Redirect auf Pornoseiten, Wurm ?? Hilfe !!
 

Hi ! Hier mein Dilema: Internet Explorer verlinkt mich zu Porno seiten bei ganz bestimmten Webseiten, bei denen ich 100 % weiss das sie voll funktionieren und diesen Inhalt nicht bieten. Da der Browser nicht nur alleine betroffen ist ( Mozilla ebenfalls ) wird es wohl ein Wurm sein. Nach der URL eingabe versucht er zu der betroffenen Seite zu surfen kurz bevor alles vollständig geladen ist sieht man das er eine ganz andere IP ansteuert redirect to http://69.50.190.131/?to=dname&from=in! ...

ich habe mit mehrern Viren- und Malwarescannern (incl. Spybot) keine infizierten oder verdächtigen Dateien finden können.

Ich habe mir das Programm Hijackthis runtergeladen und gescannt nur kann ich mit der Log Datei des Scans nicht viel anfangen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:21, on 30.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SkyTel.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\thpsrv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\PROGRA~1\eScan\consctl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Andreas Piefke\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\f rit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a 141\fritzbox-usb-fernanschluss.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Palm\Palm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\Vista\escanmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\eScan\EScanWin.Exe
C:\PROGRA~1\eScan\mwavscan.com
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [ThpSrv] thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Andreas Piefke\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\f rit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a 141\AVMAutoStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/...x/qtplugin.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photoup...che=1221433104
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photoup...che=20071219-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photoup...che=1216549754
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///D:/CD-ROM/CDViewer/CdViewer.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Microsoft .NET Framework v1.1.4322 Update (NetFxUpdate_v1.1.4322) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfx update.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 9451 bytes


kann da einer von Euch was mit anfangen und mir helfen ? wäre Euch sehr dankbar... Gruß

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.
Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst diese Tarnung fällt, ist der Virus verwundbar...

Dein gesamter Datenverkehr wird auf einen anderen Server umgeleitet, vermutlich um dich auszuspionieren. Da dieser mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten, ODER auf Webseiten um entsprechende Schadware nachzuladen.

Kann es sein, dass du einen Videocodec geladen hast, der dir bis zu 40% mehr Performance versprochen hat?
DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu MalwareBytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Für Vista:
In die Netzwerkkontrolle gelangst du so
Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen. Falls dort Nummern eingetragen sind, poste sie hier....

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User


Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 5.
Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht..

Punkt 6.
Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass Gmer laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....

Vielen vielen Dank für Deine Hilfe. Ich habe alles wie angegeben durchgeführt, GMER hat angeschlagen und mich auf Rootkit activity hingewiesen.

---- Services - GMER 1.0.15 ----

Service system32\drivers\TDSSserv.sys (*** hidden *** )


Dieser Abschnitt aus dem log ist rot.

Wenn ich den kompletten log posten will dann bekomm ich diese Meldung hier:

Der Text, den Sie eingegeben haben, besteht aus 856001 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.


hier die restlichen logs:

Punkt 4

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



Punkt 5

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 2

02.04.2009 16:30:17
mbam-log-2009-04-02 (16-30-17).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 192466
Laufzeit: 1 hour(s), 23 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-02 17:06:06
Windows 5.1.2600 Service Pack 2



vielen Dank schon Mal !!!

Hier der Rest der noch danach kommt am Ende des Log- Files.

---- Services - GMER 1.0.15 ----

Service system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

---- EOF - GMER 1.0.15 ----

Hallo

So wird das leider ichts. ich brauche das komplette Logfile von Gmer
Bitte lade es zu dem filehoster hoch wie in meinem ersten Post beschrieben....
Ich muss alles sehen....

http://www.file-upload.net/download-1564482/Postingliste.doc.html

Auf dem Weg :daumenhoc

:taenzer: super !

Na bitte, da haben wir ja was wir brauchen.

Öffne jetzt das Programm Avenger.

