trojanerbefall?pc startet,schaltet sich ab,avira startet nicht,sicherheitsc.deaktivie
 

hallo zusammen,
ich kenn mich noch nicht so gut aus hier,wahrscheinlich war ich im falschen forum
kann mir jemand helfen?
pc startet schaltet sich aus und startet wieder dann wird windows geladen
allerdings ist das sicherheitscenter deaktiviert habe bereits auf automatisch gestellt, bei neuem hochfahren ist es wieder deaktiviert
avira startet nicht,hatte deinstalliert und neu installiert keine veränderung
bevor diese problematik anfing kamen einige trojaner meldungen die ich alle in die quarantäne verschieben ließ
danach ging der mist los
cc cleaner hab ich eh drauf und nach anweisung erledigt
das mit der malware kann ich runterladen aber die .exe öffnet nicht
da ich den pc wegen ebay täglich brauche wäre ich für eine rasche hilfe echt dankbar
gruß meryem

Hallo und Herzlich Willkommen! :)

Seit wann hast du dieses Problem denn?
Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

- Da die SWH nur ein Notlösung ist, auf jeden Fall positive als auch negative Rückmeldungen erwünscht!
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

gruß
Coverflow

hallo
also das problem besteht seit vergangenen dienstag
cc cleaner hab ich eh drauf hab das auch nach anweisung gemacht ebenso die registry nach fehlern behoben
punkt 2 (malware) hab ich runterladen können aber die .exe öffnet sich nicht
punkt 3 (rsit) hat auch funktioniert (hab ich auch im editor) soll ich posten?
ich bin schon froh wenn der pc startet (oft schaltet er sich nach dem starten aus und startet dann wieder von selbst) meistens läuft er dann (so wie jetzt grade ;)
also soll ich erst mal posten bevor ich was zurücksetze?
lb gruß

hast Du mit die Systemwiederherstellung versucht das System auf einen früheren Zeitpunkt zurücksetzen?

ok ich mache das dann mal und melde mich wieder
bis dahin lb gruß

hallo
also ich komm mir ein wenig "blöd" vor
bei der systemwiederherstellung ist folgendes
in dem kalender wo alle fett angezeigten tage stehen sollten ist nur der heutige tag (26.12.) fett ansonsten kann ich nichts verändern, also keine monate zurückblättern
es heißt auch keine wiederherstellungspunkte verfügbar
wenn ich den heutigen tag anklicke passiert auch nichts
oder muss ich erst einen wiederherstellungspunkt erstellen
jedenfalls wenn ich Computer zu einen früheren zeitpunkt wiederherstellen auswähle passiert gar nichts wie oben geschildert
auch die andere sache im abgesicherten modus starten geht nicht
der pc ist überhaupt nicht mehr hochgefahren, hat sich abgeschalten und ist gar nicht mehr gestartet
jetzt fuhr er wieder hoch aber mit f8 konnte ich nichts erreichen
wie soll ich jetzt vorgehen?

hi

zur Auswahl:
1.
Durchführung dieser Anweisungen, damit nach die erforderlichen Informationen weiß ich genau was bei Dir los ist (beginnend mit Punkt 1. -> http://www.trojaner-board.de/80754-t...tml#post489122 :

2.
Live-System wie z.B:

• Knoppicillin - bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall-->Bebilderte Anleitung
• Knoppix--> Datei:Knoppix-logo.svg - *Was ist KNOPPIX*
• Ubuntu--> Download/ubuntu.com
• kannst Du auch auf einem USB Stick `installieren`-->* Installation* FromUSBStick--> Anleitung 1.-->Anleitung 2. - (Aktuell halten, das Update umgehend einspielen, dies geht etwa über die eingebaute Update-Funktion)
• Ubuntu-CD Problembehebung
• Avira AntiVir Rescue System
• Viren jagen mit Knoppix
• WinPE/BartPE

3.
SETI@home-Sicherheit / Sicherheitskonzept
Anleitung: Neuaufsetzen des Systems + Absicherung

hallo
hier das ergebnis von hijacksthis.log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:12:05, on 27.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Dokumente und Einstellungen\Meryem\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AC8289D9-311C-6D90-E59E-146503F67150} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Programme\Logitech\Video\InstallHelper.exe" /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINDOWS\system32\ElkCtrl.exe" /automation
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Programme\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [E-Mail Alarm] "C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe" HIDE
O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Philips SA19xx Gere-Manager.lnk = C:\Programme\Philips\GoGear SA19xx Device Manager\main.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8c4d7ef8342f48cd8459b356b4331d87
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8c4d7ef8342f48cd8459b356b4331d87
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suche - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {79E7DCE2-6306-4996-B7CB-C2601B2B7BD1} (DownloadCtrl Class) - https://stream.web.de/v/notify/Download.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by16fd.bay16.hotmail.msn.com/activex/HMAtchmt.ocx
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 14053 bytes

Wichtig: andere Punkte fehlen noch!!
da wir müssen vermutlich einiges v. unter Software rauswerfen...

hallo
mit dem punkt 2 live-system komm ich gar nicht zurecht,habe das gelesen ist mir aber etwas "zu hoch" gegriffen,außerdem bräuchte ich einen usb stick oder eine cd zum brennen
versteckte daten sind sichtbar
ich hab dann mal mit filelist weitergemacht:
----- Root -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

27.12.2009 13:10 43 filelist.txt
27.12.2009 09:37 1.610.612.736 pagefile.sys
29.11.2009 15:56 25.088 Rechtschutzversich_k�nd_mehmet.doc
28.11.2009 10:37 165.149 kalender_2010_a4_v1.pdf
11.10.2009 12:39 25.088 k�ndigung continentale adnan.doc
11.10.2009 11:55 20.992 Finanzamt M�nchen I_Widerspr_Bescheid 2008_.doc
26.08.2009 18:38 28.868.320 FileFormatConverters.exe



61 Datei(en) 1.676.938.737 Bytes
0 Verzeichnis(se), 105.418.424.320 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

27.12.2009 12:32 1.562.860 WindowsUpdate.log
27.12.2009 09:38 6.104 ModemLog_Bluetooth DUN Modem.txt
27.12.2009 09:38 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
27.12.2009 09:38 2.020 ModemLog_Bluetooth Fax Modem.txt
27.12.2009 09:38 159 wiadebug.log
27.12.2009 09:38 50 wiaservc.log
27.12.2009 09:38 2.048 bootstat.dat
26.12.2009 14:17 32.608 SchedLgU.Txt
12.12.2009 13:30 937 win.ini
05.12.2009 11:44 116 NeroDigital.ini
10.07.2009 13:10 307.568 WLXPGSS.SCR



113 Datei(en) 17.013.547 Bytes
0 Verzeichnis(se), 105.418.420.224 Bytes frei

----- System ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system


30 Datei(en) 6.378.253 Bytes
0 Verzeichnis(se), 105.418.420.224 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

27.12.2009 12:32 2.206 wpa.dbl
27.12.2009 09:40 671 krl32mainweq.dll
27.12.2009 09:39 200 srcr.dat
22.12.2009 18:36 69.950 perfc009.dat
22.12.2009 18:36 454.212 perfh007.dat
22.12.2009 18:36 436.630 perfh009.dat
22.12.2009 18:36 1.056.184 PerfStringBackup.INI
22.12.2009 18:36 83.260 perfc007.dat
22.12.2009 16:45 1.024 default_user_class.dat.LOG
07.12.2009 07:26 270.192 FNTCACHE.DAT
01.12.2009 21:06 25.966.024 MRT.exe
30.11.2009 11:04 185.920 rmoc3260.dll
30.11.2009 11:04 5.632 pndx5032.dll
30.11.2009 11:04 6.656 pndx5016.dll
30.11.2009 11:03 278.528 pncrt.dll
26.11.2009 20:03 842.418 TZLog.log
29.10.2009 06:19 674.304 wininet.dll
29.10.2009 06:19 61.952 tdc.ocx
29.10.2009 06:19 630.272 urlmon.dll
29.10.2009 06:19 1.509.888 shdocvw.dll
29.10.2009 06:19 532.480 mstime.dll
29.10.2009 06:19 39.424 pngfilt.dll
29.10.2009 06:19 449.024 mshtmled.dll
29.10.2009 06:19 146.432 msrating.dll
29.10.2009 06:19 3.091.968 mshtml.dll
29.10.2009 06:19 205.312 dxtrans.dll
29.10.2009 06:19 96.768 inseng.dll
29.10.2009 06:19 55.808 extmgr.dll
29.10.2009 06:19 357.888 dxtmsft.dll
29.10.2009 06:19 251.904 iepeers.dll
29.10.2009 06:19 16.384 jsproxy.dll
29.10.2009 06:19 152.064 cdfview.dll
29.10.2009 06:19 1.024.000 browseui.dll
28.10.2009 16:07 46.080 tzchange.exe
28.10.2009 01:43 375.808 xpsp3res.dll
21.10.2009 07:00 75.776 strmfilt.dll
21.10.2009 07:00 25.088 httpapi.dll
13.10.2009 11:51 267.776 oakley.dll
12.10.2009 14:51 113.152 rastls.dll
12.10.2009 14:51 69.632 raschap.dll
25.09.2009 06:49 474.624 shlwapi.dll
25.09.2009 06:48 81.920 ieencode.dll
25.09.2009 06:48 1.056.256 danim.dll
25.09.2009 06:24 371.200 html.iec
11.09.2009 15:31 133.632 msv1_0.dll
04.09.2009 21:45 58.880 msasn1.dll
01.09.2009 15:32 282.654 msaud32.acm
26.08.2009 09:14 247.326 strmdll.dll
25.08.2009 10:46 352.256 winhttp.dll
21.08.2009 07:50 450.560 jscript.dll
20.08.2009 14:09 1.193.832 FM20.DLL
19.08.2009 17:07 1.415.000 msxml6.dll
14.08.2009 16:18 1.850.240 win32k.sys
06.08.2009 18:24 209.632 wuweb.dll
06.08.2009 18:24 327.896 wucltui.dll
06.08.2009 18:24 18.144 wuaueng.dll.mui
06.08.2009 18:24 15.584 wuapi.dll.mui
06.08.2009 18:24 217.816 wuaucpl.cpl
06.08.2009 18:24 44.768 wups2.dll
06.08.2009 18:24 35.552 wups.dll
06.08.2009 18:24 53.472 wuauclt.exe
06.08.2009 18:24 15.584 wuaucpl.cpl.mui
06.08.2009 18:24 96.480 cdm.dll
06.08.2009 18:24 23.264 wucltui.dll.mui
06.08.2009 18:23 575.704 wuapi.dll
06.08.2009 18:23 17.776 mucltui.dll.mui
06.08.2009 18:23 1.929.952 wuaueng.dll
06.08.2009 18:23 274.288 mucltui.dll
06.08.2009 18:23 215.920 muweb.dll
05.08.2009 10:05 206.336 mswebdvd.dll
04.08.2009 18:03 2.018.304 ntkrnlpa.exe
04.08.2009 18:03 2.138.624 ntoskrnl.exe
31.07.2009 05:58 1.172.480 msxml3.dll
26.07.2009 16:44 48.448 sirenacm.dll
21.07.2009 00:05 1.348.432 msxml4.dll
17.07.2009 19:56 58.880 atl.dll
17.07.2009 17:25 1.441.792 query.dll
13.07.2009 22:43 10.841.088 wmp.dll
























