebnis :kaffee:

kira 15.12.2009 09:45
hi

**Malwarebytes installiert und ausgeführt..Ergebnis bitte posten!

1.
Messenger Plus! Live...
Zitat:
Der *Messenger Plus* enthält einige Komponenten, die deinen Rechner ausspionieren (Trojaner) deshalb wird von diesem Programm abgeraten. - finanziert sich über eine Adware -Komponente

Bei der Deinstallation *achte aber darauf, ob da etwas beim Deinstallieren mit da steht, wie "Partner/Sponsorenprogramme entfernen"!*

Wenn du unbedingt möchtest (es ist besser ein Spy- und Adware freies Messenger Tool einzusetzen - wie Trillian,kann man in der Basisversion von Trillian die Instant Messenger ICQ, AIM, Yahoo! Messenger, Windows Live Messenger (MSN) und IRC vereinen) oder Miranda ),kannst du nochmal installieren,aber alles genau durchlesen, und Partnerprogrammen,Sponsoren etc musst du abwählen!
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
also deinstallieren

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
R3 - URLSearchHook: (no name) - - (no file)
3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132