Du siehst jetzt ein weißen Scriptfeld.
http://www.Redwulf.de/AV.jpg


Kopiere jetzt den Inhalt der Codebox mit Strg +C
und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows in einen Bluescreen. Auch dann kein Grund zur Sorge.

Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier.

Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne.

Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier.

Weiter geht es dann wieder mit MalwareBytes. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier.

Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log.

Dann gehts ans Aufräumen....

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSserv.sys" not found!
Deletion of driver "TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



den Rest mach ich gleich noch ...

Mir ist gerade ein Fehler beim kopieren unterlaufen. Ich weiss jetzt nicht ob du diesen Eintrag
in deinem Avenger Script auch mit eingefügt hast. Fall nicht, musst du nochmal Avenger laufen lassen mit dem kompletten Script. Ich habs zwischenzeitlich editiert. Einfach wieder kopieren und einfügen, dann auf Execute
Poste dann das Logfile hier

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSserv.sys" not found!
Deletion of driver "TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet001\Services\TDSSserv" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\TDSSserv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet003\Services\TDSSserv" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Puhhh, hammern doch erwischt...

Jetzt nochmal mit MalwareBytes ( Updates nicht vergessen ) und dann CCleaner.

Bei Funden alles löschen und dann nochmals ein frisches Hijack this, bitte

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1935
Windows 5.1.2600 Service Pack 2

03.04.2009 05:47:22
mbam-log-2009-04-03 (05-47-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 194293
Laufzeit: 1 hour(s), 22 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:52:11, on 03.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\eScan\consctl.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\SkyTel.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\thpsrv.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\Vista\escanmon.exe
C:\Dokumente und Einstellungen\Michael Sand\Anwendungsdaten\U3\34116109D100065C\LaunchPad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [ThpSrv] thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [RegKillTray] "C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe"
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Michael \Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1221433104
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///D:/CD-ROM/CDViewer/CdViewer.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 9462 bytes

Etwas ist noch nicht richtig gelaufen.
Ich möchte dich daher nochmals bitten, noch einmal Gmer laufen zu lassen.
Es scheint, als wäre etwas übrig geblieben. Ich muss, leider, nochmal ein Gmer Log sehen....

was mir auffällt ist dass ich nicht mehr weitergeleitet werde, aber irgendwas ist da immer noch ... danke nochmals bis hierhin.

hier der link vom 2. GMER Durchlauf ...

http://www.file-upload.net/download-1565620/gmer_2.log.html

Hallo,

lasse Avenger mit folgendem Skript laufen und poste das Log:
Gleich anschliessend noch ein Gmer-Log. Schliesse diesmal alle Programme, bevor Gmer startet.

Danach: Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "TDSSserv" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\TDSSserv" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

http://www.file-upload.net/download-1571068/Gmer_06_04_2009.log.html

halo habe versucht alle Programme auszuschalten, geht aber irgendwie nicht ...


ComboFix 09-04-04.01 - Michael Sand 2009-04-06 20:01:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1434 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
AV: eScan Anti-Virus (AV) Edition für Windows *On-access scanning enabled* (Updated)
FW: Norton Internet Worm Protection *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\mpg4c32.dll
c:\windows\system32\taskmgr.com
c:\windows\system32\test