2184 Datei(en) 470.049.585 Bytes
0 Verzeichnis(se), 105.418.350.592 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Prefetch

27.12.2009 13:10 18.608 CMD.EXE-087B4001.pf
27.12.2009 13:10 12.666 FIND.EXE-0EC32F1E.pf
27.12.2009 13:07 16.884 NOTEPAD.EXE-336351A9.pf
27.12.2009 13:07 16.738 VERCLSID.EXE-3667BD89.pf
27.12.2009 12:57 18.982 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
27.12.2009 12:56 8.688 WTSISCTD.EXE-09962B38.pf
27.12.2009 12:50 6.138 SCRNSAVE.SCR-017F06EB.pf
27.12.2009 12:46 27.344 WLCOMM.EXE-222494DB.pf
27.12.2009 12:45 68.736 MSNMSGR.EXE-3ACF7E89.pf
27.12.2009 12:32 94.018 FIREFOX.EXE-1D57670A.pf
27.12.2009 12:32 35.578 PROFIL~1.EXE-21BC5BDB.pf
27.12.2009 12:32 14.932 WMPNSCFG.EXE-094B04CE.pf
27.12.2009 12:32 19.270 RUNDLL32.EXE-18ACD379.pf
27.12.2009 12:32 23.068 ATIPTAXX.EXE-12B5048A.pf
27.12.2009 12:32 10.596 DIT.EXE-08CE4330.pf
27.12.2009 12:32 78.656 WMIPRVSE.EXE-28F301A9.pf
27.12.2009 12:32 15.200 USERINIT.EXE-30B18140.pf
27.12.2009 12:32 12.130 ATI2EVXX.EXE-19D16EB9.pf
27.12.2009 12:32 108.822 EXPLORER.EXE-082F38A9.pf
27.12.2009 12:32 47.046 WGATRAY.EXE-0ED38BED.pf
27.12.2009 12:32 13.758 REGEDIT.EXE-1B606482.pf
27.12.2009 12:30 42.850 CCLEANER.EXE-065E2F3F.pf
27.12.2009 12:24 35.470 SPRITE6.EXE-1F37C34A.pf
27.12.2009 12:24 17.812 ACTION.EXE-3A7DDC04.pf
27.12.2009 12:06 18.328 LOGIACTION.EXE-02D16420.pf
27.12.2009 11:51 7.954 CVTRES.EXE-13DEB540.pf
27.12.2009 11:51 25.550 CSC.EXE-1113BFA6.pf
27.12.2009 11:51 10.858 SC_WATCH.EXE-105B9A9E.pf
27.12.2009 11:51 73.830 LOGITECHDESKTOPMESSENGER.EXE-251C7636.pf
27.12.2009 11:51 47.772 INFOCOCKPIT.EXE-2E6DC19E.pf
27.12.2009 11:51 20.558 TONAUDI.EXE-1ED630F8.pf
27.12.2009 11:51 52.444 KERNEL.EXE-02A660F3.pf
27.12.2009 11:51 34.400 MAIN.EXE-199D2F6A.pf
27.12.2009 11:51 11.294 AGRSMMSG.EXE-0034A7F7.pf
27.12.2009 11:51 42.634 OSA.EXE-0082CBE3.pf
27.12.2009 11:51 36.866 WUAUCLT.EXE-399A8E72.pf
27.12.2009 11:43 24.350 WEB_DE_UPDATE.EXE-05D02072.pf
27.12.2009 11:43 15.362 REGSVR32.EXE-25EEFE2F.pf
27.12.2009 11:14 29.944 GOOGLEUPDATER.EXE-36CE3796.pf
27.12.2009 10:41 51.620 HELPSVC.EXE-2878DDA2.pf
27.12.2009 10:39 16.988 DEFRAG.EXE-273F131E.pf
27.12.2009 10:39 14.656 DFRGNTFS.EXE-269967DF.pf
27.12.2009 10:39 505.376 Layout.ini
27.12.2009 10:03 20.752 E_S10RN2.EXE-38983110.pf
27.12.2009 10:03 19.700 E_S10MT2.EXE-0E680929.pf
27.12.2009 10:03 30.344 E_DPPE03.EXE-14897805.pf
27.12.2009 09:39 1.069.526 NTOSBOOT-B00DFAAD.pf
23.12.2009 19:33 82.942 MSIEXEC.EXE-2F8A8CAE.pf
23.12.2009 17:45 105.128 IEXPLORE.EXE-2CA9778D.pf
22.12.2009 17:20 73.776 NOTIFIER.EXE-1927A6E9.pf
22.12.2009 17:15 42.748 AVWSC.EXE-2D5343B2.pf
19.12.2009 13:42 16.342 SNDVOL32.EXE-383480B7.pf
06.11.2009 08:26 13.458 MSNTBUP.EXE-0FE4C519.pf
53 Datei(en) 3.279.490 Bytes
0 Verzeichnis(se), 105.418.350.592 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\tasks

27.12.2009 13:00 268 A4FAC1DF918D7553.job
27.12.2009 12:57 1.044 Google Software Updater.job
27.12.2009 09:38 6 SA.DAT
19.12.2009 19:23 276 AppleSoftwareUpdate.job

5 Datei(en) 1.659 Bytes
0 Verzeichnis(se), 105.418.350.592 Bytes frei

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Temp

27.12.2009 12:56 255 WGAErrLog.txt
27.12.2009 12:32 409 WGANotify.settings
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 105.418.350.592 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\Meryem\LOKALE~1\Temp

27.12.2009 12:32 70.290 AdobeARM.log
27.12.2009 12:32 56.914 LVCOMSX.LOG
27.12.2009 12:32 11.540 test.reg
3 Datei(en) 138.744 Bytes
0 Verzeichnis(se), 105.418.350.592 Bytes frei

jetzt hab ich noch den scan (gmer) (2 std) hat das gedauert, laufen lassen, aber irgendwie hat das mit der zwischenablage nicht geklappt,so ein mist
muss ich wahrscheinlich nochmal machen oder?
ich hatte auf copy geklickt und dann strg + v gedrückt aber wo ist das jetzt hin?

also ich hab es jetzt doch geschafft
hier das ergebnis von gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-27 20:04:37
Windows 5.1.2600 Service Pack 2
Running: 0ifvtruy.exe; Driver: C:\DOKUME~1\Meryem\LOKALE~1\Temp\uwriiaog.sys


