Diverse Internetfenster öffnen sich ständig - Trojanerbefall?!

Elfe2201 · 08.01.2008, 20:09

Hallo alle zusammen,
ich habe seit 1 Woche das Problem dass sich diverse Internetfenster öffnen. Ich habe mich versucht anderswo im Web schlau zu machen, auch bei bekannten, jedoch hat das alles nicht gefruchtet.

Erst waren es nur ein paar Werbefenster (quelle.de,flirtfever.de,poker.com,usw.),dann wurden es immer mehr, auch mit der Warnung das mein PC von Viren befallen sei. Ich hab mich hier schon ein bisschen durchgelesen und mit HJT ein Protokoll erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 13:47:05, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\in2movies\in2movies\Program\GCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\TWINTO~1\MouseElf.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TwinTouch LuxeMate\EMouse.exe
C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Elfe\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ZyConfig] "C:\Programme\ZyConfig\ZyConfig.exe" -update
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GnabTray] C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe -checkstart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GnabService - Empolis GmbH - c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - c:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe

-ENDE-

Ich hoffe ihr könnt mir helfen dieses nervige Problem zu beseitigen und danke euch jetzt schonmal für eure Mühen!

Liebe Grüße,
Elfe2201

**Sunny** · 09.01.2008, 18:48

Hallo Elfe2201 und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Elfe2201 · 10.01.2008, 17:54

Danke für die rasche Antwort :-)

Hier zu erst das Ergebnis des Scans:

SmitFraudFix v2.274

Scan done at 17:18:31,71, 10.01.2008
Run from C:\Dokumente und Einstellungen\Elfe\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Elfe

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Elfe\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

-------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------

Und nun das von ComboFix:

ComboFix 08-01-10.2 - Elfe 2008-01-10 17:23:26.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.470 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Elfe\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\Elfe\Lokale Einstellungen\Anwendungsdaten\gpyjssbmvg.dat
c:\dokumente und einstellungen\elfe\lokale einstellungen\anwendungsdaten\gpyjssbmvg.exe
c:\Dokumente und Einstellungen\Elfe\Lokale Einstellungen\Anwendungsdaten\gpyjssbmvg_nav.dat
C:\Dokumente und Einstellungen\Elfe\Lokale Einstellungen\Anwendungsdaten\gpyjssbmvg_navps.dat
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-10 17:22 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-10 17:18 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-10 17:18 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-10 17:18 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-10 17:18 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-10 17:18 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-10 17:18 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-10 17:18 . 2008-01-10 17:18 4,596 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-08 22:02 . 2008-01-08 22:02 369 --a------ C:\NEU
2008-01-08 21:55 . 2008-01-08 21:55 <DIR> d-------- C:\TIPPEN
2008-01-08 21:55 . 1996-07-25 10:43 255,488 --a------ C:\WINDOWS\UN160407.EXE
2008-01-08 21:55 . 1995-07-13 19:43 26,768 --a------ C:\WINDOWS\system\CTL3D.DLL
2007-12-22 17:00 . 2008-01-08 19:36 125 --a------ C:\ioSpecial.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 15:59 --------- d-----w C:\Programme\ZyConfig
2008-01-08 20:43 --------- d-----w C:\Programme\Zylom Games
2008-01-08 18:58 --------- d-----w C:\Programme\ICQLite
2008-01-08 18:15 --------- d-----w C:\Programme\Ubisoft
2008-01-08 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-08 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-01-08 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2008-01-08 18:14 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-01-05 22:48 --------- d-----w C:\Dokumente und Einstellungen\Elfe\Anwendungsdaten\AOL
2007-12-23 19:16 --------- d-----w C:\Dokumente und Einstellungen\Elfe\Anwendungsdaten\Azureus
2007-12-23 19:14 --------- d-----w C:\Programme\Neuer Ordner
2007-12-20 21:28 --------- d-----w C:\Programme\EA GAMES
2007-12-20 21:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-16 18:28 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-16 18:25 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-10 19:43 --------- d-----w C:\Programme\ICQToolbar
2007-12-02 20:45 66,176 ----a-w C:\Dokumente und Einstellungen\Elfe\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-01 14:14 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-11-30 20:45 --------- d-----w C:\Programme\Yahoo!
2007-11-30 20:31 --------- d-----w C:\Programme\Agent Hugo
2007-11-18 14:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2007-11-13 18:14 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-07 09:49 734,720 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-24 20:07 4,196 ----a-w C:\Dokumente und Einstellungen\Elfe\Anwendungsdaten\wklnhst.dat
2007-10-18 09:59 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-10-18 09:59 167,936 ------w C:\WINDOWS\Setup1.exe
2007-04-15 13:21 774,144 ----a-w C:\Programme\RngInterstitial.dll
2007-04-11 12:03 28 ----a-w C:\Dokumente und Einstellungen\Elfe\getfile.dat
2007-03-30 16:15 24,161 ----a-w C:\Programme\[isoHunt] Big Fish Games.torrent
2006-06-08 06:06 152 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"Power2GoExpress"="C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" [2006-02-22 14:06 2060381]
"MSMSGS"="c:\PROGRA~1\MESSEN~1\Msmsgs.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 16:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-14 17:01 16010752 C:\WINDOWS\RTHDCPL.EXE]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-03-07 16:02 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"ZyConfig"="C:\Programme\ZyConfig\ZyConfig.exe" [2005-03-03 08:27 798720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-07 14:33 98304]
"Lexmark X74-X75"="C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" [2002-10-14 21:12 57344]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 20:32 249896]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 00:02 1454080]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-18 16:50 185632]
"mouseElf"="C:\PROGRA~1\TWINTO~1\MouseElf.EXE" [2004-08-26 00:45 192512]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 10:45 63712]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"GnabTray"="C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe" [2007-07-24 16:37 421888]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=C:\WINDOWS\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sonic CinePlayer Quick Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk
backup=C:\WINDOWS\pss\Sonic CinePlayer Quick Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X74-X75]
--a------ 2002-10-14 21:12 57344 C:\Programme\Lexmark X74-X75\lxbbbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
--a------ 2005-12-20 09:18 40960 c:\Musicbrigade\Musicbrigade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--------- 2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Program Files\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
--------- 2006-02-22 14:06 2060381 C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-07 14:33 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2005-12-23 21:47 1687552 c:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]
--a------ 2005-12-23 07:50 163840 c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZyConfig]
--a------ 2005-03-03 08:27 798720 C:\Programme\ZyConfig\ZyConfig.exe