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV


((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:52 . 2009-04-05 16:52 <DIR> d-------- c:\programme\Bonjour
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-04-05 16:50 <DIR> d-------- c:\programme\Apple Software Update
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-04-06 20:07 5,533,728 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-04-06 20:05 75,140 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 06:52 . 2009-04-06 09:30 33 --a------ c:\windows\escan.dbf
2009-03-27 01:33 . 2009-03-27 01:33 20 --a------ c:\windows\WIN.PRO
2009-03-27 01:31 . 2009-04-06 20:07 189,472 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2009-03-27 01:31 . 2009-04-06 20:05 18,764 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2009-03-27 01:11 . 2009-03-27 01:11 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-03-30 13:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-04-06 20:07 <DIR> d-------- c:\programme\eScan
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\programme\TuneUp Utilities 2009
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"MailScan Dispatcher"="c:\progra~1\eScan\LAUNCH.EXE" [2008-07-16 204800]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"=
"c:\\PROGRA~1\\eScan\\TRAYICOS.EXE"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\PROGRA~1\\eScan\\LICENSE.EXE"=
"c:\\PROGRA~1\\eScan\\MAILADM.EXE"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 eScan-trayicos;eScan Server-Updater;c:\progra~1\eScan\TRAYSSER.EXE [2009-03-27 78848]
R2 eScan Monitor Service;eScan Monitor Service;c:\progra~1\eScan\VISTA\avpmapp.exe [2009-03-27 598016]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-26 603904]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 ProcObsrves;Process Creation Monitor;c:\progra~1\eScan\ProcObsrves.sys [2009-03-27 5632]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-04-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 20:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-06 20:08:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\progra~1\eScan\CONSCTL.EXE
c:\windows\system32\ThpSrv.exe
c:\progra~1\eScan\TRAYICOS.EXE
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\windows\system32\ThpSrv.exe
c:\windows\system32\TPSBattM.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Apoint2K\ApntEx.exe
c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
c:\programme\iPod\bin\iPodService.exe
c:\progra~1\eScan\Vista\SCANNINGPROCESS.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-06 20:13:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-06 18:13:55

Vor Suchlauf: 7.198.806.016 Bytes frei
Nach Suchlauf: 7,136,534,528 Bytes frei

291 --- E O F --- 2009-03-18 06:13:36

Solange ich noch das Log lese (und dabei einen Herzinfarkt nach dem anderen bekomme :(), klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab.

Deinstalliere vorab:

• Kaspersky
• Norton/Symantec
• TuneUp Utilities
• EScan
• Spybot
• Regkill

ciao, andreas

oh so schlimm ? ... hm, also Tune Up, eScan und Spybot hab ich deinstalliert, die anderen Programm finde ich gar nicht. Zumindest kann ich die in Windows unter Software nicht finden ... soll ich trotzdem die Liste unter Punkt 2 abarbeiten ? Danke, M.

:daumenhoc Ja.

ciao, andreas

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

06.04.2009 21:57:07
mbam-log-2009-04-06 (21-57-07).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 193401
Laufzeit: 1 hour(s), 10 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:26, on 06.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\SkyTel.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\thpsrv.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Dokumente und Einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Palm\Palm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [ThpSrv] thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [RegKillTray] "C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1221433104
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///D:/CD-ROM/CDViewer/CdViewer.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