---- System - GMER 1.0.15 ----

Code 8644D448 ZwEnumerateKey
Code 86454478 ZwFlushInstructionCache
Code 864445EE IofCallDriver
Code 8641960E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 864445F3
.text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 86419613
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528C 5 Bytes JMP 8645447C
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622970 5 Bytes JMP 8644D44C
? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\Explorer.EXE[2288] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00BE2DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[2288] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00BE2C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[2288] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00BE2C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[2288] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00BE2C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2824] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2824] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2824] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe[2824] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Dit.exe[2840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Dit.exe[2840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Dit.exe[2840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Dit.exe[2840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\RunDll32.exe[2856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\RunDll32.exe[2856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\RunDll32.exe[2856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\RunDll32.exe[2856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\AGRSMMSG.exe[2872] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\AGRSMMSG.exe[2872] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\AGRSMMSG.exe[2872] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\AGRSMMSG.exe[2872] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\PROGRA~1\Medion\KeyStat\KeyStat.exe[2908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\PROGRA~1\Medion\KeyStat\KeyStat.exe[2908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\PROGRA~1\Medion\KeyStat\KeyStat.exe[2908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\PROGRA~1\Medion\KeyStat\KeyStat.exe[2908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\LVCOMSX.EXE[2944] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\LVCOMSX.EXE[2944] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\LVCOMSX.EXE[2944] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\LVCOMSX.EXE[2944] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Video\CameraAssistant.exe[2964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00AD2DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Video\CameraAssistant.exe[2964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00AD2C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Video\CameraAssistant.exe[2964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00AD2C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Video\CameraAssistant.exe[2964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00AD2C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ElkCtrl.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ElkCtrl.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ElkCtrl.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ElkCtrl.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QuickTime\qttask.exe[3036] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QuickTime\qttask.exe[3036] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QuickTime\qttask.exe[3036] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QuickTime\qttask.exe[3036] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe[3052] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe[3052] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe[3052] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe[3052] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3272] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3272] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3272] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3272] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe[3400] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe[3400] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe[3400] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe[3400] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[3416] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[3416] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[3416] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[3416] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Windows Media Player\WMPNSCFG.exe[3436] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Windows Media Player\WMPNSCFG.exe[3436] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Windows Media Player\WMPNSCFG.exe[3436] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Windows Media Player\WMPNSCFG.exe[3436] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[3488] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[3488] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[3488] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[3488] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\Meryem\Desktop\0ifvtruy.exe[3776] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\Meryem\Desktop\0ifvtruy.exe[3776] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\Meryem\Desktop\0ifvtruy.exe[3776] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\Meryem\Desktop\0ifvtruy.exe[3776] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\wuauclt.exe[3980] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\wuauclt.exe[3980] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\wuauclt.exe[3980] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\wuauclt.exe[3980] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs B7EF8400

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTdoymujeyfv.sys (*** hidden *** ) EE268000-EE284000 (114688 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTtiqqakntsr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [744] 0x00F20000
Library \\?\globalroot\systemroot\system32\H8SRTtiqqakntsr.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2288] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTdoymujeyfv.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTdoymujeyfv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTdoymujeyfv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmlqbowopxw.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTshiorgixdl.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTtiqqakntsr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTdoymujeyfv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTdoymujeyfv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmlqbowopxw.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTshiorgixdl.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTtiqqakntsr.dll
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37B85A2B-692B-4205-9CAD-2626E4993404}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37B85A2B-692B-4205-9CAD-2626E4993404}@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{4F07F79F-087F-42cf-8B36-7A88D06088E9}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{4F07F79F-087F-42cf-8B36-7A88D06088E9}@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9E385F0A-0BA2-430C-96AA-4399C5E40F6C}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C2828995-4A83-4100-A212-3024BA117356}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C2828995-4A83-4100-A212-3024BA117356}@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D2517915-48CE-4286-970F-921E881B8C5C}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D719897A-B07A-4C0C-AEA9-9B663A28DFCB}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D719897A-B07A-4C0C-AEA9-9B663A28DFCB}@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D742F4EC-5D39-4294-8A17-11969A294512}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DFEAF541-F3E1-4c24-ACAC-99C30715084A}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DFEAF541-F3E1-4c24-ACAC-99C30715084A}@ Microsoft Silverlight
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E13AAC70-70AE-4988-808C-B267F2C20E79}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E13AAC70-70AE-4988-808C-B267F2C20E79}@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E1771B7F-98BE-407F-BA67-AA16ADA5D0C5}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E1771B7F-98BE-407F-BA67-AA16ADA5D0C5}@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F06608C7-1874-4EEA-B3B2-DF99EBB144B8}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F06608C7-1874-4EEA-B3B2-DF99EBB144B8}@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MCD@Enable 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MCD@SwapSync 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MCD@Palettized Formats 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MCD@IO Priority 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MCD@Use Generic Stencil 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MCD@Enumerate as ICD 0

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\Temp\H8SRT7ddc.tmp 200 bytes
File C:\WINDOWS\Temp\H8SRT81f3.tmp 36864 bytes executable
File C:\WINDOWS\system32\drivers\H8SRTdoymujeyfv.sys 39936 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTmlqbowopxw.dll 23040 bytes executable
File C:\WINDOWS\system32\H8SRTshiorgixdl.dat 202 bytes
File C:\WINDOWS\system32\H8SRTtiqqakntsr.dll 36864 bytes executable
File C:\Dokumente und Einstellungen\Meryem\Lokale Einstellungen\Temp\H8SRTe72f.tmp 343040 bytes executable

---- EOF - GMER 1.0.15 ----

ist das ein rootkit fund? hört sich nicht gut an
lb gruß

hi

ja, da haben wir mit ein Rootkit zu tun :o
►Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung: die komplette Neuinstallation.

Falls Du dein System doch reinigen möchtest:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein


2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
filelist.bat - den letzten sechs Monaten!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

[code]
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTdoymujeyfv.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" deleted successfully.
File "C:\WINDOWS\system32\krl32mainweq.dll" deleted successfully.
File "C:\WINDOWS\tasks\A4FAC1DF918D7553.job" deleted successfully.

Error: file "C:\WINDOWS\Temp\H8SRT7ddc.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\H8SRT7ddc.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\Temp\H8SRT81f3.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\H8SRT81f3.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\H8SRTdoymujeyfv.sys" deleted successfully.
File "C:\WINDOWS\system32\H8SRTmlqbowopxw.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTshiorgixdl.dat" deleted successfully.
File "C:\WINDOWS\system32\H8SRTtiqqakntsr.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\Meryem\Lokale Einstellungen\Temp\H8SRTe72f.tmp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.[\code]

ha geschafft,antiVirGard meldet:Achtung Fund!
c:\Avenger\H8SRTdoymujeyfv.sys
Ist das Trojanische Pferd TR/TDss.avbu
was mache ich mit der Info?Vorgeschlagen wird Zugriff verweigern
ich beachte es mal nicht (wird schon falsch sein :crazy: )

[code]
----- Root -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

28.12.2009 17:35 43 filelist.txt
28.12.2009 17:30 1.610.612.736 pagefile.sys
28.12.2009 16:59 3.114 avenger.txt
28.12.2009 15:30 19.286 cleanup.exe
28.12.2009 15:30 574 cleanup.bat
28.12.2009 15:30 135.168 zip.exe
28.12.2009 11:12 447 remove.txt
29.11.2009 15:56 25.088 Rechtschutzversich_k�nd_mehmet.doc
28.11.2009 10:37 165.149 kalender_2010_a4_v1.pdf
11.10.2009 12:39 25.088 k�ndigung continentale adnan.doc
11.10.2009 11:55 20.992 Finanzamt M�nchen I_Widerspr_Bescheid 2008_.doc
26.08.2009 18:38 28.868.320 FileFormatConverters.exe


66 Datei(en) 1.677.097.326 Bytes
0 Verzeichnis(se), 105.315.291.136 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

28.12.2009 17:32 1.619.449 WindowsUpdate.log
28.12.2009 17:31 0 0.log
28.12.2009 17:31 6.104 ModemLog_Bluetooth DUN Modem.txt
28.12.2009 17:31 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
28.12.2009 17:31 2.020 ModemLog_Bluetooth Fax Modem.txt
28.12.2009 17:30 159 wiadebug.log
28.12.2009 17:30 50 wiaservc.log
28.12.2009 17:30 2.048 bootstat.dat
28.12.2009 17:29 32.608 SchedLgU.Txt
28.12.2009 16:58 94.208 DUMP8f7e.tmp
28.12.2009 16:56 94.208 DUMP5dc0.tmp
28.12.2009 16:54 94.208 DUMP5d16.tmp
28.12.2009 16:53 94.208 DUMP6d02.tmp
28.12.2009 16:52 94.208 DUMP5cca.tmp
28.12.2009 16:50 94.208 DUMP5d71.tmp
28.12.2009 16:49 94.208 DUMP5d45.tmp
28.12.2009 16:48 94.208 DUMP5cd7.tmp
28.12.2009 16:46 94.208 DUMP5cc9.tmp
28.12.2009 16:45 94.208 DUMP6051.tmp
28.12.2009 16:44 94.208 DUMP5dd0.tmp
28.12.2009 16:43 94.208 DUMP63ea.tmp
28.12.2009 16:16 94.208 DUMP6002.tmp
28.12.2009 16:14 94.208 DUMP5cc8.tmp
28.12.2009 16:12 94.208 DUMP5fa4.tmp
28.12.2009 16:11 94.208 DUMP5ca7.tmp
28.12.2009 16:09 94.208 DUMP5cc7.tmp
28.12.2009 16:08 94.208 DUMP5d23.tmp
28.12.2009 16:06 94.208 DUMP60ae.tmp
28.12.2009 16:05 94.208 DUMP6050.tmp
28.12.2009 16:03 94.208 DUMP608e.tmp
28.12.2009 16:02 94.208 DUMP5cd6.tmp
28.12.2009 16:00 94.208 DUMP5d33.tmp
28.12.2009 15:59 94.208 DUMP5cf4.tmp
28.12.2009 15:58 94.208 DUMP5d15.tmp
28.12.2009 15:56 94.208 DUMP5d44.tmp
28.12.2009 15:55 94.208 DUMP5dcf.tmp
28.12.2009 15:54 94.208 DUMP6978.tmp
28.12.2009 15:52 94.208 DUMP5d43.tmp
28.12.2009 15:51 94.208 DUMP5d91.tmp
28.12.2009 15:50 94.208 DUMP68eb.tmp
28.12.2009 15:46 94.208 DUMP5d62.tmp
28.12.2009 15:46 94.208 DUMP6987.tmp
28.12.2009 15:44 94.208 DUMP5d14.tmp
28.12.2009 15:43 94.208 DUMP6958.tmp
28.12.2009 15:41 94.208 DUMP5c87.tmp
28.12.2009 15:39 94.208 DUMP6021.tmp
28.12.2009 15:38 94.208 DUMP60bd.tmp
28.12.2009 15:36 94.208 DUMP5cc6.tmp
28.12.2009 15:35 94.208 DUMP609e.tmp
28.12.2009 15:34 94.208 DUMP5cd5.tmp
28.12.2009 15:32 94.208 DUMP5ca6.tmp
28.12.2009 15:31 94.208 DUMP5880.tmp
28.12.2009 10:36 94.208 DUMP591c.tmp
12.12.2009 13:30 937 win.ini
05.12.2009 11:44 116 NeroDigital.ini
10.07.2009 13:10 307.568 WLXPGSS.SCR


