Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner: Generic18.VII,Trojaner: Dropper.Generic2.XRU... k. Windows Update m. ,OTL & Malw Log anbei (https://www.trojaner-board.de/87909-trojaner-generic18-vii-trojaner-dropper-generic2-xru-k-windows-update-m-otl-malw-log-anbei.html)

mitch77 09.07.2010 13:29
Ok, bin gerade beim Combofix erstellen, habe alles wie in der Anleitung auf inaktiv gesetzt AVG + windows firewall... (bin jetzt am Rechner von meinem Mitbewohner)

Ich glaube Combofix gestartet, hatte aber noch einmal vorher gemeckert, das Combofix Daemontools ausschalten muss.

ich glaube das sollte ich eh danach mal rausschmeissen, oder ?

Habe hier irgendwo gelesen, dass das auch zu Problemen führen kann...

Außerdem kam so ein komischer Hinweis, mit einer warnung von Combofix fake seiten, und der Verweis auf bleeping... Ist das richtig ?

Nach der Daemon Tools meldung von Combifix sehe ich nur noch den leeren Desktop, ohne Icons, aber der Rechner scheint im Hintergrund zu laufen...

Ist das richtig oder müsste ich dieses blaue Combofix Fenster sehen ?

Auch diese Ausführwarnung / Sicherheitswarnung von Windows kam nicht, das der Herausgeber von der Software nicht verifitiert werden konnte

mitch77 09.07.2010 13:45
Ok, nachdem er wieder hochgefahren ist, hat er Wiederherstellungspunkt restellt und sucht jetzt nach infizierten Datein...

markusg 09.07.2010 13:53
ja wenn du das nicht brauchst haus runter.

mitch77 09.07.2010 14:14
Ok,
Windows Firewall und AVG sind wieder scharf, hier das Combofix LOG, er hat zwischendurch einmal Windows neu gestartet, da Rootkit Aktivität festgestellt worden ist...

Combofix Logfile:
Code:
ComboFix 10-07-08.02 - Moritz 09.07.2010  14:49:37.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1553 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Moritz\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\lsprst7.dll
c:\windows\system32\Thumbs.db

Infizierte Kopie von c:\windows\system32\drivers\i8042prt.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((  Dateien erstellt von 2010-06-09 bis 2010-07-09  ))))))))))))))))))))))))))))))
.

2010-07-09 09:41 . 2010-07-09 09:41        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-07-08 15:15 . 2010-07-08 15:15        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\Help
2010-07-08 13:39 . 2010-07-08 13:39        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-07-08 13:21 . 2010-04-20 05:29        285696        ------w-        c:\windows\system32\dllcache\atmfd.dll
2010-07-08 13:20 . 2010-05-06 10:31        743424        ------w-        c:\windows\system32\dllcache\iedvtool.dll
2010-07-08 13:18 . 2010-03-05 14:37        65536        ------w-        c:\windows\system32\dllcache\asycfilt.dll
2010-07-08 13:16 . 2010-03-05 18:45        465920        ------w-        c:\windows\system32\dllcache\smtpsvc.dll
2010-07-08 13:12 . 2009-09-06 07:09        126976        ------w-        c:\windows\system32\dllcache\ftpsvc2.dll
2010-07-08 13:09 . 2009-05-21 18:47        268288        ------w-        c:\windows\system32\dllcache\httpext.dll
2010-07-08 13:08 . 2008-08-28 07:46        74752        ------w-        c:\windows\system32\dllcache\msw3prt.dll
2010-07-08 13:08 . 2008-08-28 07:46        104960        ------w-        c:\windows\system32\dllcache\win32spl.dll
2010-07-08 12:59 . 2010-07-08 13:00        --------        dc-h--w-        c:\windows\ie8
2010-07-08 12:21 . 2010-07-08 12:20        411368        ----a-w-        c:\windows\system32\deployJava1.dll
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Malwarebytes
2010-07-07 15:25 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-07 15:25 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-05 17:15 . 2010-07-07 22:07        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\QuickScan
2010-06-30 07:42 . 2010-06-30 07:42        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-06-23 11:03 . 2010-06-23 11:03        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-21 22:28 . 2010-06-21 22:28        --------        d-----w-        c:\windows\system32\wbem\Repository
2010-06-21 20:07 . 2010-06-21 20:07        --------        d-----w-        C:\$AVG
2010-06-21 19:33 . 2010-07-08 15:15        --------        d-----w-        C:\totalcmd
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\UC.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\RAR.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\PKZIP.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\PKUNZIP.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\NOCLOSE.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\LHA.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\ARJ.PIF
2010-06-21 18:13 . 2010-06-21 18:37        242896        ----a-w-        c:\windows\system32\drivers\avgtdix.sys
2010-06-21 18:13 . 2010-06-21 18:13        12464        ----a-w-        c:\windows\system32\avgrsstx.dll
2010-06-21 18:13 . 2010-06-21 18:13        216200        ----a-w-        c:\windows\system32\drivers\avgldx86.sys
2010-06-21 18:13 . 2010-06-21 18:37        29584        ----a-w-        c:\windows\system32\drivers\avgmfx86.sys
2010-06-21 18:13 . 2010-07-09 08:00        --------        d-----w-        c:\windows\system32\drivers\Avg
2010-06-21 18:12 . 2010-06-21 18:12        --------        d-----w-        c:\programme\AVG
2010-06-21 18:12 . 2010-06-21 18:12        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-06-21 17:42 . 2010-07-08 07:54        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-06-21 17:40 . 2006-06-19 10:01        69632        ----a-w-        c:\windows\system32\ztvcabinet.dll
2010-06-21 17:40 . 2006-05-25 12:52        162304        ----a-w-        c:\windows\system32\ztvunrar36.dll
2010-06-21 17:40 . 2005-08-25 22:50        77312        ----a-w-        c:\windows\system32\ztvunace26.dll
2010-06-21 17:40 . 2003-02-02 17:06        153088        ----a-w-        c:\windows\system32\UNRAR3.dll
2010-06-21 17:40 . 2002-03-05 22:00        75264        ----a-w-        c:\windows\system32\unacev2.dll
2010-06-21 17:40 . 2010-07-07 22:43        --------        d-----w-        c:\programme\Trojan Remover
2010-06-21 17:40 . 2010-06-21 17:40        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software
2010-06-21 17:40 . 2010-06-21 17:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-06-15 14:52 . 2010-06-30 07:42        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-14 11:24 . 2010-06-14 11:24        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-06-14 11:24 . 2010-06-14 11:24        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-06-12 04:12 . 2010-06-12 04:12        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\X10 Commander
2010-06-11 14:50 . 2010-06-11 14:50        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü
2010-06-11 14:50 . 2010-06-21 18:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-06-11 13:50 . 2010-06-11 14:53        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\daqiwbuv