--
End of file - 9035 bytes

Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Photoshop 5.0 Limited Edition
Adobe Reader 7.0.5 Language Support
Adobe Reader 7.0.9 - Deutsch
ALPS Touch Pad Driver
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoStudio 5.5
Audiograbber 1.83 SE
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!Box Dokumentation
AVM FRITZ!Box Druckeranschluss
AVM FRITZ!DSL
AVS Media Player 3.1
AVS Update Manager 1.0
AVS4YOU Software Navigator 1.3
BlackBerry Desktop Software 4.6
BlackBerry Desktop Software 4.6
Bluetooth Stack for Windows by Toshiba
Bonjour
Canon MP Navigator EX 1.0
Canon Utilities Solution Menu
CanoScan LiDE 90
CCleaner (remove only)
CD/DVD Drive Acoustic Silencer
CodecInstaller 2.10.1
Compatibility Pack for the 2007 Office system
Corel Painter IX
CorelDRAW Graphics Suite X3
DE
Documents To Go
DVD Region Killer
EndNote X Volume License Edition
e-Wörterbücher
Feurio! CD-Writer
ffdshow [rev 2135] [2008-09-21]
FontNav
Fotosizer 1.16
gBurner
Google Earth
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB893357)
Hotfix für Windows XP (KB894871)
Hotfix für Windows XP (KB896243)
Hotfix für Windows XP (KB896256)
Hotfix für Windows XP (KB910728)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB935448)
Hotfix für Windows XP (KB952287)
hp LaserJet 1010 Series
ICQ6.5
Image Resizer Powertoy for Windows XP
InfraRecorder
Intel(R) Graphics Media Accelerator Driver
Intel(R) PRO Network Connections Drivers
Intel(R) PROSet/Wireless Software
InterVideo WinDVD Creator 2
InterVideo WinDVD for TOSHIBA
ISI ResearchSoft - Export Helper
IsoBuster 2.3
iTunes
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 5
Java(TM) 6 Update 7
LimeWire 4.18.3
Macromedia Flash Player
MagicDisc 2.7.105
Malwarebytes' Anti-Malware
mCore
mDrWiFi
MedCalc
mHelp
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office OneNote 2003
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
mIWA
mLogView
mMHouse
Mozilla Firefox (3.0.8)
mPfMgr
mPfWiz
mProSafe
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
mWlsSafe
mXML
mZConfig
OpenOffice.org 2.0
Palm Desktop
PDFCreator
QuickTime
RealPlayer
Realtek High Definition Audio Driver
ScanSoft OmniPage SE 4
SD Secure Module
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893066)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896422)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899588)
Sicherheitsupdate für Windows XP (KB899589)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901190)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB905915)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922760)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925454)
Sicherheitsupdate für Windows XP (KB925486)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sonic DLA
Sonic RecordNow!
SPSS 11.5.1 für Windows
TOSHIBA Assist
TOSHIBA Benutzerhandbücher
TOSHIBA ConfigFree
TOSHIBA Controls
TOSHIBA Dienstprogramme
TOSHIBA HDD Protection
TOSHIBA Hotkey Utility für Anzeigegeräte
TOSHIBA Mobile Extension3 für Windows XP V3.80.00.XP
TOSHIBA Passwort-Utility
TOSHIBA PC-Diagnose-Tool
TOSHIBA Power Saver
TOSHIBA SD Memory Boot Utility
TOSHIBA SD-Speicherkarten-Formatierung
TOSHIBA Sicherheits-Assistent
TOSHIBA Software Modem
TOSHIBA Touchpad Ein/Aus Utility V2.05.01
TOSHIBA Utility zum Bildschirmwechsel
TOSHIBA Zoom-Dienstprogramm
UMTS USB Modem Manager
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB912945)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB925720)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update Manager
VBA
VLC media player 0.9.2
VoiceOver Kit
WD Diagnostics
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp (remove only)
Windows Communication Foundation
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live installer
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885855
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB888622
Windows XP-Hotfix - KB889673
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893056
Windows XP-Hotfix - KB895200
WinRAR
WinZip
Wireless Hotkey
XML Paper Specification Shared Components Language Pack 1.0
Xvid 1.1.3 final uninstall