158 Datei(en) 21.215.288 Bytes
0 Verzeichnis(se), 105.315.291.136 Bytes frei

----- System ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system


30 Datei(en) 6.378.253 Bytes
0 Verzeichnis(se), 105.315.291.136 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

28.12.2009 17:31 2.206 wpa.dbl
28.12.2009 11:02 200 srcr.dat
22.12.2009 18:36 454.212 perfh007.dat
22.12.2009 18:36 69.950 perfc009.dat
22.12.2009 18:36 436.630 perfh009.dat
22.12.2009 18:36 1.056.184 PerfStringBackup.INI
22.12.2009 18:36 83.260 perfc007.dat
22.12.2009 16:45 1.024 default_user_class.dat.LOG
07.12.2009 07:26 270.192 FNTCACHE.DAT
01.12.2009 21:06 25.966.024 MRT.exe
30.11.2009 11:04 185.920 rmoc3260.dll
30.11.2009 11:04 5.632 pndx5032.dll
30.11.2009 11:04 6.656 pndx5016.dll
30.11.2009 11:03 278.528 pncrt.dll
26.11.2009 20:03 842.418 TZLog.log
29.10.2009 06:19 674.304 wininet.dll
29.10.2009 06:19 630.272 urlmon.dll
29.10.2009 06:19 61.952 tdc.ocx
29.10.2009 06:19 1.509.888 shdocvw.dll
29.10.2009 06:19 532.480 mstime.dll
29.10.2009 06:19 39.424 pngfilt.dll
29.10.2009 06:19 146.432 msrating.dll
29.10.2009 06:19 449.024 mshtmled.dll
29.10.2009 06:19 3.091.968 mshtml.dll
29.10.2009 06:19 205.312 dxtrans.dll
29.10.2009 06:19 96.768 inseng.dll
29.10.2009 06:19 16.384 jsproxy.dll
29.10.2009 06:19 251.904 iepeers.dll
29.10.2009 06:19 55.808 extmgr.dll
29.10.2009 06:19 357.888 dxtmsft.dll
29.10.2009 06:19 152.064 cdfview.dll
29.10.2009 06:19 1.024.000 browseui.dll
28.10.2009 16:07 46.080 tzchange.exe
28.10.2009 01:43 375.808 xpsp3res.dll
21.10.2009 07:00 75.776 strmfilt.dll
21.10.2009 07:00 25.088 httpapi.dll
13.10.2009 11:51 267.776 oakley.dll
12.10.2009 14:51 69.632 raschap.dll
12.10.2009 14:51 113.152 rastls.dll
25.09.2009 06:49 474.624 shlwapi.dll
25.09.2009 06:48 81.920 ieencode.dll
25.09.2009 06:48 1.056.256 danim.dll
25.09.2009 06:24 371.200 html.iec
11.09.2009 15:31 133.632 msv1_0.dll
04.09.2009 21:45 58.880 msasn1.dll
01.09.2009 15:32 282.654 msaud32.acm
26.08.2009 09:14 247.326 strmdll.dll
25.08.2009 10:46 352.256 winhttp.dll
21.08.2009 07:50 450.560 jscript.dll
20.08.2009 14:09 1.193.832 FM20.DLL
19.08.2009 17:07 1.415.000 msxml6.dll
14.08.2009 16:18 1.850.240 win32k.sys
06.08.2009 18:24 209.632 wuweb.dll
06.08.2009 18:24 327.896 wucltui.dll
06.08.2009 18:24 18.144 wuaueng.dll.mui
06.08.2009 18:24 15.584 wuapi.dll.mui
06.08.2009 18:24 217.816 wuaucpl.cpl
06.08.2009 18:24 35.552 wups.dll
06.08.2009 18:24 44.768 wups2.dll
06.08.2009 18:24 53.472 wuauclt.exe
06.08.2009 18:24 15.584 wuaucpl.cpl.mui
06.08.2009 18:24 96.480 cdm.dll
06.08.2009 18:24 23.264 wucltui.dll.mui
06.08.2009 18:23 575.704 wuapi.dll
06.08.2009 18:23 17.776 mucltui.dll.mui
06.08.2009 18:23 1.929.952 wuaueng.dll
06.08.2009 18:23 274.288 mucltui.dll
06.08.2009 18:23 215.920 muweb.dll
05.08.2009 10:05 206.336 mswebdvd.dll
04.08.2009 18:03 2.018.304 ntkrnlpa.exe
04.08.2009 18:03 2.138.624 ntoskrnl.exe
31.07.2009 05:58 1.172.480 msxml3.dll
26.07.2009 16:44 48.448 sirenacm.dll
21.07.2009 00:05 1.348.432 msxml4.dll
17.07.2009 19:56 58.880 atl.dll
17.07.2009 17:25 1.441.792 query.dll
13.07.2009 22:43 10.841.088 wmp.dll
13.07.2009 22:43 286.208 wmpdxm.dll


2182 Datei(en) 469.954.706 Bytes
0 Verzeichnis(se), 105.315.221.504 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Prefetch