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-09 12:15 . 2006-08-14 18:13        79056        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-09 09:19 . 2006-09-09 17:14        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Skype
2010-07-08 13:24 . 2005-10-17 13:00        85496        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-08 13:24 . 2005-10-17 13:00        462596        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-08 12:21 . 2006-08-14 18:18        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-07-08 12:21 . 2010-07-08 12:21        503808        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\msvcp71.dll
2010-07-08 12:21 . 2010-07-08 12:21        61440        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-37b3f65e-n\decora-sse.dll
2010-07-08 12:21 . 2010-07-08 12:21        499712        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\jmc.dll
2010-07-08 12:21 . 2010-07-08 12:21        348160        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\msvcr71.dll
2010-07-08 12:21 . 2010-07-08 12:21        12800        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-37b3f65e-n\decora-d3d.dll
2010-07-08 12:20 . 2006-08-14 18:18        --------        d-----w-        c:\programme\Java
2010-07-08 11:13 . 2008-04-07 17:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-07 22:40 . 2010-07-07 22:40        715152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software\Trojan Remover\Data\trunins.exe
2010-07-07 21:34 . 2008-04-01 16:35        --------        d-----w-        c:\programme\CCleaner
2010-07-07 14:41 . 2010-05-20 14:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\SPSS
2010-07-07 14:32 . 2010-05-20 14:54        190        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll
2010-07-07 10:52 . 2009-10-23 13:24        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\skypePM
2010-07-05 19:24 . 2006-12-13 22:03        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Laoc
2010-07-05 19:18 . 2010-03-06 13:05        --------        d-----w-        c:\programme\DAEMON Tools Pro
2010-07-05 13:09 . 2010-01-27 15:18        --------        d-----w-        c:\programme\pdf24
2010-07-05 12:30 . 2010-07-08 07:48        3687344        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software\Trojan Remover\uqa4.exe
2010-07-01 16:57 . 2010-06-30 07:46        112        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\H4LSVp4cO.dat
2010-06-30 08:32 . 2007-02-28 13:40        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Ixky
2010-06-21 18:37 . 2010-06-21 18:37        29512        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgmfx86.sys
2010-06-21 18:37 . 2010-06-21 18:37        242896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgtdix.sys
2010-06-21 18:37 . 2007-10-23 21:56        --------        d-----w-        c:\programme\Windows Media Connect 2
2010-06-21 18:12 . 2008-03-07 19:00        --------        d-----w-        c:\programme\Yahoo!
2010-06-12 12:10 . 2008-04-07 17:02        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-05-24 17:46 . 2010-04-10 13:26        --------        d-----w-        c:\programme\Vuze_Remote
2010-05-22 14:37 . 2009-06-26 08:43        --------        d-----w-        c:\programme\Soulseek
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\qcpjvcn.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\vaxifck.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\rs172tv.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\nnm0cn7.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\dgxlptv.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\wi2ha5b.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\kyntumg.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\mu76ng6.dll
2010-05-20 14:51 . 2010-05-20 14:51        1025        ----a-w-        c:\windows\system32\sysprs7.dll
2010-05-06 10:31 . 2005-10-17 13:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-05-03 16:41 . 2010-02-14 21:32        4141117        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Azureus\plugins\vuzexcode\mediainfo.exe
2010-05-03 16:41 . 2010-02-14 21:32        7282688        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Azureus\plugins\vuzexcode\ffmpeg.exe
2010-05-02 08:05 . 2005-10-17 13:00        1851392        ----a-w-        c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2005-10-17 12:59        285696        ----a-w-        c:\windows\system32\atmfd.dll
2009-12-28 17:42 . 2009-06-28 15:26        91274        ----a-w-        c:\programme\messages.log
2008-05-30 12:37 . 2008-05-30 12:37        148847        ----a-w-        c:\programme\DEC2006_XACT_x86.cab
2008-05-30 12:36 . 2008-05-30 12:36        13267416        ----a-w-        c:\programme\dxnt.cab
2008-05-30 12:36 . 2008-05-30 12:36        4165878        ----a-w-        c:\programme\Apr2006_MDX1_x86_Archive.cab
2008-05-30 12:36 . 2008-05-30 12:36        1805306        ----a-w-        c:\programme\Nov2007_d3dx9_36_x64.cab
2008-05-30 12:36 . 2008-05-30 12:36        1803408        ----a-w-        c:\programme\AUG2007_d3dx9_35_x64.cab
2008-05-30 12:34 . 2008-05-30 12:34        528392        ----a-w-        c:\programme\DXSETUP.exe
2009-09-25 16:41 . 2009-09-25 16:41        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
.