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas

Datei qjqea.uwe empfangen 2009.04.06 22:49:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.06 -
AhnLab-V3 5.0.0.2 2009.04.06 -
AntiVir 7.9.0.138 2009.04.06 -
Antiy-AVL 2.0.3.1 2009.04.06 -
Authentium 5.1.2.4 2009.04.06 -
Avast 4.8.1335.0 2009.04.06 -
AVG 8.5.0.285 2009.04.06 -
BitDefender 7.2 2009.04.06 -
CAT-QuickHeal 10.00 2009.04.06 -
ClamAV 0.94.1 2009.04.06 -
Comodo 1101 2009.04.06 -
DrWeb 4.44.0.09170 2009.04.06 -
eSafe 7.0.17.0 2009.04.06 -
eTrust-Vet 31.6.6435 2009.04.03 -
F-Prot 4.4.4.56 2009.04.05 -
F-Secure 8.0.14470.0 2009.04.06 -
Fortinet 3.117.0.0 2009.04.06 -
GData 19 2009.04.06 -
Ikarus T3.1.1.49.0 2009.04.06 -
K7AntiVirus 7.10.694 2009.04.06 -
Kaspersky 7.0.0.125 2009.04.06 -
McAfee 5576 2009.04.06 -
McAfee+Artemis 5576 2009.04.06 -
McAfee-GW-Edition 6.7.6 2009.04.06 -
Microsoft 1.4502 2009.04.06 -
NOD32 3990 2009.04.06 -
Norman 6.00.06 2009.04.06 -
nProtect 2009.1.8.0 2009.04.06 -
Panda 10.0.0.14 2009.04.06 -
PCTools 4.4.2.0 2009.04.06 -
Prevx1 V2 2009.04.06 -
Rising 21.23.41.00 2009.04.03 -
Sophos 4.40.0 2009.04.06 -
Sunbelt 3.2.1858.2 2009.04.06 -
Symantec 1.4.4.12 2009.04.06 -
TheHacker 6.3.4.0.303 2009.04.06 -
TrendMicro 8.700.0.1004 2009.04.06 -
VBA32 3.12.10.2 2009.04.06 -
ViRobot 2009.4.6.1680 2009.04.06 -
VirusBuster 4.6.5.0 2009.04.06 -
weitere Informationen
File size: 1024 bytes
MD5...: f048f160bdd2d6d84b1af78c60088946
SHA1..: cd997af8f9481872ae7c2117453ea95b566cb86b
SHA256: 4e9406dfe5d6f545d0ac2ce954c389422480218a0426d4c3744c6916d094bad3
SHA512: 0c92c35f10353e4d1b94fbd5f5513e40641736b37927987722a128ed986acf7a
b38c765793cd4a98b8378298644e28f1f73c51cafc3f970101d7356765f30b74
ssdeep: 3:5dlX:Dl

PEiD..: -
TrID..: File type identification
Memo File Apollo Database Engine (35.3%)
Lumena CEL bitmap (25.3%)
Corel Photo Paint (16.4%)
VXD Driver (12.4%)
Sybase iAnywhere database files (7.6%)
PEInfo: -
RDS...: NSRL Reference Data Set
-

1.) Lade die Datei c:\windows\qjqea.uwe bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN zu. Lösche sie anschliessend.

2.) Deinstalliere:

• Adobe Reader 7.0.5 Language Support
• Adobe Reader 7.0.9 - Deutsch
• Apple Software Update
• Bonjour
• J2SE Runtime Environment 5.0 Update 6
• Java(TM) 6 Update 5
• Java(TM) 6 Update 7
• LimeWire 4.18.3 (Virenschleuder)
• Macromedia Flash Player
• VLC media player 0.9.2

3.) Installiere (Toolbars immer abwählen, Haken weg):

• Download der Java-Software von Sun Microsystems
• Adobe Reader oder besser FoxIt Reader
• VideoLAN oder besser KM Player

4.) Erstelle ein aktuelles Log mit ComboFix und poste es.

ciao, andreas

http://www.materialordner.de/f1kYAD9cHe5EeWvczXlmYY8V8WaaCg.html

Welche Dateigröße wird dir angezeigt, wenn du die Datei im Windowsexplorer anzeigen lässt?

ciao, andreas

1 kb

gruß und vielen Dank für Deine Hilfe !!!

Michael

ne frage bin habe keine anung wie mach ich mein eigenen eintrag habe nemlich ein problem!

also meine mein eigenes thema wo ich hilfe bzw. Antworten bekomme!

@Computers

Um welches Problem geht es denn?

ciao, andreas

ComboFix 09-04-04.01 - Michael Sand 2009-04-06 23:41:57.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1447 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
FW: Norton Internet Worm Protection *disabled*
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:32 <DIR> d-------- c:\windows\LastGood
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-04-06 23:45 6,092,832 --a------ c:\windows\system32\drivers\fidbox.dat
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-04-06 20:05 75,140 --------- c:\windows\system32\drivers\fidbox.idx
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:31 . 2009-04-06 23:44 238,368 --a------ c:\windows\system32\drivers\fidbox2.dat
2009-03-27 01:31 . 2009-04-06 20:05 18,764 --------- c:\windows\system32\drivers\fidbox2.idx
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll
2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe
2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll
2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll
2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-02-04 16:34:00 194,320 ----a-w c:\windows\LastGood\system32\DRIVERS\klif.sys
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:37:05 16,384 ----atw c:\windows\temp\Perflib_Perfdata_180.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - JAVAQUICKSTARTERSERVICE
*NewlyCreated* - WMIAPSRV
*Deregistered* - ProcObsrves

