heyho.
ich ma wieder -.- zur zeit echt schlimm was jeder mit seiner kiste anstellt.
diesma isses der laptop von meim bruder.
er hat irgendwas mit "rapid antivirus" gelesen (er hat nen kostenlosen von McAffee drauf oder so ähnlich) wo die gemeint ham er hat spyware drauf. nu hab ich ma gegooglet und gefunden dass dadurch dann spyware draufgeladen wird etc. wenn man es anklickt, hat er natürlich nicht (sagt er^^).

also unser problem:
Die kiste kackt total ab... das wlan will sich nich verbinden (intel wireless software), der virenscanner lässt sich nichmehr aktiviern (is halt pausiert quasi), der arbeitsplatz lässt sich nur manchma öffnen, beim firefox öffnen kommt nen fehler dass dieser angeblich schon läuft, is aber ich der fall (weder im taskmanager, noch nachm neustart). nu wollt ich firefox sichern die boockmarks, geht leider nich weil keine mehr da sin also hab halt in dokumente und einstellungen\benutzer\anwendungsdaten\mozilla\firefox\profiles is leer
auch mit MozBackup geht nix. sagt das profil is kaputt und bricht ab. thunderbird lies sich ohne probs sichern. denk ma die favoriten sin dahin

aber was nu? wie bekomm ich die kiste wieder auf vordermann? hab jetzt ma HijackThis laufen lassen, aber konnt selbst nix böses erkennen (hatte mit der HJT Dateisuche ma geschaut).
evtl findet ihr ja was:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:27, on 07.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\MozBackup\MozBackup.exe
D:\tools\# Adwar, Spyware, Virus #\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1107042755937
O20 - AppInit_DLLs: iogklk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 5636 bytes

btw. lass jetzt grad noch Malwarebytes anti malware laufen, der hat schonma 29 infizierte objekte gefunden und läuft erst seit 5min^^

Hallo m0rPh3uS,

Bevor mit einer eventuellen Bereinigung anfangen, bitte ich dich das hier zu machen:

Zitat:

Internet Explorer 6

Der ist veraltet, bitte installiere die neue Version, auch wenn du ihn vielleicht nicht verwendest (siehe meine Signatur)!

gesagt getan.
wieso wird das ding auch nich als wichtiges update anerkannt *arghl*
naja, nu isser drauf.

btw hier schonma die malewarebytes log falls gebraucht^^

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 5.1.2600 Service Pack 3

07.01.2009 17:30:48
mbam-log-2009-01-07 (17-30-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 86576
Laufzeit: 22 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 22
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\ddcyWnoN.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iogklk.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\khfFywUN.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\dtprpres.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5a26b173-5e04-4329-b3d9-b16dbbf4bbac} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5a26b173-5e04-4329-b3d9-b16dbbf4bbac} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b23eb999-dde3-41fc-ad4e-7ab4f5d08ed1} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{b23eb999-dde3-41fc-ad4e-7ab4f5d08ed1} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ee9ba6a-0389-4d11-ad81-8e60ee0e4f71} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1ee9ba6a-0389-4d11-ad81-8e60ee0e4f71} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5a26b173-5e04-4329-b3d9-b16dbbf4bbac} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khffywun (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b23eb999-dde3-41fc-ad4e-7ab4f5d08ed1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1ee9ba6a-0389-4d11-ad81-8e60ee0e4f71} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ddcywnon -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ddcywnon -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iogklk.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ddcyWnoN.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\NonWycdd.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\NonWycdd.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bhwogipi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ipigowhb.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dtprpres.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfFywUN.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HUV8XAN\index[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fwhiaeub.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekahlkdhjfg.dll (Trojan.Seneka) -> Delete on reboot.
C:\WINDOWS\system32\senekaiixmlrvk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekajkdbobbi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekadf.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\seneka.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekalog.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\seneka.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\senekabhxojrqt.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\msiconf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


das internet geht schonma wieder *juche* :P
wie gehn wir weiter vor?^^

Hallo m0rPh3uS,

1.) Poste bitte ein frisches HijackThis Log!

2.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile!

3.) Lade dir bitte den Avast! Virus Cleaner herunter. Starte das Tool mit Administrator Rechte. Scanne deinen Computer und poste anschließend das entstandene Logfile!