       
Code:

       
<pre>
c:\programme\AVG\AVG9\avgtray .exe
c:\programme\DAEMON Tools Pro\DTProAgent .exe
c:\programme\Windows Media Player\WMPNSCFG .exe
c:\windows\NCLAUNCH .exe
c:\windows\system32\HDAShCut .exe
</pre>

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-05-24 17:46        2515552        ----a-w-        c:\programme\Vuze_Remote\tbVuz1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [N/A]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-02-15 417792]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-06-21 199488]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-3-7 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-21 18:13        12464        ----a-w-        c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2006-01-30 06:53        49152        ----a-w-        c:\apps\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=usb2midn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10        35696        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-02-15 16:50        417792        ----a-w-        c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\PoivY.com\\PoivY\\PoivY.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\Adobe\\Photoshop Elements 7.0\\AdobePhotoshopElementsMediaServer.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\APPS\\skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
"c:\\APPS\\skype\\Phone\\Skype.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [21.06.2010 20:13 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [21.06.2010 20:13 242896]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 12:03 169312]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [21.06.2010 20:12 308064]
R3 USB2MIDI;Steinberg USB-2-MIDI Driver;c:\windows\system32\drivers\usb2midi.sys [04.03.2010 02:05 32476]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [14.08.2006 20:11 7040]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [14.08.2006 20:11 825600]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys --> c:\windows\system32\Drivers\dsltestSp5.sys [?]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 USB22LDR;%USBLoader.SvcDesc%;c:\windows\system32\drivers\usb22ldr.sys [04.03.2010 02:05 16508]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.06.2009 23:59 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-07-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyServer = http=127.0.0.1:1043
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\tg6lenem.default\
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Winamp Toolbar for Firefox - c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\tg6lenem.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-09 15:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123695359-2104644815-87908717-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FBDD58C5-8441-D744-9F78-491CC5094FD6}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\apps\Softex\OmniPass\opxpgina.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(1116)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AVG\AVG9\avgchsvx.exe
c:\programme\AVG\AVG9\avgrsx.exe
c:\programme\AVG\AVG9\avgcsrvx.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\apps\Softex\OmniPass\Omniserv.exe
c:\programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\programme\AVG\AVG9\avgnsx.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\apps\Softex\OmniPass\OPXPApp.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-09  15:09:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-09 13:09

Vor Suchlauf: 18 Verzeichnis(se), 78.323.671.040 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 82.610.581.504 Bytes frei

- - End Of File - - 82B9C240CF2E800A71152A2EF3F78FD5
--- --- ---

mitch77 09.07.2010 14:17
So so, "Kitty had a snack" - na dann mal Bon Appetit :-)

mitch77 09.07.2010 14:51
Hallo Markus,
jetzt kann ich auch wieder auf die Windows XP update Seite gehen, und alles updaten !
Super, ein Teilerfolg - vielen Dank !!!

Kann Ich jetzt schon ein wenig aufatmen ?

Lag das also am Rootkit das ich da auf der Windowsseite geblockt wurde ?

Krass...

Vielen Dank schon mal jetzt für Deine Hilfe bis jetzt !!!

markusg 09.07.2010 16:12
Start, programme, zubehör, editor, kopiere rein.


awf::
c:\programme\AVG\AVG9\avgtray .exe
c:\programme\DAEMON Tools Pro\DTProAgent .exe
c:\programme\Windows Media Player\WMPNSCFG .exe
c:\windows\NCLAUNCH .exe
c:\windows\system32\HDAShCut .exe

dds::
uInternet Settings,ProxyServer = http=127.0.0.1:1043
uInternet Settings,ProxyOverride = <local>
AtJob::


Datei speichern unter, typ:
alle dateien.
name: cfscript.txt
speicherort, dort wo sich combofix.exe befindet, ziehe cfscript auf combofix, programm startet, log posten.

mitch77 09.07.2010 16:44
Ok, vielen Dank Markus !

Hier der log :

Combofix Logfile:
Code:
ComboFix 10-07-08.02 - Moritz 09.07.2010  17:27:19.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1586 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Moritz\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Moritz\Desktop\cfscript.txt
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-06-09 bis 2010-07-09  ))))))))))))))))))))))))))))))
.