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-06 23:45:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-04-06 23:46:49
ComboFix-quarantined-files.txt 2009-04-06 21:46:47
ComboFix2.txt 2009-04-06 18:14:01

Vor Suchlauf: 7.187.730.432 Bytes frei
Nach Suchlauf: 7,262,691,328 Bytes frei

288 --- E O F --- 2009-03-18 06:13:36

wobei Avira im Hintegrund lief und er eine Datei gefunden hat die verdächtig ist.

AV-test.txt

enthält Code des Eica Test Signature Virus


Eicar-Test-Signature - Malware Siehe auch
Kurzfassung Vollständig Statistik

Wie würden Sie diese Information bewerten?
Wertlos Hervorragend




Name: Eicar-Test-Signature
Art: Testdatei
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Ja
Dateigröße: 68 Bytes
MD5 Prüfsumme: 44d88612fea8a8f36de82e1278abb02

Wichtige Information Der Zweck dieses Programms ist es Antivirensoftware zu testen und um eine korrekte Installation sicherzustellen. Das Programm selbst ist daher kein Virus. Der Name dieses Testprogramms kommt von der EICAR (European Institute for Computer Anti-Virus Research) Organisation. Weitere Informationen sind auf deren Webseite www.eicar.com verfügbar.

Bitte beachten Sie, dass das EICAR Testprogramm größer als 68 Bytes sein könnte. Die korrekte Dateigröße ist jedoch 68 Bytes und Funktionstests sollten nur damit durchgeführt werden.
General Aliases:
• Symantec: EICAR Test String
• Mcafee: EICAR test file
• Kaspersky: EICAR-Test-File
• TrendMicro: Eicar_test_file
• F-Secure: EICAR-Test-File
• Sophos: EICAR-AV-Test
• Panda: EICAR-AV-TEST-FILE
• Eset: EICAR_test_file
• Bitdefender: EICAR-Test-File

Weitere Details finden Sie hier .


Beschreibung erstellt von Oliver Auerbach am Tue, 13 Dec 2005 15:20 (GMT+1)




ich hab die Datei in Quarantäne gepackt

so hab jetzt nach dem ganzen löschen und installieren noch mal einen Neustart gemacht und nochmal einen neuen Combofix:

ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:00:10.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1509 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
FW: Norton Internet Worm Protection *disabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll
2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe
2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll
2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll
2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:55:37 16,384 ----atw c:\windows\temp\Perflib_Perfdata_578.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MESSENGER

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 00:02:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 0:04:20
ComboFix-quarantined-files.txt 2009-04-06 22:04:19
ComboFix2.txt 2009-04-06 21:46:51
ComboFix3.txt 2009-04-06 18:14:01

Vor Suchlauf: 7.292.051.456 Bytes frei
Nach Suchlauf: 7,269,343,232 Bytes frei

284 --- E O F --- 2009-03-18 06:13:36

Die ist ungefährlich. :D

EICAR-Testdatei ? Wikipedia

1.) Download und Ausführung des Norton-Entfernungsprogramms

2.) Was hab ich nochmal geschrieben?
So, du schreibst jetzt 100mal an die Tafel: Ich soll keine Toolbars mitinstallieren! :aufsmaul:

Danach deinstallierst du die Ask-/Foxit-Toolbar.

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

was bist Du eigentlich für ne Hammer Maschine ?!??? ... danke.