R2 GnabService;GnabService;c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe [2007-07-24 16:37]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
R3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys [2004-04-19 06:01]
R3 PhilCap;PhilCap service;C:\WINDOWS\system32\DRIVERS\PhilCap.sys [2006-02-10 23:13]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 02:00]
S3 FILESpy;FILESpy;C:\Programme\Softwin\BitDefender8\filespy.sys []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 12:26]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beac84fc-5ac1-11dc-9de6-00038a000015}]
\Shell\AutoRun\command - I:\pushinst.exe

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-07-27 18:55:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 17:28:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-10 17:29:14
ComboFix-quarantined-files.txt 2008-01-10 16:29:12
.
2008-01-09 17:01:51 --- E O F ---

Für mich sind das alles nur Hieroglyphen

LG
Elfe

**Sunny** · 10.01.2008, 18:11

und nun bitte noch folgendes:

-- Rouge Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*

Elfe2201 · 13.01.2008, 14:13

Habe alles so getan wie es beschrieben wurde und bedanke mich nochmals für die rasche Antwort :aplaus:

Hier das Logfile von RVAXO.exe:

---RVAXO.exe Updated: 2008-01-13---first run---
Files found:

Uninstallers Rogue scanners:

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

Hier die letzten 30 Tage aus den gewünschten Verzeichnissen:

----- Root -----------------------------
Datenträger in Laufwerk C: ist 453888
Volumeseriennummer: D0D2-62EE

Verzeichnis von C:\

13.01.2008 14:02 1.888 RVAXO-Vfind.log
13.01.2008 14:01 368 RVAXO-results.log
13.01.2008 13:56 1.610.612.736 pagefile.sys
13.01.2008 13:55 223 firstrun3.log
10.01.2008 17:29 11.733 ComboFix.txt
10.01.2008 17:19 2.159 rapport.txt
08.01.2008 22:02 369 NEU
08.01.2008 19:36 125 ioSpecial.ini
27.12.2007 14:44 103 DownloadLog.txt