2010-07-09 15:13 . 2010-07-09 15:13        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\AVG Security Toolbar
2010-07-09 14:53 . 2010-07-09 14:53        12536        ----a-w-        c:\windows\system32\avgrsstx.dll
2010-07-09 14:53 . 2010-07-09 14:53        243024        ----a-w-        c:\windows\system32\drivers\avgtdix.sys
2010-07-09 14:53 . 2010-07-09 14:53        216400        ----a-w-        c:\windows\system32\drivers\avgldx86.sys
2010-07-09 14:53 . 2010-07-09 14:55        --------        d-----w-        c:\windows\system32\drivers\Avg
2010-07-09 14:53 . 2010-07-09 14:53        29584        ----a-w-        c:\windows\system32\drivers\avgmfx86.sys
2010-07-09 14:53 . 2010-07-09 14:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG Security Toolbar
2010-07-09 14:53 . 2010-07-09 14:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-07-09 09:41 . 2010-07-09 09:41        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-07-08 15:15 . 2010-07-08 15:15        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\Help
2010-07-08 13:39 . 2010-07-08 13:39        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-07-08 13:21 . 2010-04-20 05:29        285696        ------w-        c:\windows\system32\dllcache\atmfd.dll
2010-07-08 13:20 . 2010-05-06 10:31        743424        ------w-        c:\windows\system32\dllcache\iedvtool.dll
2010-07-08 13:18 . 2010-03-05 14:37        65536        ------w-        c:\windows\system32\dllcache\asycfilt.dll
2010-07-08 13:16 . 2010-03-05 18:45        465920        ------w-        c:\windows\system32\dllcache\smtpsvc.dll
2010-07-08 13:12 . 2009-09-06 07:09        126976        ------w-        c:\windows\system32\dllcache\ftpsvc2.dll
2010-07-08 13:09 . 2009-05-21 18:47        268288        ------w-        c:\windows\system32\dllcache\httpext.dll
2010-07-08 13:08 . 2008-08-28 07:46        74752        ------w-        c:\windows\system32\dllcache\msw3prt.dll
2010-07-08 13:08 . 2008-08-28 07:46        104960        ------w-        c:\windows\system32\dllcache\win32spl.dll
2010-07-08 12:59 . 2010-07-08 13:00        --------        dc-h--w-        c:\windows\ie8
2010-07-08 12:21 . 2010-07-08 12:21        503808        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\msvcp71.dll
2010-07-08 12:21 . 2010-07-08 12:21        61440        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-37b3f65e-n\decora-sse.dll
2010-07-08 12:21 . 2010-07-08 12:21        499712        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\jmc.dll
2010-07-08 12:21 . 2010-07-08 12:21        348160        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\msvcr71.dll
2010-07-08 12:21 . 2010-07-08 12:21        12800        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-37b3f65e-n\decora-d3d.dll
2010-07-08 12:21 . 2010-07-08 12:20        411368        ----a-w-        c:\windows\system32\deployJava1.dll
2010-07-08 07:48 . 2010-07-05 12:30        3687344        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software\Trojan Remover\uqa4.exe
2010-07-07 22:40 . 2010-07-07 22:40        715152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software\Trojan Remover\Data\trunins.exe
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Malwarebytes
2010-07-07 15:25 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-07 15:25 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-05 17:19 . 2010-02-27 18:46        3691384        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software\Trojan Remover\ose180.exe
2010-07-05 17:15 . 2010-07-07 22:07        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\QuickScan
2010-06-30 07:42 . 2010-06-30 07:42        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-06-23 11:03 . 2010-06-23 11:03        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-21 22:28 . 2010-06-21 22:28        --------        d-----w-        c:\windows\system32\wbem\Repository
2010-06-21 19:33 . 2010-07-09 13:20        --------        d-----w-        C:\totalcmd
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\UC.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\RAR.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\PKZIP.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\PKUNZIP.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\NOCLOSE.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\LHA.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\ARJ.PIF
2010-06-21 18:12 . 2010-06-21 18:12        --------        d-----w-        c:\programme\AVG
2010-06-21 17:42 . 2010-07-08 07:54        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-06-21 17:40 . 2006-06-19 10:01        69632        ----a-w-        c:\windows\system32\ztvcabinet.dll
2010-06-21 17:40 . 2006-05-25 12:52        162304        ----a-w-        c:\windows\system32\ztvunrar36.dll
2010-06-21 17:40 . 2005-08-25 22:50        77312        ----a-w-        c:\windows\system32\ztvunace26.dll
2010-06-21 17:40 . 2003-02-02 17:06        153088        ----a-w-        c:\windows\system32\UNRAR3.dll
2010-06-21 17:40 . 2002-03-05 22:00        75264        ----a-w-        c:\windows\system32\unacev2.dll
2010-06-21 17:40 . 2010-07-07 22:43        --------        d-----w-        c:\programme\Trojan Remover
2010-06-21 17:40 . 2010-06-21 17:40        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software
2010-06-21 17:40 . 2010-06-21 17:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-06-15 14:52 . 2010-06-30 07:42        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-14 11:24 . 2010-06-14 11:24        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-06-14 11:24 . 2010-06-14 11:24        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-06-12 04:12 . 2010-06-12 04:12        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\X10 Commander
2010-06-11 14:50 . 2010-06-11 14:50        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü
2010-06-11 14:50 . 2010-06-21 18:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-06-11 13:50 . 2010-06-11 14:53        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\daqiwbuv