4.) Lade dir bitte das kostenlose Tool Dr.Web CureIt! herunter. Starte das Tool mit Administrator Rechte, lasse den Computer überprüfen und zum Schluss wählst du Datei -> Protokollliste speichern! Bericht hier posten!

soooo... achtung ich war fleißig^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:54, on 07.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\r_server.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
D:\tools\# Adware, Spyware, Virus #\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1107042755937
O20 - AppInit_DLLs: iogklk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6600 bytes

################################

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/07/2009 at 07:24 PM

Application Version : 4.24.1004

Core Rules Database Version : 3698
Trace Rules Database Version: 1674

Scan type : Complete Scan
Total Scan Time : 00:52:04

Memory items scanned : 433
Memory threats detected : 0
Registry items scanned : 5949
Registry threats detected : 11
File items scanned : 43771
File threats detected : 41

Unclassified.Unknown Origin
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@komtrack[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@adtrafficstats[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@gomyhit[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@2o7[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@overture[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@e-2dj6wfkywmajmdq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@becometrueclick[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@ads.adgoto[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@1071889603[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@ad.zanox[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@tradedoubler[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@adserver.71i[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@cassava[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@zanox[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@ads.heias[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@webmasterplan[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@888[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@online-pc-virus-scanner[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@1071932843[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@ads.kampfkunst-board[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@atdmt[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@doubleclick[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@wmvmedialease[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@traffictrack[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@adsrevenue[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@de.powerfulvirusremover2008[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@advertising[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@288_[3].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@adtech[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@tto2.traffictrack[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@statcounter[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@sportthieme.112.2o7[1].txt

Rogue.Component/Trace
HKLM\Software\Microsoft\0C4B05F1
HKLM\Software\Microsoft\0C4B05F1#0c4b05f1
HKLM\Software\Microsoft\0C4B05F1#Version
HKLM\Software\Microsoft\0C4B05F1#0c4ba871
HKLM\Software\Microsoft\0C4B05F1#0c4bc194
HKU\S-1-5-21-796845957-823518204-725345543-1004\Software\Microsoft\CS41275
HKU\S-1-5-21-796845957-823518204-725345543-1004\Software\Microsoft\FIAS4018

Rogue.RapidAntivirus
HKU\.DEFAULT\Software\Rapid Antivirus
HKU\S-1-5-18\Software\Rapid Antivirus

Trojan.Unknown Origin
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\900ACB7556F4A92D
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\DD2116035CF3F23A

Adware.Vundo Variant
C:\WINDOWS\SYSTEM32\PPWWXTPP.DLL
C:\WINDOWS\SYSTEM32\UMCWEW.DLL


#################################

Avast!

07.01.2009, 19:34:35
Memory scanning started...
No virus body found in memory.
Memory scanning finished (11,0s).
----------
Files scanning started...
C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
No virus body found.
Files scanning finished (43982 files, 0 infected, 789,0s).
Drives scanned: C: D:
----------

DrWeb:

c C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp
VBAOL11.CHM\html/olobjAddressEntries.htm C:\Programme\Microsoft Office\OFFICE11\1031\VBAOL11.CHM
VBAOL11.CHM C:\Programme\Microsoft Office\OFFICE11\1031
AdmDll.dll C:\Programme\Radmin
raddrv.dll C:\Programme\Radmin
radmin.exe C:\Programme\Radmin
r_server.exe C:\Programme\Radmin
A0031254.dll C:\System Volume Information\_restore{89903E7C-CFAA-42DB-BFF7-D31944D9FF17}\RP445
A0031255.dll C:\System Volume Information\_restore{89903E7C-CFAA-42DB-BFF7-D31944D9FF17}\RP445
admdll.dll C:\WINDOWS\system32
raddrv.dll C:\WINDOWS\system32
r_server.exe C:\WINDOWS\system32

/push
plz nich vergessen

Hallo m0rPh3uS,

1.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Anschließend noch alles bereinigen, wie in der Anleitung beschrieben!