----- System32 -------------------------
Datenträger in Laufwerk C: ist 453888
Volumeseriennummer: D0D2-62EE

Verzeichnis von C:\WINDOWS\system32

13.01.2008 14:53 603.905 RVAXO.bat
13.01.2008 14:00 81.858 nvapps.xml
13.01.2008 13:57 1.158 wpa.dbl
10.01.2008 17:18 0 tmp.txt
10.01.2008 17:18 4.596 tmp.reg
03.01.2008 19:47 49.152 VFind.exe
02.01.2008 19:21 17.642.616 MRT.exe
20.12.2007 23:11 81.920 IEDFix.exe
16.12.2007 19:25 107.832 PnkBstrB.exe
13.12.2007 10:43 387.268 TZLog.log

----- Prefetch -------------------------
Datenträger in Laufwerk C: ist 453888
Volumeseriennummer: D0D2-62EE

Verzeichnis von C:\WINDOWS\Prefetch

13.01.2008 14:04 21.264 CMD.EXE-087B4001.pf
13.01.2008 14:04 36.704 WINRAR.EXE-3588DFE8.pf
13.01.2008 14:03 20.360 NOTEPAD.EXE-336351A9.pf
13.01.2008 14:03 22.206 VERCLSID.EXE-3667BD89.pf
13.01.2008 14:02 84.488 FIREFOX.EXE-1D57670A.pf
13.01.2008 14:02 69.180 WINWORD.EXE-259486DA.pf
13.01.2008 14:00 7.224 CLDRVCHK.EXE-05C50B17.pf
13.01.2008 14:00 9.506 OLRSTATECHECK.EXE-326AB6FE.pf
13.01.2008 14:00 10.612 POWER2GOEXPRESS.EXE-24F669A4.pf
13.01.2008 14:00 28.596 ICQLITE.EXE-2AEFACA7.pf
13.01.2008 14:00 28.366 APDPROXY.EXE-0BCD8D9C.pf
13.01.2008 14:00 17.388 CTFMON.EXE-0E17969B.pf
13.01.2008 14:00 29.624 WMIPRVSE.EXE-28F301A9.pf
13.01.2008 14:00 20.110 EMOUSE.EXE-3307AE87.pf
13.01.2008 14:00 74.750 GNABTRAY.EXE-153B6CC9.pf
13.01.2008 14:00 22.774 OSA.EXE-0082CBE3.pf
13.01.2008 14:00 18.684 MOUSEELF.EXE-006F2326.pf
13.01.2008 14:00 20.834 REALSCHED.EXE-0A2A7558.pf
13.01.2008 14:00 38.554 WLANGUI.EXE-0299A31C.pf
13.01.2008 14:00 36.386 LXBBBMON.EXE-1DC2ED0E.pf
13.01.2008 14:00 26.370 CSC.EXE-1113BFA6.pf
13.01.2008 14:00 4.864 CVTRES.EXE-13DEB540.pf
13.01.2008 14:00 10.650 JUSCHED.EXE-309E47F8.pf
13.01.2008 14:00 42.046 RTHDCPL.EXE-06918CFA.pf
13.01.2008 14:00 22.428 ZYCONFIG.EXE-329C853B.pf
13.01.2008 14:00 39.542 PDVDSERV.EXE-15757141.pf
13.01.2008 14:00 13.204 NWIZ.EXE-2D0F9FBC.pf
13.01.2008 14:00 54.584 AVGNT.EXE-36CA4640.pf
13.01.2008 14:00 18.402 IMAPI.EXE-0BF740A4.pf
13.01.2008 14:00 21.450 REGSVR32.EXE-25EEFE2F.pf
13.01.2008 14:00 19.814 RUNDLL32.EXE-415F88EC.pf
13.01.2008 14:00 23.706 RUNDLL32.EXE-2AFB7DC8.pf
13.01.2008 14:00 14.142 HDASHCUT.EXE-1B000CA9.pf
13.01.2008 13:58 30.468 WUAUCLT.EXE-399A8E72.pf
13.01.2008 13:58 950.990 NTOSBOOT-B00DFAAD.pf