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-09 14:00 . 2005-10-17 13:00        85582        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-09 14:00 . 2005-10-17 13:00        462682        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-09 13:23 . 2009-07-16 09:21        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Amazon
2010-07-09 13:23 . 2009-07-16 09:15        --------        d-----w-        c:\programme\Amazon
2010-07-09 13:22 . 2009-11-24 16:38        --------        d-----w-        c:\programme\Camfrog
2010-07-09 13:22 . 2010-01-27 15:09        --------        d-----w-        c:\programme\PDF Blender
2010-07-09 13:19 . 2010-03-06 13:05        --------        d-----w-        c:\programme\DAEMON Tools Pro
2010-07-09 12:15 . 2006-08-14 18:13        79056        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-09 09:19 . 2006-09-09 17:14        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Skype
2010-07-08 12:21 . 2006-08-14 18:18        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-07-08 12:20 . 2006-08-14 18:18        --------        d-----w-        c:\programme\Java
2010-07-08 11:13 . 2008-04-07 17:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-07 21:34 . 2008-04-01 16:35        --------        d-----w-        c:\programme\CCleaner
2010-07-07 14:41 . 2010-05-20 14:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\SPSS
2010-07-07 14:32 . 2010-05-20 14:54        190        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll
2010-07-07 10:52 . 2009-10-23 13:24        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\skypePM
2010-07-05 19:24 . 2006-12-13 22:03        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Laoc
2010-07-05 13:09 . 2010-01-27 15:18        --------        d-----w-        c:\programme\pdf24
2010-07-01 16:57 . 2010-06-30 07:46        112        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\H4LSVp4cO.dat
2010-06-30 08:32 . 2007-02-28 13:40        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Ixky
2010-06-21 18:37 . 2007-10-23 21:56        --------        d-----w-        c:\programme\Windows Media Connect 2
2010-06-21 18:12 . 2008-03-07 19:00        --------        d-----w-        c:\programme\Yahoo!
2010-06-12 12:10 . 2008-04-07 17:02        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-05-24 17:46 . 2010-04-10 13:26        --------        d-----w-        c:\programme\Vuze_Remote
2010-05-22 14:37 . 2009-06-26 08:43        --------        d-----w-        c:\programme\Soulseek
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\qcpjvcn.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\vaxifck.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\rs172tv.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\nnm0cn7.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\dgxlptv.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\wi2ha5b.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\kyntumg.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\mu76ng6.dll
2010-05-20 14:51 . 2010-05-20 14:51        1025        ----a-w-        c:\windows\system32\sysprs7.dll
2010-05-06 10:31 . 2005-10-17 13:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-05-03 16:41 . 2010-02-14 21:32        4141117        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Azureus\plugins\vuzexcode\mediainfo.exe
2010-05-03 16:41 . 2010-02-14 21:32        7282688        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Azureus\plugins\vuzexcode\ffmpeg.exe
2010-05-02 08:05 . 2005-10-17 13:00        1851392        ----a-w-        c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2005-10-17 12:59        285696        ----a-w-        c:\windows\system32\atmfd.dll
2009-12-28 17:42 . 2009-06-28 15:26        91274        ----a-w-        c:\programme\messages.log
2008-05-30 12:37 . 2008-05-30 12:37        148847        ----a-w-        c:\programme\DEC2006_XACT_x86.cab
2008-05-30 12:36 . 2008-05-30 12:36        13267416        ----a-w-        c:\programme\dxnt.cab
2008-05-30 12:36 . 2008-05-30 12:36        4165878        ----a-w-        c:\programme\Apr2006_MDX1_x86_Archive.cab
2008-05-30 12:36 . 2008-05-30 12:36        1805306        ----a-w-        c:\programme\Nov2007_d3dx9_36_x64.cab
2008-05-30 12:36 . 2008-05-30 12:36        1803408        ----a-w-        c:\programme\AUG2007_d3dx9_35_x64.cab
2008-05-30 12:34 . 2008-05-30 12:34        528392        ----a-w-        c:\programme\DXSETUP.exe
2009-09-25 16:41 . 2009-09-25 16:41        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
.

       
Code:

       
<pre>
c:\programme\AVG\AVG9\avgtray .exe
c:\programme\DAEMON Tools Pro\DTProAgent .exe
c:\programme\Windows Media Player\WMPNSCFG .exe
c:\windows\NCLAUNCH .exe
c:\windows\system32\HDAShCut .exe
</pre>

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-04-19 08:25        2117704        ----a-w-        c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-05-24 17:46        2515552        ----a-w-        c:\programme\Vuze_Remote\tbVuz1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [N/A]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-02-15 417792]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-06-21 199488]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-09 2065760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-3-7 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-09 14:53        12536        ----a-w-        c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2006-01-30 06:53        49152        ----a-w-        c:\apps\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=usb2midn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10        35696        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-02-15 16:50        417792        ----a-w-        c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\PoivY.com\\PoivY\\PoivY.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\Adobe\\Photoshop Elements 7.0\\AdobePhotoshopElementsMediaServer.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\APPS\\skype\\Plugin Manager\\skypePM.exe"=
"c:\\APPS\\skype\\Phone\\Skype.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [09.07.2010 16:53 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [09.07.2010 16:53 243024]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 12:03 169312]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [09.07.2010 16:53 308136]
R3 USB2MIDI;Steinberg USB-2-MIDI Driver;c:\windows\system32\drivers\usb2midi.sys [04.03.2010 02:05 32476]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [14.08.2006 20:11 7040]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [14.08.2006 20:11 825600]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\programme\AVG\AVG9\Toolbar\ToolbarBroker.exe [09.07.2010 16:53 430152]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys --> c:\windows\system32\Drivers\dsltestSp5.sys [?]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 USB22LDR;%USBLoader.SvcDesc%;c:\windows\system32\drivers\usb22ldr.sys [04.03.2010 02:05 16508]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.06.2009 23:59 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-07-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\tg6lenem.default\
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-09 17:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123695359-2104644815-87908717-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FBDD58C5-8441-D744-9F78-491CC5094FD6}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\apps\Softex\OmniPass\opxpgina.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2010-07-09  17:38:48
ComboFix-quarantined-files.txt  2010-07-09 15:38
ComboFix2.txt  2010-07-09 13:09

Vor Suchlauf: 22 Verzeichnis(se), 81.422.893.056 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 81.825.894.400 Bytes frei

- - End Of File - - AFDF0A9783251052F1BFF8AA65FE88E2
--- --- ---

mitch77 09.07.2010 16:45
Mist, ich mache es gleich nochmal, der AVG shield war noch an :-(

mitch77 09.07.2010 17:06
Hier der log ohne aktive firewall und AVG :

Noch eine Frage, ich habe gerade bei AVG die Option "auf Tracking Cookies" scannen aktiviert, und da hat er gleich was gefunden :

"c:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\tg6lenem.default\cookies.sqlite";"Tracking cookie.Ivwbox gefunden";""

und

"c:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\tg6lenem.default\cookies.sqlite";"Tracking cookie.Ivwbox gefunden";""

Ist das normal ?