28.12.2009 17:35 12.666 FIND.EXE-0EC32F1E.pf
28.12.2009 17:35 18.478 CMD.EXE-087B4001.pf
28.12.2009 17:35 17.456 VERCLSID.EXE-3667BD89.pf
28.12.2009 17:33 90.640 FIREFOX.EXE-1D57670A.pf
28.12.2009 17:32 22.700 WUAUCLT.EXE-399A8E72.pf
28.12.2009 17:32 33.978 PROFIL~1.EXE-21BC5BDB.pf
28.12.2009 17:32 10.858 SC_WATCH.EXE-105B9A9E.pf
28.12.2009 17:32 73.282 TONAUDI.EXE-1ED630F8.pf
28.12.2009 17:32 52.472 KERNEL.EXE-02A660F3.pf
28.12.2009 17:32 34.400 MAIN.EXE-199D2F6A.pf
28.12.2009 17:32 18.008 OSA.EXE-0082CBE3.pf
28.12.2009 17:32 1.353.166 NTOSBOOT-B00DFAAD.pf
28.12.2009 17:28 19.396 REGSVR32.EXE-25EEFE2F.pf
28.12.2009 17:27 14.812 REGEDIT.EXE-1B606482.pf
28.12.2009 17:24 13.060 WTSISCTD.EXE-09962B38.pf
28.12.2009 17:23 11.256 SCRNSAVE.SCR-017F06EB.pf
28.12.2009 17:20 109.466 WMIPRVSE.EXE-28F301A9.pf
28.12.2009 17:19 20.580 HIJACKTHIS.EXE-21A6F183.pf
28.12.2009 17:17 16.266 OFFICELIVESIGNIN.EXE-1F9630FD.pf
28.12.2009 17:17 29.166 WKDSTORE.EXE-31475208.pf
28.12.2009 17:17 96.014 WINWORD.EXE-259486DA.pf
28.12.2009 17:04 25.914 WEB_DE_UPDATE.EXE-05D02072.pf
28.12.2009 17:01 72.832 LOGITECHDESKTOPMESSENGER.EXE-251C7636.pf
28.12.2009 15:28 17.152 AVENGER.EXE-044E149C.pf
28.12.2009 14:31 17.268 RSMSINK.EXE-032F2BAB.pf
28.12.2009 14:31 31.454 DLLHOST.EXE-50F4AAA3.pf
28.12.2009 14:31 29.696 VSSVC.EXE-0F74375A.pf
28.12.2009 14:31 14.544 RUNDLL32.EXE-451FC2C0.pf
28.12.2009 14:29 29.704 NTBACKUP.EXE-012B886C.pf
28.12.2009 14:28 13.596 IMAPI.EXE-0BF740A4.pf
28.12.2009 14:26 17.882 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
28.12.2009 14:25 15.912 RUNDLL32.EXE-131355A2.pf
28.12.2009 14:16 90.370 ITUNES.EXE-15E88941.pf
28.12.2009 14:11 47.306 NERO.EXE-32314E31.pf
28.12.2009 13:42 19.502 IPODSERVICE.EXE-233792DA.pf
28.12.2009 13:35 36.736 WKSSS.EXE-369C5E59.pf
28.12.2009 13:34 24.726 E_S10RN2.EXE-38983110.pf
28.12.2009 13:34 21.466 E_S10MT2.EXE-0E680929.pf
28.12.2009 13:34 31.606 E_DPPE03.EXE-14897805.pf
28.12.2009 13:33 83.842 EXCEL.EXE-3281D776.pf
28.12.2009 12:54 62.630 HELPSVC.EXE-2878DDA2.pf
28.12.2009 12:53 15.846 DFRGNTFS.EXE-269967DF.pf
28.12.2009 12:53 18.178 DEFRAG.EXE-273F131E.pf
28.12.2009 12:53 510.580 Layout.ini
28.12.2009 12:37 36.960 RUNDLL32.EXE-17BD4855.pf
28.12.2009 12:36 24.004 MSDTC.EXE-0E6E4AF7.pf
28.12.2009 12:36 31.160 DLLHOST.EXE-5353C76C.pf
28.12.2009 12:24 38.440 RSTRUI.EXE-03C49A96.pf
28.12.2009 12:20 31.668 WKSDB.EXE-363D5A61.pf
28.12.2009 12:19 52.524 MSWORKS.EXE-118DC2B4.pf
28.12.2009 12:19 16.808 WKWDSTUB.EXE-287D6401.pf
28.12.2009 12:19 33.114 WKSCAL.EXE-28DC9075.pf
28.12.2009 12:19 12.540 WKCALREM.EXE-21E976E2.pf
28.12.2009 12:18 28.336 WKGDCACH.EXE-256B7488.pf
28.12.2009 12:15 30.074 GOOGLEUPDATER.EXE-36CE3796.pf
28.12.2009 12:13 75.110 NOTIFIER.EXE-1927A6E9.pf
28.12.2009 12:12 62.280 BROWSER.EXE-2ED051C5.pf
28.12.2009 12:12 31.168 WSUSRMGR.EXE-28188A17.pf
28.12.2009 12:06 58.434 ACRORD32.EXE-2E761392.pf
28.12.2009 12:06 18.826 ADOBEARM.EXE-237273D1.pf
28.12.2009 11:59 47.478 WLCOMM.EXE-222494DB.pf
28.12.2009 11:59 68.986 MSNMSGR.EXE-3ACF7E89.pf
28.12.2009 11:26 17.548 AVENGER.EXE-2FA571E1.pf
27.12.2009 21:34 43.650 CCLEANER.EXE-065E2F3F.pf
27.12.2009 20:42 18.120 NOTEPAD.EXE-336351A9.pf
27.12.2009 20:07 20.890 MSPAINT.EXE-11CBB631.pf
27.12.2009 17:46 69.748 0IFVTRUY.EXE-1EB862BC.pf
27.12.2009 17:18 14.330 RUNDLL32.EXE-2B626000.pf
27.12.2009 16:28 16.356 CLIPBRD.EXE-1B911FB5.pf
27.12.2009 16:26 13.228 RUNDLL32.EXE-268BFF96.pf
27.12.2009 13:54 27.040 AVCENTER.EXE-1D2DB8A2.pf
27.12.2009 12:32 14.932 WMPNSCFG.EXE-094B04CE.pf
27.12.2009 12:32 19.270 RUNDLL32.EXE-18ACD379.pf
27.12.2009 12:32 23.068 ATIPTAXX.EXE-12B5048A.pf
27.12.2009 12:32 10.596 DIT.EXE-08CE4330.pf
27.12.2009 12:32 15.200 USERINIT.EXE-30B18140.pf
27.12.2009 12:32 12.130 ATI2EVXX.EXE-19D16EB9.pf
27.12.2009 12:32 108.822 EXPLORER.EXE-082F38A9.pf
27.12.2009 12:32 47.046 WGATRAY.EXE-0ED38BED.pf
27.12.2009 12:24 35.470 SPRITE6.EXE-1F37C34A.pf
27.12.2009 12:24 17.812 ACTION.EXE-3A7DDC04.pf
27.12.2009 12:06 18.328 LOGIACTION.EXE-02D16420.pf
27.12.2009 11:51 25.550 CSC.EXE-1113BFA6.pf
27.12.2009 11:51 7.954 CVTRES.EXE-13DEB540.pf
27.12.2009 11:51 47.772 INFOCOCKPIT.EXE-2E6DC19E.pf
27.12.2009 11:51 11.294 AGRSMMSG.EXE-0034A7F7.pf
23.12.2009 19:33 82.942 MSIEXEC.EXE-2F8A8CAE.pf
23.12.2009 17:45 105.128 IEXPLORE.EXE-2CA9778D.pf
22.12.2009 17:15 42.748 AVWSC.EXE-2D5343B2.pf
19.12.2009 13:42 16.342 SNDVOL32.EXE-383480B7.pf
06.11.2009 08:26 13.458 MSNTBUP.EXE-0FE4C519.pf
91 Datei(en) 4.931.544 Bytes
0 Verzeichnis(se), 105.210.429.440 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\tasks

28.12.2009 17:31 1.044 Google Software Updater.job
28.12.2009 17:30 6 SA.DAT
19.12.2009 19:23 276 AppleSoftwareUpdate.job

4 Datei(en) 1.391 Bytes
0 Verzeichnis(se), 105.315.483.648 Bytes frei

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\Temp

28.12.2009 17:31 409 WGANotify.settings
28.12.2009 17:31 255 WGAErrLog.txt
27.12.2009 16:25 0 T30DebugLogFile.txt
3 Datei(en) 664 Bytes
0 Verzeichnis(se), 105.315.483.648 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\Meryem\LOKALE~1\Temp

28.12.2009 17:31 76.050 AdobeARM.log
28.12.2009 17:31 61.726 LVCOMSX.LOG
28.12.2009 17:19 114.688 ~DF7795.tmp
28.12.2009 14:28 0 CacheInfo.dnl
28.12.2009 12:06 181.241 Lieferschein.28.12.2009_1203.pdf
28.12.2009 12:06 66.412 Briefmarken_mit_Adresse.1Stk.28.12.2009_1203.pdf
28.12.2009 11:01 11.540 test.reg
27.12.2009 16:21 94.744 ~WRS0001.tmp
27.12.2009 16:13 16.384 ~WRF0000.tmp
9 Datei(en) 622.785 Bytes
0 Verzeichnis(se), 105.315.483.648 Bytes frei[\code]
[code]
Act 3d Silex Screensaver
Adobe Acrobat 5.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop Album 2.0 Starter Edition
Adobe Reader 9.2 - Deutsch
Agere Systems PCI Soft Modem
Apple Software Update
ArcSoft PhotoImpression
Ask Toolbar
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
BlueSoleil
C-Media High Definition Audio Driver
CCleaner
Compatibility Pack for the 2007 Office system
Crawler Toolbar with Web Security Guard
Creative MediaSource
Creatix V.92 Data Fax Modem
DELTA Direkt Tarifsoftware
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
eBay Toolbar
ElsterFormular 2007/2008
ElsterFormular 2008/2009
EPSON Copy Utility
EPSON Photo Print
EPSON PhotoQuicker3.2
EPSON Smart Panel
EPSON TWAIN 5
EPSON-Drucker-Software
Flatcast 4.15
Free Audio CD Burner version 1.2
Free Studio version 4.2
Free WMA to MP3 Converter 1.16
Free YouTube to MP3 Converter version 3.2
Generic USB CardReader 2.0
GoGear SA19xx Device Manager
Google Updater
High Definition Audio Driver Package - KB835221
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
IncrediMail Xe
Informationen über Ihren PC
iPod for Windows 2005-03-23
iTunes
J2SE Runtime Environment 5.0 Update 1
KeyStat
Learn2 Player (Uninstall Only)
LetsTrade Komponenten
Living Waterfalls Screensaver
Logitech Camera-Treiber
Logitech Desktop Messenger
Logitech QuickCam-Software
LV1871 Tarifsoftware
Macromedia Shockwave Player
Magentic
MediaShow 3.0
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft AutoRoute 2005
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Encarta Enzyklopädie 2005
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Live Add-in 1.3
Microsoft Office XP Standard für Schüler, Studierende und Lehrkräfte
Microsoft Picture It! Foto Premium 10
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft User-Mode Driver Framework Feature Pack 1.5
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual J# .NET Redistributable Package 1.1
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (3.5.6)
MSN
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MSXML 6 Service Pack 2 (KB973686)
Musicmatch® Jukebox
Nero Suite
Netlog 24
Netlog Music Tool
Netlog Uploader
Nokia Connectivity Cable Driver
Nokia Flashing Cable Driver
Nokia Software Updater
NOMAD MuVo TX
Panda ActiveScan 2.0
PC Connectivity Solution
PhotoNow! 1.0
PowerCinema 4.0
PowerDirector
PowerDVD
PowerProducer
QuickTime
RealPlayer
RT2500 USB Wireless LAN Card
ScanToWeb
Setup-Start von Microsoft Works 2005
Shockwave
SigmaTel MSCN Audio Player
Skype (BETA)
Skype™ 4.0
Smart Manager
Sony Ericsson PC Suite
T-Online 6.0
T-Online eMail Center Desktop-Startsymbole 1.0
T-Online WLAN-Access Finder
Turbo Lister 2
Uninstall 1.0.0.1
USB Video Device Driver
User Profile Hive Cleanup Service
videon
Viewpoint Media Player
W83L518D
WAV to MP3
WEB.DE Club E-Mail Alarm
WEB.DE Club SmartFax
WEB.DE Firefox Browser Update
WEB.DE Firefox Paket
WEB.DE Messenger
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live Sync
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Player 11
Windows-Sicherungsprogramm
Windows-Treiberpaket - Nokia Modem (03/05/2008 3.7)
WinSCP 4.2.5
WISO Mein Geld 5
X10 Hardware(TM)[\code]
:daumenhoc alle 4 punkte erledigt
gruß meryem

hi

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer
- C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren

2.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
3.
Crawler Toolbar with Web Security Guard - ich würde deinstallieren, absolut unnötig, verlangsamt nur den Browser deutlich!