FoxIt hat es selber installiert ... wirklich !!!

dann werd ich das mal alles machen. gruss

m

ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:40:21.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 22:45:42 16,384 ----atw c:\windows\temp\Perflib_Perfdata_458.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 00:46:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\windows\system32\ThpSrv.exe
c:\windows\system32\TPSBattM.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Apoint2K\ApntEx.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\ThpSrv.exe
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 0:53:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-06 22:52:58
ComboFix2.txt 2009-04-06 22:04:21
ComboFix3.txt 2009-04-06 21:46:51
ComboFix4.txt 2009-04-06 18:14:01

Vor Suchlauf: 7.214.071.808 Bytes frei
Nach Suchlauf: 7,231,037,440 Bytes frei

285 --- E O F --- 2009-03-18 06:13:36

Irgendetwas hat da nicht funktioniert. Lösche die cfscript.txt und erstelle sie nocheinmal.

Deinstalliere Escan.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

ComboFix 09-04-04.01 - Michael Sand 2009-04-07 18:13:15.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1467 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 ))))))))))))))))))))))))))))))
.

2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-07 16:18:22 16,384 ----atw c:\windows\temp\Perflib_Perfdata_430.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 18:19:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\windows\system32\TPSBattM.exe
c:\windows\system32\ThpSrv.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Apoint2K\ApntEx.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\ThpSrv.exe
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 18:25:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-07 16:25:31
ComboFix2.txt 2009-04-06 22:53:02
ComboFix3.txt 2009-04-06 22:04:21
ComboFix4.txt 2009-04-06 21:46:51
ComboFix5.txt 2009-04-07 16:12:21

Vor Suchlauf: 7.155.499.008 Bytes frei
Nach Suchlauf: 7,263,866,880 Bytes frei

285 --- E O F --- 2009-03-18 06:13:36

hi !

zwei Sachen:

1) wenn ich das Script im Editor in eine txt datei packe geht die Formatierung verloren, sprich der gesamte Text ist in einer Zeile. Ist das ok ?

2) ich kann die Textdatei nur mit der linken Maustaste auf das Combofix Icon ziehen, nach dem Combofix gelaufen ist ist die Datei nicht mehr auf dem Desktop ?! richtig ?

danke, gruss...

M

Nein, ich wundere mich schon die ganze Zeit, warum das nicht funktioniert. Welchen Editor benutzt du? Versuche es mit Start => Ausführen => notepad => OK

Nein. Du musst es mit der rechten Maustaste ziehen und beim loslassen die Maus nicht bewegen.

ciao, andreas

so glaube diesmal hat es geklappt, zumindest hat Combofix diesmal angezeigt es hätte was gelöscht ... bin ich jetzt wieder clean ? :party:



ComboFix 09-04-04.01 - Michael Sand 2009-04-07 18:43:46.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1519 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\23990098.$$$
C:\bootini.ins
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\R.COM
c:\windows\REGBK00.ZIP
c:\windows\system32\contfilt.dll
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox.idx
c:\windows\system32\drivers\fidbox2.dat
c:\windows\system32\drivers\fidbox2.idx
c:\windows\system32\mwnsp.dll
c:\windows\system32\mwtsp.dll
c:\windows\system32\T.COM
c:\windows\winsbak.reg
c:\windows\winsbak2.reg
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\23990098.$$$
C:\bootini.ins
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudAntivirus.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudAntivirus1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Adobe Reader - Schnellstart.lnk
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Dataviz Messenger.lnk
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Microsoft Office.lnk
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\WinZip Quick Pick.lnk
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000020.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000021.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000022.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000023.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000024.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Dashboard\IntegratorStates.bin
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte\MagicDisc.lnk
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\PreviousEntries.dat
c:\programme\Spybot - Search & Destroy
c:\programme\Spybot - Search & Destroy\advcheck.dll
c:\programme\Spybot - Search & Destroy\TeaTimer.exe
c:\windows\R.COM
c:\windows\REGBK00.ZIP
c:\windows\system32\contfilt.dll
c:\windows\system32\FLCSS.EXE
c:\windows\system32\mwnsp.dll
c:\windows\system32\mwtsp.dll
c:\windows\system32\T.COM
c:\windows\winsbak.reg
c:\windows\winsbak2.reg

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 ))))))))))))))))))))))))))))))
.