Soll ich "ausgewählte Infektionen entfernen" machen bei den beiden ?

Jetzt das log :




Combofix Logfile:
Code:
ComboFix 10-07-08.02 - Moritz 09.07.2010  17:51:15.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1452 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Moritz\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Moritz\Desktop\cfscript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-06-09 bis 2010-07-09  ))))))))))))))))))))))))))))))
.

2010-07-09 15:13 . 2010-07-09 15:13        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\AVG Security Toolbar
2010-07-09 14:53 . 2010-07-09 14:53        12536        ----a-w-        c:\windows\system32\avgrsstx.dll
2010-07-09 14:53 . 2010-07-09 14:53        243024        ----a-w-        c:\windows\system32\drivers\avgtdix.sys
2010-07-09 14:53 . 2010-07-09 14:53        216400        ----a-w-        c:\windows\system32\drivers\avgldx86.sys
2010-07-09 14:53 . 2010-07-09 14:55        --------        d-----w-        c:\windows\system32\drivers\Avg
2010-07-09 14:53 . 2010-07-09 14:53        29584        ----a-w-        c:\windows\system32\drivers\avgmfx86.sys
2010-07-09 14:53 . 2010-07-09 14:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG Security Toolbar
2010-07-09 14:53 . 2010-07-09 14:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-07-09 09:41 . 2010-07-09 09:41        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-07-08 15:15 . 2010-07-08 15:15        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\Help
2010-07-08 13:39 . 2010-07-08 13:39        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-07-08 13:21 . 2010-04-20 05:29        285696        ------w-        c:\windows\system32\dllcache\atmfd.dll
2010-07-08 13:20 . 2010-05-06 10:31        743424        ------w-        c:\windows\system32\dllcache\iedvtool.dll
2010-07-08 13:18 . 2010-03-05 14:37        65536        ------w-        c:\windows\system32\dllcache\asycfilt.dll
2010-07-08 13:16 . 2010-03-05 18:45        465920        ------w-        c:\windows\system32\dllcache\smtpsvc.dll
2010-07-08 13:12 . 2009-09-06 07:09        126976        ------w-        c:\windows\system32\dllcache\ftpsvc2.dll
2010-07-08 13:09 . 2009-05-21 18:47        268288        ------w-        c:\windows\system32\dllcache\httpext.dll
2010-07-08 13:08 . 2008-08-28 07:46        74752        ------w-        c:\windows\system32\dllcache\msw3prt.dll
2010-07-08 13:08 . 2008-08-28 07:46        104960        ------w-        c:\windows\system32\dllcache\win32spl.dll
2010-07-08 12:59 . 2010-07-08 13:00        --------        dc-h--w-        c:\windows\ie8
2010-07-08 12:21 . 2010-07-08 12:21        503808        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\msvcp71.dll
2010-07-08 12:21 . 2010-07-08 12:21        61440        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-37b3f65e-n\decora-sse.dll
2010-07-08 12:21 . 2010-07-08 12:21        499712        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\jmc.dll
2010-07-08 12:21 . 2010-07-08 12:21        348160        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-576f9344-n\msvcr71.dll
2010-07-08 12:21 . 2010-07-08 12:21        12800        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-37b3f65e-n\decora-d3d.dll
2010-07-08 12:21 . 2010-07-08 12:20        411368        ----a-w-        c:\windows\system32\deployJava1.dll
2010-07-08 07:48 . 2010-07-05 12:30        3687344        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software\Trojan Remover\uqa4.exe
2010-07-07 22:40 . 2010-07-07 22:40        715152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software\Trojan Remover\Data\trunins.exe
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Malwarebytes
2010-07-07 15:25 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-07 15:25 . 2010-07-07 15:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-07 15:25 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-05 17:19 . 2010-02-27 18:46        3691384        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software\Trojan Remover\ose180.exe
2010-07-05 17:15 . 2010-07-07 22:07        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\QuickScan
2010-06-30 07:42 . 2010-06-30 07:42        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-06-23 11:03 . 2010-06-23 11:03        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-21 22:28 . 2010-06-21 22:28        --------        d-----w-        c:\windows\system32\wbem\Repository
2010-06-21 19:33 . 2010-07-09 13:20        --------        d-----w-        C:\totalcmd
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\UC.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\RAR.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\PKZIP.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\PKUNZIP.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\NOCLOSE.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\LHA.PIF
2010-06-21 19:33 . 2007-09-14 05:02        545        ----a-w-        c:\windows\ARJ.PIF
2010-06-21 18:12 . 2010-06-21 18:12        --------        d-----w-        c:\programme\AVG
2010-06-21 17:42 . 2010-07-08 07:54        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-06-21 17:40 . 2006-06-19 10:01        69632        ----a-w-        c:\windows\system32\ztvcabinet.dll
2010-06-21 17:40 . 2006-05-25 12:52        162304        ----a-w-        c:\windows\system32\ztvunrar36.dll
2010-06-21 17:40 . 2005-08-25 22:50        77312        ----a-w-        c:\windows\system32\ztvunace26.dll
2010-06-21 17:40 . 2003-02-02 17:06        153088        ----a-w-        c:\windows\system32\UNRAR3.dll
2010-06-21 17:40 . 2002-03-05 22:00        75264        ----a-w-        c:\windows\system32\unacev2.dll
2010-06-21 17:40 . 2010-07-07 22:43        --------        d-----w-        c:\programme\Trojan Remover
2010-06-21 17:40 . 2010-06-21 17:40        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Simply Super Software
2010-06-21 17:40 . 2010-06-21 17:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-06-15 14:52 . 2010-06-30 07:42        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-14 11:24 . 2010-06-14 11:24        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-06-14 11:24 . 2010-06-14 11:24        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-06-12 04:12 . 2010-06-12 04:12        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\X10 Commander
2010-06-11 14:50 . 2010-06-11 14:50        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü
2010-06-11 14:50 . 2010-06-21 18:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-06-11 13:50 . 2010-06-11 14:53        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\daqiwbuv