4.
Der Messenger Plus! Live enthält einige Komponenten (Sponsorprogramm), die deinen Rechner ausspionieren, deshalb wird von diesem Programm abgeraten.
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil da oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
also deinstalliere Messenger Plus! Live unter `Start→ Systemsteuereung→ Ändern/Entfernen...` - ► achte aber darauf, ob da etwas beim Deinstallieren mit da steht, wie "Partner/Sponsorenprogramme entfernen"!

5.
Panda ActiveScan 2.0 - auch deinstallieren, wird bei Bedarf erneut installiert

6.
Viewpoint Media Player - wird ungefragt installiert, dabei benötigt man nicht!

7.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

8.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

[code]
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3450
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

29.12.2009 20:08:40
mbam-log-2009-12-29 (20-08-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 256554
Laufzeit: 54 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 18
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 18
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{85e06077-c824-43d0-a8dc-5efb17bc348a} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a4730ebe-43a6-443e-9776-36915d323ad3} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5937cd7f-1c0b-41e1-9075-60ebdf3c7d34} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\3.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\4.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\5.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\6.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\7.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\SrchAstt (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\SrchAstt\9.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\MyGlobalSearch\bar\History\search (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> Quarantined and deleted successfully.
[\code]
hallo
zuerst einmal ist ein großes dankeschön fällig
den messenger nehm ich mir demnächst vor
ich schau mal ob ich punkt 8 heute noch schaffe
lb.gruß:daumenhoc

[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:14, on 29.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Meryem\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Programme\Logitech\Video\InstallHelper.exe" /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINDOWS\system32\ElkCtrl.exe" /automation
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Programme\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [E-Mail Alarm] "C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe" HIDE
O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Philips SA19xx Gere-Manager.lnk = C:\Programme\Philips\GoGear SA19xx Device Manager\main.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8c4d7ef8342f48cd8459b356b4331d87
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8c4d7ef8342f48cd8459b356b4331d87
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suche - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11905 bytes
[\code]
so das habe ich auch noch erledigt
empfiehlt es sich eigentlich sämtliche kennwörter aufgrund des vorfalls zu ändern?
schönen abend

Ja, auf jeden Fall:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

4.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)

Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

5.
Adobe Reader aktualisieren :
Adobe Reader
Gegensatz zur Software von Adobe, der Foxit Reader ist eine kostenlose, schlanke und schnelle Software um PDF-Dateien zu öffnen: Foxit PDF Reader 3.1.1.0901 http://filepony.de/download-foxit/ nutzen;)

6.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

[code]
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/31/2009 at 03:44 PM

Application Version : 4.32.1000

Core Rules Database Version : 4430
Trace Rules Database Version: 2256

Scan type : Complete Scan
Total Scan Time : 00:52:33

Memory items scanned : 633
Memory threats detected : 0
Registry items scanned : 7028
Registry threats detected : 0
File items scanned : 36345
File threats detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Meryem\Cookies\meryem@atdmt[1].txt

Rogue.SmartProtector
C:\WINDOWS\system32\srcr.dat
[\code]

ich wünsche ein gesundes und glückliches neues jahr
hier kommt das ergebnis vom kaspersky online scan
[code]
KASPERSKY ONLINE SCANNER 7.0: scan report
Friday, January 1, 2010
Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Friday, January 01, 2010 09:25:42
Records in database: 3406223


Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes

Scan area My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\

Scan statistics
Objects scanned 91845
Threats found 1
Infected objects found 1
Suspicious objects found 0
Scan duration 02:55:51

File name Threat Threats count
C:\Programme\BSINSTALLDE.exe Infected: not-a-virus:AdWare.Win32.SaveNow.z 1

Selected area has been scanned.
[\code]

hi

das hier noch kannst per Hand löschen oder mit HJT:

1.
Rest v. Bearshare...
starte HijackThis--> wähle: "config -> misc tools --> delete a file on reboot"--> wähle die zu löschende datei - sehe der Inhalt dieser Code-Box (Text kopieren und einfügen, oder "Durchsuchen"), die frage zum neustart mit JA beantworten
2.
Wenn alles gut verlaufen ist und dein System läuft stabil, mache folgendes:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

3.
um sicher gehen kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern
Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

Empfehlungen/Vorschläge:
4.
- BHO`s & Toolbars (im Logfile HijacktHis 02 u. 03 aufgelistet):
Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, Adobe Reader usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers;) Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne...
Man kann sie deinstallieren oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
5.
Wie lange dauert die Startvorgang?
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, kannst manuell auch starten
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:
6.
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
7.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.

8.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Gibt es noch Probleme mit dem Rechner?

hallo
punkt 1-3 ist abgearbeitet :rolleyes:
hier das ergebnis von 3 verschiedenen online scans
[code]
BitDefender QuickScan Beta 32-bit v0.9.8.8
------------------------------------------

Überprüfungsdatum: Sat Jan 02 16:47:01 2010
Computer ID: F0ED29D3



Keine Infizierungen gefunden.
-------------------------------


Prozesse
--------
<unsigniert> AntiVir Desktop 2408 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
<unsigniert> AntiVir Desktop 1944 C:\Programme\Avira\AntiVir Desktop\avguard.exe
<unsigniert> AntiVir Desktop 1524 C:\Programme\Avira\AntiVir Desktop\sched.exe
<unsigniert> ATI Desktop Component 3860 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
<unsigniert> BTNtService.exe 1960 C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
<unsigniert> CLCapSvc Module 1972 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
<unsigniert> CLSched Module 2164 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
<unsigniert> Creative Service for CDROM Access 1988 C:\WINDOWS\system32\CTSvcCDA.EXE
<unsigniert> Customized Icon and Label 3876 C:\WINDOWS\Dit.exe
<unsigniert> Cyberlink Media Library Server 2004 C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
<unsigniert> Cyberlink MediaLibrary NT Service 2020 C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
<unsigniert> eEBSVC.exe 1736 C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
<unsigniert> EPSON Bidirectional Printer 2040 C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
<unsigniert> KeyStat.exe 3924 C:\Programme\Medion\KeyStat\KeyStat.exe
<unsigniert> Logitech Camera Software 388 C:\WINDOWS\system32\ElkCtrl.exe
<unsigniert> Logitech Desktop Messenger 2468 C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
<unsigniert> Logitech QuickCam 1416 C:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
<unsigniert> Logitech QuickCam 164 C:\Programme\Logitech\Video\CameraAssistant.exe
<unsigniert> Logitech QuickCam 3964 C:\WINDOWS\system32\LVCOMSX.EXE
<unsigniert> Microsoft (R) DRM 1496 C:\WINDOWS\system32\MsPMSPSv.exe
<unsigniert> QuickTime 668 C:\Programme\QuickTime\qttask.exe
<unsigniert> T-Online WLAN Adapter Steuerung 532 C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
<unsigniert> User Profile Hive Cleanup Service 1168 C:\Programme\UPHClean\uphclean.exe
<unsigniert> WEB.DE Club E-Mail Alarm 2780 C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
<unsigniert> Web.de IE7 Browser Update 1924 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe

<verifiziert> Agere SoftModem Messaging Applet 3904 C:\WINDOWS\AGRSMMSG.exe
<verifiziert> ATI External Event Utility for WindowsNT and Windo 844 C:\WINDOWS\system32\Ati2evxx.exe
<verifiziert> ATI External Event Utility for WindowsNT and Windo 3488 C:\WINDOWS\system32\Ati2evxx.exe
<verifiziert> Betriebssystem Microsoft® Windows® 2828 C:\Programme\Windows Media Player\wmplayer.exe
<verifiziert> Betriebssystem Microsoft® Windows® 1172 C:\Programme\Windows Media Player\WMPNetwk.exe
<verifiziert> Betriebssystem Microsoft® Windows® 2604 C:\Programme\Windows Media Player\WMPNSCFG.exe
<verifiziert> Betriebssystem Microsoft® Windows® 3608 C:\WINDOWS\Explorer.EXE
<verifiziert> Betriebssystem Microsoft® Windows® 3892 C:\WINDOWS\system32\RunDll32.exe
<verifiziert> Betriebssystem Microsoft® Windows® 1500 C:\WINDOWS\System32\SCardSvr.exe
<verifiziert> Betriebssystem Microsoft® Windows® 652 C:\WINDOWS\system32\services.exe
<verifiziert> Betriebssystem Microsoft® Windows® 424 C:\WINDOWS\System32\smss.exe
<verifiziert> Betriebssystem Microsoft® Windows® 2900 C:\WINDOWS\system32\wbem\wmiapsrv.exe
<verifiziert> Betriebssystem Microsoft® Windows® 604 C:\WINDOWS\system32\winlogon.exe
<verifiziert> eBay Toolbar Daemon 1308 C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
<verifiziert> Firefox 5708 C:\Programme\Mozilla Firefox\firefox.exe
<verifiziert> GoogleToolbarNotifier 2812 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
<verifiziert> Java(TM) Platform SE 6 U17 356 C:\Programme\Java\jre6\bin\jqs.exe
<verifiziert> Java(TM) Platform SE 6 U17 2436 C:\Programme\Java\jre6\bin\jusched.exe
<verifiziert> Microsoft Search Enhancement Pack 716 C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
<verifiziert> Microsoft® Visual Studio .NET 512 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
<verifiziert> Microsoft® Windows® Operating System 2648 C:\WINDOWS\System32\alg.exe
<verifiziert> Microsoft® Windows® Operating System 576 C:\WINDOWS\system32\csrss.exe
<verifiziert> Microsoft® Windows® Operating System 2384 C:\WINDOWS\system32\ctfmon.exe
<verifiziert> Microsoft® Windows® Operating System 664 C:\WINDOWS\system32\lsass.exe
<verifiziert> Microsoft® Windows® Operating System 1364 C:\WINDOWS\system32\spoolsv.exe
<verifiziert> Microsoft® Windows® Operating System 1140 C:\WINDOWS\System32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1124 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1100 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1048 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1008 C:\WINDOWS\System32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 916 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 864 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 336 C:\WINDOWS\System32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1604 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1196 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 2940 C:\WINDOWS\system32\wbem\wmiprvse.exe
<verifiziert> Microsoft® Windows® Operating System 2700 C:\WINDOWS\system32\wuauclt.exe
<verifiziert> SUPERAntiSpyware 3040 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
<verifiziert> T-Online Basis-Software Watchdog Modul 3448 C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
<verifiziert> T-Online Basissoftware 3264 C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
<verifiziert> T-Online Basissoftware 3508 C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\profilemgr.exe
<verifiziert> Windows Live Communications Platform 964 C:\Programme\Windows Live\Contacts\wlcomm.exe
<verifiziert> Windows Live Messenger 3784 C:\Programme\Windows Live\Messenger\msnmsgr.exe


Netzwerkaktivität
-----------------
Vorgang jusched.exe (2436) verbunden mit Anschluss 80 (HTTP) - static-ip-62-41.eurorings.net
Vorgang msnmsgr.exe (3784) verbunden mit Anschluss 1863 (MSN) - sn1msg2020113.phx.gbl
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - mu-in-f167.1e100.net
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - mu-in-f167.1e100.net
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - 65.55.149.122
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - www.assoc-amazon.de
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - fx-in-f139.1e100.net
Vorgang firefox.exe (5708) verbunden mit Anschluss 443 (HTTP over SSL) - img.web.de
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - 195.145.147.48
Vorgang firefox.exe (5708) verbunden mit Anschluss 443 (HTTP over SSL) - js.web.de
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - 195.145.147.42
Vorgang firefox.exe (5708) verbunden mit Anschluss 80 (HTTP) - 195.145.147.48

Vorgang svchost.exe (916) kontrolliert die Anschlüsse: 135 (RPC)
Vorgang CLMLService.exe (2020) kontrolliert die Anschlüsse: 63701


Autoruns und kritische Dateien
------------------------------
<unsigniert> Ahead Software Gmbh NeroCheck C:\WINDOWS\system32\NeroCheck.exe
<unsigniert> AntiVir Desktop C:\Programme\Avira\AntiVir Desktop\avgnt.exe
<unsigniert> ATI Desktop Component C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
<unsigniert> Customized Icon and Label C:\WINDOWS\Dit.exe
<unsigniert> DeviceManager C:\Programme\Philips\GoGear SA19xx Device Manager\main.exe
<unsigniert> KeyStat.exe C:\Programme\Medion\KeyStat\KeyStat.exe
<unsigniert> Logitech Camera Software C:\WINDOWS\system32\ElkCtrl.exe
<unsigniert> Logitech Desktop Messenger C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
<unsigniert> Logitech QuickCam C:\Programme\Logitech\Video\CameraAssistant.exe
<unsigniert> Logitech QuickCam C:\Programme\Logitech\Video\InstallHelper.exe
<unsigniert> Logitech QuickCam C:\Programme\Logitech\Video\ManifestEngine.exe
<unsigniert> Logitech QuickCam C:\WINDOWS\system32\LVCOMSX.EXE
<unsigniert> QuickTime C:\Programme\QuickTime\qttask.exe
<unsigniert> SuperAntiSpyware C:\Programme\SUPERAntiSpyware\SASSEH.DLL
<unsigniert> SUPERAntiSpyware WinLogon Processor C:\Programme\SUPERAntiSpyware\SASWINLO.dll
<unsigniert> T-Online Verbindungsassistent C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
<unsigniert> WEB.DE Club E-Mail Alarm C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe

<verifiziert> Adobe Acrobat C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
<verifiziert> Adobe Reader and Acrobat Manager C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
<verifiziert> Agere SoftModem Messaging Applet C:\WINDOWS\AGRSMMSG.exe
<verifiziert> Apple Software Update C:\Programme\Apple Software Update\SoftwareUpdate.exe
<verifiziert> ATI External Event Utility for NT, W2K and W9X C:\WINDOWS\system32\ati2evxx.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\Programme\Windows Media Player\WMPNSCFG.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\browseui.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\logonui.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\shell32.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\stobject.dll
<verifiziert> Betriebssystem Microsoft® Windows® c:\windows\system32\userinit.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\webcheck.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll
<verifiziert> eBay Toolbar Daemon C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
<verifiziert> Google Updater C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
<verifiziert> GoogleToolbarNotifier C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
<verifiziert> Java(TM) Platform SE 6 U17 C:\Programme\Java\jre6\bin\jusched.exe
<verifiziert> Microsoft Office XP C:\Programme\Microsoft Office\Office10\OSA.EXE
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\wpdshserviceobj.dll
<verifiziert> SUPERAntiSpyware C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
<verifiziert> Windows Genuine Advantage C:\WINDOWS\system32\WgaLogon.dll


Browser Plugins
---------------
<unsigniert> DivX Player Netscape Plugin C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll
<unsigniert> DivX Player Netscape Plugin C:\Programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll
<unsigniert> DivX Web Player C:\Programme\DivX\DivX Web Player\npdivx32.dll
<unsigniert> DivX Web Player C:\Programme\Mozilla Firefox\plugins\npdivx32.dll
<unsigniert> Java(TM) Platform SE 6 U17 c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<unsigniert> MSN Photo Upload Control C:\WINDOWS\Downloaded Program Files\PURen-us.dll
<unsigniert> MSN-Fotoupload-Steuerelement C:\WINDOWS\Downloaded Program Files\PURde-de.dll
<unsigniert> MSN-Fotoupload-Steuerelement C:\WINDOWS\Downloaded Program Files\PURde-xx.dll
<unsigniert> nppdf32.DEU C:\Programme\Internet Explorer\plugins\nppdf32.DEU
<unsigniert> nppdf32.DEU C:\Programme\Mozilla Firefox\plugins\nppdf32.DEU
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Internet Explorer\plugins\npqtplugin.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Internet Explorer\plugins\npqtplugin2.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Internet Explorer\plugins\npqtplugin3.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Internet Explorer\plugins\npqtplugin4.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Internet Explorer\plugins\npqtplugin5.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Internet Explorer\plugins\npqtplugin6.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Internet Explorer\plugins\npqtplugin7.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll
<unsigniert> QuickTime Plug-in 7.1.5 C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll
<unsigniert> RealJukebox NS Plugin C:\Programme\Mozilla Firefox\plugins\nprjplug.dll
<unsigniert> RealJukebox NS Plugin C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll
<unsigniert> RealPlayer Version Plugin C:\Programme\Mozilla Firefox\plugins\nprpjplug.dll
<unsigniert> RealPlayer Version Plugin C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll

<verifiziert> AcroIEHelperShim Library c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelpershim.dll
<verifiziert> Adobe Acrobat C:\Programme\Internet Explorer\plugins\nppdf32.dll
<verifiziert> Adobe Acrobat C:\Programme\Mozilla Firefox\plugins\nppdf32.dll
<verifiziert> Adobe® Flash® Player ActiveX C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\shdocvw.dll
<verifiziert> BitDefender QuickScan C:\Dokumente und Einstellungen\Meryem\Anwendungsdaten\Mozilla\Firefox\Profiles/0aej75nz.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
<verifiziert> BitDefender QuickScan C:\Dokumente und Einstellungen\Meryem\Anwendungsdaten\Mozilla\Firefox\Profiles/0aej75nz.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
<verifiziert> eBayTb Dynamic Link Library c:\programme\ebay\ebay toolbar2\ebaytb.dll
<verifiziert> Flatcast C:\Programme\Internet Explorer\plugins\NpFp415.dll
<verifiziert> Flatcast C:\Programme\Internet Explorer\plugins\NpFv415.dll
<verifiziert> Flatcast C:\Programme\Mozilla Firefox\plugins\NpFp415.dll
<verifiziert> Flatcast C:\Programme\Mozilla Firefox\plugins\NpFv415.dll
<verifiziert> Google Updater C:\Programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
<verifiziert> GoogleToolbarNotifier C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
<verifiziert> Java Deployment Toolkit 6.0.170.4 C:\Programme\Mozilla Firefox\plugins\npdeploytk.dll
<verifiziert> Java(TM) Platform SE 6 U17 c:\programme\java\jre6\bin\jp2ssv.dll
<verifiziert> Messenger C:\Programme\Messenger\msmsgs.exe
<verifiziert> Microsoft Office Live Plug-in for Firefox C:\Programme\Microsoft\Office Live\npOLW.dll
<verifiziert> Microsoft Search Enhancement Pack c:\programme\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
<verifiziert> Microsoft® Windows Live Login Helper c:\programme\gemeinsame dateien\microsoft shared\windows live\windowslivelogin.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll
<verifiziert> Mozilla Default Plug-in C:\Programme\Mozilla Firefox\plugins\npnul32.dll
<verifiziert> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verifiziert> RealPlayer Download and Record Plugin c:\programme\real\realplayer\rpbrowserrecordplugin.dll
<verifiziert> RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32- C:\Programme\Mozilla Firefox\plugins\nppl3260.dll
<verifiziert> RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32- C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll
<verifiziert> Silverlight Plug-In C:\Programme\Microsoft Silverlight\3.0.40818.0\npctrl.dll
<verifiziert> Windows Live Toolbar c:\programme\windows live\toolbar\wltcore.dll
<verifiziert> Windows Live® Photo Gallery C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll
<verifiziert> Windows Presentation Foundation C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll


fahlende Dateien
----------------
Datei nicht gefunden: WRLogonNTF.dll
eingetragen in: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier\"DllName"

Datei nicht gefunden: cmicnfg.cpl
eingetragen in: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"Cmaudio"


Überprüfen
----------
Folgende Dateien müssen hochgeladen werden für einen Scan vom Server:
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

Upload gestartet - 1 Datei(en)
hochgeladen: C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe - 67128 bytes, hash: a88b651baebae37fd607edd39496b92a
Upload Geschwindigkeit - 34 KB/s
Upload beendet - 1 hochgeladen, 0 fehlgeschlagen

Die hochgeladene(n) Datei(en) waren sauber.

Scan beendet - Kommunikation hat 4 Sek. gedauert
übertragene Daten - 0.14 MB gesendet, 3.83 KB empfangen
1425 Dateien und Module geprüft - 97 seconds
[\code]
[code]
a-squared Web Malware Scanner v. 4.0

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies, C:\WINDOWS\, C:\Programme
Archiv Scan: Ein
Heuristik: Aus
ADS Scan: Ein

Scan Start: 02.01.2010 17:34:30


Gescannt

Dateien: 59900
Traces: 605853
Cookies: 14
Prozesse: 66

Gefunden

Dateien: 0
Traces: 77
Cookies: 2
Prozesse: 0

Scan Ende: 02.01.2010 18:06:19
Scan Zeit: 00:31:49
[\code]
[code]
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=71810997009be44d828c8206dcb28fa1
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-02 03:02:50
# local_time=2010-01-02 04:02:50 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 781231 781231 0 0
# compatibility_mode=1024 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775125 100 94 412223 61932124 74946 0
# compatibility_mode=8192 67108863 100 0 3765 3765 0 0
# scanned=91220
# found=0
# cleaned=0
# scan_time=4329
[\code]
punkt 4 der empfehlungen/vorschläge ist auch erledigt
der pc funktioniert eigentlich ganz gut
allerdings kommt von web.de mail alarm nach der anmeldemaske so ein fenster hoch wo nach anmeldename und passwort gefragt wird
auch von philips das ist mein mp 3 spieler da kommt auch so eine meldung hoch
ich mach dann mal mit punkt 5 weiter
schönen abend!

hallo
ich hab also noch mal hijackthis laufen lassen
[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:14, on 03.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Meryem\Desktop\trojaner-board\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {22D8E815-4A5E-4dfb-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {92085AD4-F48A-450d-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Programme\Logitech\Video\InstallHelper.exe" /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINDOWS\system32\ElkCtrl.exe" /automation
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Programme\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Suche - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8096 bytes[\code]
mir ist allerdings aufgefallen das sicherheitscenter ist immer noch deaktiviert!!
was hat das zu bedeuten?
ansonsten läuft der pc ganz gut,benötigt etwa 3-4min.bis alles geladen ist
brauch ich javara.zip und javara noch?
die ganzen gespeicherten logfile muss ich das auch noch aufheben?
gruß
meryem

hi

1.
gar nicht erst nötig!
Dienst beenden:
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Deaktiviert, damit wird der Dienst ruhiggestellt...
" WEB.DE Firefox Update (AdminSVCff) - hablamax"

2.
- mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe

3.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!:[/u] muss auf dem Desktop installiert werden!
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann
- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

hallo,
habe combo.fix heruntergeladen(desktop),es kommt auch die sicherheitswarnung die ich mit ausführen bestätigt habe
danach erscheint folgendes fenster

soll der schnellassistent geschlossen werden?Hinweis:sie können den schnellassisten über das symbol in der taskleiste oder über die logitech kameraeinstellung wieder aufrufen
ja nein

es ist egal ob ich ja oder nein anklicke, danach tut sich nichts mehr

es wird auf englisch ein neustart verlangt,das habe ich gemacht und wenn ich combo.fix wieder starten will kommt wieder das fenster wegen dem schnellassistent

avira und die firewall hatte ich deaktiviert mache ich was falsch oder an was liegt das?
schönen abend!

hallo,
ich wollte nochmal erinnern:
combo.fix startet nicht bei mir, die exe ist auf dem desktop aber da kommt immer so eine mitteilung wegen dem schnellassistent.....
egal ob ich ja oder nein auswähle,der pc verlangt neustart und combo.fix startet immer noch nicht, was tun?

Ok, sorry war ich schon etwas müde :o

berichte erneut genau wie es dein rechner geht

hallo,der rechner läuft eigentlich ganz gut, aber ich sollte doch noch das mit combo.fix machen

habe combo.fix heruntergeladen(desktop),es kommt auch die sicherheitswarnung die ich mit ausführen bestätigt habe
danach erscheint folgendes fenster

soll der schnellassistent geschlossen werden?Hinweis:sie können den schnellassisten über das symbol in der taskleiste oder über die logitech kameraeinstellung wieder aufrufen
ja nein

es ist egal ob ich ja oder nein anklicke, danach tut sich nichts mehr

es wird auf englisch ein neustart verlangt,das habe ich gemacht und wenn ich combo.fix wieder starten will kommt wieder das fenster wegen dem schnellassistent

avira und die firewall hatte ich deaktiviert mache ich was falsch oder an was liegt das?

mit ComboFix kann es ja vorkommen, lassen wir weg
- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /Uninstall --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

** berichte erneut genau wie es dein rechner geht

hallo
combofix hat es gar nicht gefunden ich hab es also nur vom desktop löschen können
qoobox konnte ich löschen
papierkorb hab ich auch geleert
jetzt hab ich immer noch malwarebytes anti-malware und superantispyware free edition soll ich das lassen oder auch löschen?
der rechner läuft es kommen keine fehlermeldungen mehr und der heutige avirascan war ohne befund
was ich aber immer noch nicht verstehe ist warum das sicherheitscenter deaktiviert ist soll das so bleiben?
gruß meryem

Unter Systemsteuerung -> Leistung und Wartung -> "Dienste" doppelklicken-> Sicherheitscenter -> aktivieren

hallo
das sicherheitscenter ist jetzt aktiv, danke
was ist mit malwarebytes anti-malware und superantispyware brauche ich das noch?
die versteckten (noch immer sichtbar) dateien kann ich doch jetzt auch wieder verstecken?

1.
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
Erstelle einen neuen Wiederherstellungspunkt:
- Öffne den Arbeitsplatz und klicke deine Systemplatte ( C: ) rechts an.
- Gehe im Kontext auf "Eigenschaften"
- Klicke auf "Bereinigen"
- Klicke im Register "Weitere Optionen" bei "Systemwiederherstellung" auf
"Bereinigen"
- Bestätige 2x mit "OK"
Aktivieren und Deaktivieren der Systemwiederherstellung in Windows XP

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

wünsch Dir alles Gute:)

ja das wars dann wohl
nochmals herzlichen danke für alles
pc probleme gibt es immer mal wieder jetzt weiß ich ja wo ich kompetente hilfe bekomme :dankeschoen:
ich wünsche dir auch alles gute für die zukunft
lb gruß meryem

danke & wünsche Dir viel Spaß beim surfen:)