2.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close". Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

thx, gesagt getan:

1) CCleaner

Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 8.1.3 - Deutsch
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Conexant AC-Link Audio
DVD Shrink 3.2
Google Earth
Google Updater
HijackThis 2.0.2
Intel(R) PROSet/Wireless Software
InterActual Player
Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Kaspersky Online Scanner
Logitech MouseWare 9.79.1
Malwarebytes' Anti-Malware
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mozilla Firefox (3.0.5)
Mozilla Thunderbird (2.0.0.19)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero 7 Premium
OpenOffice.org Installer 1.0
PowerDVD
Remote Administrator v2.1
SoftV92 Data Fax Modem with SmartCP
SUPERAntiSpyware Professional
Synaptics Pointing Device Driver
Tattooscout 2.0
Texas Instruments PCIxx21/x515 drivers.
TreeSize Free V2.1
VideoLAN VLC media player 0.8.6c
Winamp (remove only)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR Archivierer
Xilisoft Video Converter Ultimate
XnView 1.90.3

2) Blacklight

01/17/09 12:47:53 [Info]: BlackLight Engine 2.2.1092 initialized
01/17/09 12:47:53 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/17/09 12:47:53 [Note]: 7019 4
01/17/09 12:47:53 [Note]: 7005 0
01/17/09 12:48:00 [Note]: 7006 0
01/17/09 12:48:00 [Note]: 7011 1752
01/17/09 12:48:00 [Note]: 7035 0
01/17/09 12:48:00 [Note]: 7026 0
01/17/09 12:48:00 [Note]: 7026 0
01/17/09 12:48:02 [Note]: FSRAW library version 1.7.1024
01/17/09 12:51:50 [Note]: 7007 0

Hallo m0rPh3uS,


==== Punkt 1 ====

Bitte folgende(s) Programm(e) deinstallieren:

Zitat:

Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Kaspersky Online Scanner
OpenOffice.org Installer 1.0
SUPERAntiSpyware Professional

==== Punkt 2 ====

Gibt es noch Probleme mit dem Rechner, wenn ja welche?

okay, alles deinstalliert.

und ja, es gibt leider noch ein problem
und zwar das wie schon am anfang beschrieben, dass öfters mal dieser windows fehlersound kommt.
also zB ein fenster aufgeht mit Fehler xyz und dann diese DÖD (nein, nicht DING) ^^ kA wie ich das umschreiben soll.
*ma in den sound einstellungen schauen*
ah, unter "Kritischer Fehler" die sound datei "Windows XP-kritischer Fehler.wav"
dieser sound (nur das akustische signal) kommt so in der stunde einmal ca. und auch regelmäßig. aber ohne jeden fehler. grafisch sieht man garnix.
das is halt noch recht nerfig immer

ich hab das problem übrigens immernoch :'(

hat denn keiner noch ne idee was diesen fehlersound auslöst? das is echt extrem nerfig -.-

Hallo,

Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O20 - AppInit_DLLs: iogklk.dll
         

=> Fix checked => Neustart => Neues HJT posten

Registry Search by undoreal

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem Doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)



Folgenden Text einfügen:

Code: Alles auswählenAufklappen

ATTFilter

kritischer Fehler
         

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ciao, andreas

hey danke für die antworten und fürs weiter machen, endlich :aplaus:

also, erstmal HijackThis gefixt, rebootet, hier des frische log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:02, on 06.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\r_server.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\tools\# Adware, Spyware, Virus #\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1107042755937
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6579 bytes



und hier die log vom regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.02.2009 13:04:25 for strings:
; 'kritischer fehler'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\AppEvents\Schemes\Apps\.Default\SystemHand\.Current]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\.DEFAULT\AppEvents\Schemes\Apps\.Default\SystemHand\.Default]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-19\AppEvents\Schemes\Apps\.Default\SystemHand\.Current]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-19\AppEvents\Schemes\Apps\.Default\SystemHand\.Default]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-20\AppEvents\Schemes\Apps\.Default\SystemHand\.Current]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-20\AppEvents\Schemes\Apps\.Default\SystemHand\.Default]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-21-796845957-823518204-725345543-1004\AppEvents\Schemes\Apps\.Default\SystemHand\.Current]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-21-796845957-823518204-725345543-1004\AppEvents\Schemes\Apps\.Default\SystemHand\.Default]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-18\AppEvents\Schemes\Apps\.Default\SystemHand\.Current]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

[HKEY_USERS\S-1-5-18\AppEvents\Schemes\Apps\.Default\SystemHand\.Default]
; Contents of value:
; %SystemRoot%\media\Windows XP-kritischer Fehler.wav
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,6d,00,65,00,64,00,69,00,61,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,\
77,00,73,00,20,00,58,00,50,00,2d,00,6b,00,72,00,69,00,74,00,69,00,73,00,63,\
00,68,00,65,00,72,00,20,00,46,00,65,00,68,00,6c,00,65,00,72,00,2e,00,77,00,\
61,00,76,00,00,00

; End Of The Log...

Kommt der Fehlersound denn noch?

ciao, andreas