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-09 14:00 . 2005-10-17 13:00        85582        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-09 14:00 . 2005-10-17 13:00        462682        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-09 13:23 . 2009-07-16 09:21        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Amazon
2010-07-09 13:23 . 2009-07-16 09:15        --------        d-----w-        c:\programme\Amazon
2010-07-09 13:22 . 2009-11-24 16:38        --------        d-----w-        c:\programme\Camfrog
2010-07-09 13:22 . 2010-01-27 15:09        --------        d-----w-        c:\programme\PDF Blender
2010-07-09 13:19 . 2010-03-06 13:05        --------        d-----w-        c:\programme\DAEMON Tools Pro
2010-07-09 12:15 . 2006-08-14 18:13        79056        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-09 09:19 . 2006-09-09 17:14        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Skype
2010-07-08 12:21 . 2006-08-14 18:18        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-07-08 12:20 . 2006-08-14 18:18        --------        d-----w-        c:\programme\Java
2010-07-08 11:13 . 2008-04-07 17:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-07 21:34 . 2008-04-01 16:35        --------        d-----w-        c:\programme\CCleaner
2010-07-07 14:41 . 2010-05-20 14:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\SPSS
2010-07-07 14:32 . 2010-05-20 14:54        190        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll
2010-07-07 10:52 . 2009-10-23 13:24        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\skypePM
2010-07-05 19:24 . 2006-12-13 22:03        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Laoc
2010-07-05 13:09 . 2010-01-27 15:18        --------        d-----w-        c:\programme\pdf24
2010-07-01 16:57 . 2010-06-30 07:46        112        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\H4LSVp4cO.dat
2010-06-30 08:32 . 2007-02-28 13:40        --------        d-----w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Ixky
2010-06-21 18:37 . 2007-10-23 21:56        --------        d-----w-        c:\programme\Windows Media Connect 2
2010-06-21 18:12 . 2008-03-07 19:00        --------        d-----w-        c:\programme\Yahoo!
2010-06-12 12:10 . 2008-04-07 17:02        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-05-24 17:46 . 2010-04-10 13:26        --------        d-----w-        c:\programme\Vuze_Remote
2010-05-22 14:37 . 2009-06-26 08:43        --------        d-----w-        c:\programme\Soulseek
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\qcpjvcn.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\vaxifck.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\rs172tv.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\nnm0cn7.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\dgxlptv.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\wi2ha5b.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\kyntumg.dll
2010-05-20 14:55 . 2010-05-20 14:55        16        ---h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\mu76ng6.dll
2010-05-20 14:51 . 2010-05-20 14:51        1025        ----a-w-        c:\windows\system32\sysprs7.dll
2010-05-06 10:31 . 2005-10-17 13:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-05-03 16:41 . 2010-02-14 21:32        4141117        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Azureus\plugins\vuzexcode\mediainfo.exe
2010-05-03 16:41 . 2010-02-14 21:32        7282688        ----a-w-        c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Azureus\plugins\vuzexcode\ffmpeg.exe
2010-05-02 08:05 . 2005-10-17 13:00        1851392        ----a-w-        c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2005-10-17 12:59        285696        ----a-w-        c:\windows\system32\atmfd.dll
2009-12-28 17:42 . 2009-06-28 15:26        91274        ----a-w-        c:\programme\messages.log
2008-05-30 12:37 . 2008-05-30 12:37        148847        ----a-w-        c:\programme\DEC2006_XACT_x86.cab
2008-05-30 12:36 . 2008-05-30 12:36        13267416        ----a-w-        c:\programme\dxnt.cab
2008-05-30 12:36 . 2008-05-30 12:36        4165878        ----a-w-        c:\programme\Apr2006_MDX1_x86_Archive.cab
2008-05-30 12:36 . 2008-05-30 12:36        1805306        ----a-w-        c:\programme\Nov2007_d3dx9_36_x64.cab
2008-05-30 12:36 . 2008-05-30 12:36        1803408        ----a-w-        c:\programme\AUG2007_d3dx9_35_x64.cab
2008-05-30 12:34 . 2008-05-30 12:34        528392        ----a-w-        c:\programme\DXSETUP.exe
2009-09-25 16:41 . 2009-09-25 16:41        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
.