2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} ----

2009-04-05 16:54 3686 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DIFxInstallLog.txt
2009-02-04 13:56 75112 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DifXInstall32.exe
2009-01-27 09:19 7919 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\gearaspiwdmx86.cat
2009-01-15 12:19 23848 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\x86\GEARAspiWDM.sys
2009-01-15 11:24 2763 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\GEARAspiWDM.inf
2008-04-17 12:12 107368 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\x86\GEARAspi.dll
2006-11-02 06:21 319456 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DIFxAPI.dll

---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} ----

2009-02-26 14:49 17217024 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}\{FB68628E-8FB9-41C2-BA55-D129249EE2AF}.msi

---- Directory of C:\PUB ----



((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-07 16:47:47 16,384 ----atw c:\windows\temp\Perflib_Perfdata_220.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 18:48:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\TPSBattM.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Apoint2K\ApntEx.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\ThpSrv.exe
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 18:53:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-07 16:53:29
ComboFix2.txt 2009-04-07 16:25:35
ComboFix3.txt 2009-04-06 22:53:02
ComboFix4.txt 2009-04-06 22:04:21
ComboFix5.txt 2009-04-07 16:43:19

Vor Suchlauf: 7.243.988.992 Bytes frei
Nach Suchlauf: 7,226,265,600 Bytes frei

282 --- E O F --- 2009-03-18 06:13:36

Mit dem, was du da hattest, ist nicht zu Spaßen.

1.) Start => Ausführen => combofix /u => OK

2.) http://www.trojaner-board.de/51871-a...tispyware.html Punkt 1-3 der Anleitung abarbeiten.

3.) Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• Kaspersky Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/07/2009 at 10:28 PM

Application Version : 4.26.1000

Core Rules Database Version : 3833
Trace Rules Database Version: 1789

Scan type : Complete Scan
Total Scan Time : 01:14:47

Memory items scanned : 568
Memory threats detected : 0
Registry items scanned : 6481
Registry threats detected : 0
File items scanned : 104371
File threats detected : 24

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@mediaplex[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@realmedia[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@c7.zedo[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad2.doublepimp[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@hitbox[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@revsci[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@advertising[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@server.iad.liveperson[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@zedo[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adtech[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ehg-christiandior.hitbox[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@server.iad.liveperson[5].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.71i[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@doubleclick[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adserver.71i[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@atdmt[3].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ads.heias[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.yieldmanager[1].txt

SuperAntiSpyware gleich wieder deinstallieren.

ciao, andreas

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, April 8, 2009
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, April 07, 2009 23:01:41
Records in database: 2021744
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
H:\
J:\

Scan statistics:
Files scanned: 110062
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 01:56:05

No malware has been detected. The scan area is clean.

The selected area was scanned.

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

Ansonsten würde ich sagen, du bist entlassen. Klicke auf die letzten beiden Links in meiner Signatur und sorge dafür, dass sowas nicht nochmal passiert. :)

ciao, andreas

also ich merke überhaupt gar nichts mehr. War dass jetzt die .uwe Datei ? War das n Wurm ? Virus ? ... dann werde ich mal die beiden letzten Punkte noch durcharbeiten. Vielen vielen Dank, habt Ihr irgendwie so ne Art Kaffeekasse ?

ach ja nochwas ... muss ich jetzt alle Passwörter / Kraditkarten / online banking Daten etc. wechseln ?

Der letzte Link funktioniert, der vorletzte nicht.

Nein.
Schlimmer.
Rootkit.TDss.Gen
Backdoor.Win32.TDSS.s - a-squared Malware Beschreibung
perComp-Verlag GmbH - IT-Security Lösungen
Nö.
Das ist zu empfehlen. :D
Hab gerade nochmal kontrolliert. Bei mir schon. Google nach oschad, der erste Treffer ist richtig.

ciao, andreas