       
Code:

       
<pre>
c:\programme\AVG\AVG9\avgtray .exe
c:\programme\DAEMON Tools Pro\DTProAgent .exe
c:\programme\Windows Media Player\WMPNSCFG .exe
c:\windows\NCLAUNCH .exe
c:\windows\system32\HDAShCut .exe
</pre>

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-04-19 08:25        2117704        ----a-w-        c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-05-24 17:46        2515552        ----a-w-        c:\programme\Vuze_Remote\tbVuz1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\programme\Vuze_Remote\tbVuz1.dll" [2010-05-24 2515552]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [N/A]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-02-15 417792]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-06-21 199488]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-09 2065760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-3-7 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-09 14:53        12536        ----a-w-        c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2006-01-30 06:53        49152        ----a-w-        c:\apps\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=usb2midn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10        35696        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-02-15 16:50        417792        ----a-w-        c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\PoivY.com\\PoivY\\PoivY.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\Adobe\\Photoshop Elements 7.0\\AdobePhotoshopElementsMediaServer.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\APPS\\skype\\Plugin Manager\\skypePM.exe"=
"c:\\APPS\\skype\\Phone\\Skype.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [09.07.2010 16:53 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [09.07.2010 16:53 243024]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 12:03 169312]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [09.07.2010 16:53 308136]
R3 USB2MIDI;Steinberg USB-2-MIDI Driver;c:\windows\system32\drivers\usb2midi.sys [04.03.2010 02:05 32476]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [14.08.2006 20:11 7040]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.06.2009 23:59 691696]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [14.08.2006 20:11 825600]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\programme\AVG\AVG9\Toolbar\ToolbarBroker.exe [09.07.2010 16:53 430152]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys --> c:\windows\system32\Drivers\dsltestSp5.sys [?]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 USB22LDR;%USBLoader.SvcDesc%;c:\windows\system32\drivers\usb22ldr.sys [04.03.2010 02:05 16508]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-07-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\tg6lenem.default\
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-09 17:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123695359-2104644815-87908717-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FBDD58C5-8441-D744-9F78-491CC5094FD6}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\apps\Softex\OmniPass\opxpgina.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(2408)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-07-09  17:57:51
ComboFix-quarantined-files.txt  2010-07-09 15:57
ComboFix2.txt  2010-07-09 15:38
ComboFix3.txt  2010-07-09 13:09

Vor Suchlauf: 22 Verzeichnis(se), 81.835.503.616 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 81.818.210.304 Bytes frei

- - End Of File - - 3567DC24DD9E9D0BED22B4FBF76BBB92
--- --- ---

mitch77 09.07.2010 17:14
Liste der Anhänge anzeigen (Anzahl: 1)
Hier mal ein screenshot vom Residenten schutz Alarm mit den zwei gefundenen Cookies...

mitch77 09.07.2010 18:47
Ok,
habe eben noch mal den gesammten Rechner mit der geupdateten AVG Version gescannt...
14 Funde, aber alle in diesem "Restore" Pfad :

"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP602\A0126573.sys";"Virus identifiziert: Win32/Patched.DX";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122712.exe";"Trojaner: Generic18.VII";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122707.exe";"Trojaner: Dropper.Generic2.XRU";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122704.exe";"Trojaner: Generic18.VII";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122703.exe";"Trojaner: Generic18.VII";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122702.exe";"Trojaner: Generic18.VII";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122701.exe";"Trojaner: Generic18.VII";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122700.EXe";"Trojaner: Generic18.VII";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP578\A0122497.exe";"Trojaner: Generic18.VII";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP577\A0122416.exe";"Trojaner: Dropper.Generic2.XRU";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP559\A0118595.dll";"Trojaner: FakeAV.BXP";"In Virenquarantäne verschoben"

Und 3 mal Spyware : (auch im Restore Pfad)

"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP569\A0119125.exe:\$KD\eBay_shortcuts_1019.exe:\$JF\eBayShortcuts.exe";"Adware: Generic4.PKU";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP569\A0119125.exe:\$KD\eBay_shortcuts_1019.exe";"Adware: Generic4.PKU.dropper";"In Virenquarantäne verschoben"
"C:\System Volume Information\_restore{DF79250E-E0AA-485A-849F-CFEBFCFE55C1}\RP569\A0119125.exe";"Adware: Generic4.PKU.dropper";"In Virenquarantäne verschoben"


Waren das Viren, die in Quarantäne geschoben worden sind oder schon gelöscht, oder warum alle in diesem Restore Pfad ?

markusg 09.07.2010 19:23
wirst du denn später noch formatieren oder nicht? weil wenn ja, den pc könnte man so belassen fürs erste, nur onlinebanking etc nicht damit machen.

mitch77 09.07.2010 19:34
Also von wollen kann nicht die Rede sein :-)

Ist das wirklich so, dass Onlinebanking und co jetzt tabu sind, wenn man nicht formatiert ?
Du meinst also, man könnte nichts mehr machen, um jetzt mit diesem Rechner auch onlinebanking und Co zu betreiben ?
Wie sieht es mit Emails und Ebay aus, bzw alle was Passwörter verlangt ?
Soll ich meine bestehenden Passwörter von einem anderen Rechner aus alle ändern ?
Und worin besteht eigentlich die Gefahr ?
Nur wenn ich auf diesem verseuchten Rechner Passwörter live eingebe, oder auch bei gespeicherten Passwörtern wie zb bei Web.de ?

Also nach wie vor Skepsis bei Dir, wenn Du Dir die Logs anschaust ?

Kann man so etwas also gar nicht wirklich entfernen ?

Sorry, zuviele Fragen, aber ich bin verwirrt :-)

Was waren dass denn jetzt für Funde in diesen Restore Dateien ?

Lg

Jan

markusg 09.07.2010 19:36
natürlich auch kein ebay. ja passwörter von nem andern pc aus endern. und, ich hab ja das ganz übersehen am anfang... wer illegale downloads macht, muss sich nicht wundern das ihm so was passiert.
setze den pc bald möglich neu auf und lass die finger von so was


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:46 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131