13.01.2008 13:53 5.444 ISSCH.EXE-13FD372D.pf
13.01.2008 13:51 88.664 AVNOTIFY.EXE-22AE9451.pf
13.01.2008 13:50 51.134 UPDATE.EXE-13D57D76.pf
13.01.2008 13:50 15.850 PREUPD.EXE-358AA1C1.pf
13.01.2008 13:50 31.792 RUNDLL32.EXE-30908AFF.pf
13.01.2008 13:50 20.836 AGENT.EXE-027CAB18.pf
10.01.2008 20:47 79.220 LOGONUI.EXE-0AF22957.pf
10.01.2008 20:39 36.664 HELPHOST.EXE-247D2792.pf
10.01.2008 20:39 52.536 HELPSVC.EXE-2878DDA2.pf
10.01.2008 20:39 72.396 HELPCTR.EXE-3862B6F5.pf
10.01.2008 20:35 38.868 LXBBBMGR.EXE-0634F371.pf
10.01.2008 20:35 102.498 EXPLORER.EXE-082F38A9.pf
10.01.2008 20:35 39.518 USERINIT.EXE-30B18140.pf
10.01.2008 20:35 61.748 WGATRAY.EXE-0ED38BED.pf
10.01.2008 18:55 18.796 SPIDER.EXE-2D998CA6.pf
10.01.2008 18:52 21.392 RUNDLL32.EXE-2A94BB85.pf
10.01.2008 18:52 21.612 RUNDLL32.EXE-2E5AF1D7.pf
10.01.2008 18:23 14.704 RUNDLL32.EXE-451FC2C0.pf
10.01.2008 17:00 38.768 DWWIN.EXE-30875ADC.pf
10.01.2008 16:59 35.892 GPYJSSBMVG.EXE-0C772792.pf
10.01.2008 16:59 13.040 DUMPREP.EXE-1B46F901.pf
10.01.2008 16:59 11.018 ALCMTR.EXE-235F9538.pf
09.01.2008 20:52 23.296 TASKMGR.EXE-20256C55.pf
09.01.2008 20:42 72.128 LXBBJSWX.EXE-127DBEB2.pf
09.01.2008 20:42 60.380 LXBBPSWX.EXE-20474BBA.pf
09.01.2008 19:57 20.168 10FINGERTEST.EXE-00F113E6.pf
09.01.2008 19:57 23.852 ZEHNFINGERTEST.EXE-1D8D4212.pf
09.01.2008 18:07 94.908 NTVDM.EXE-1A10A423.pf
09.01.2008 18:06 17.758 READER_SL.EXE-1EA4C8B2.pf
09.01.2008 18:06 15.604 ZYWATCH.EXE-36DE3FFC.pf
09.01.2008 18:00 27.002 WINDOWS-KB890830-V1.37-DELTA.-15D33FA0.pf
09.01.2008 18:00 53.168 MRT.EXE-1B4A8D49.pf
09.01.2008 18:00 51.084 MRTSTUB.EXE-3584A513.pf
09.01.2008 18:00 60.118 UPDATE.EXE-24434D77.pf
09.01.2008 18:00 82.064 UPDATE.EXE-09F7F004.pf
09.01.2008 14:03 38.536 RAINBOWMYSTERY.EXE-27318B73.pf
09.01.2008 14:03 50.484 RAINBOWMYSTERY_R1A.EXE-342B7B78.pf
09.01.2008 14:03 78.936 RNARCADE.EXE-0482DFF8.pf
09.01.2008 14:03 43.488 RAINBOWMYSTERY_R1A.EXE-347FA695.pf
09.01.2008 13:48 53.034 QTTASK.EXE-2D7EEF34.pf
09.01.2008 13:46 53.502 UPDATE.EXE-150D4058.pf
09.01.2008 13:46 56.508 UPDATE.EXE-2F2F771B.pf
08.01.2008 21:43 48.188 ZYLOMGAMEITEMP.EXE-07F0E4EF.pf
08.01.2008 21:43 15.340 GAMEINSTLR.EXE-2F691FF1.pf
08.01.2008 21:43 70.250 RUNDLL32.EXE-13404D23.pf
08.01.2008 21:15 14.086 BABEL.DLL-051E420E.pf
08.01.2008 21:15 36.140 BABEL.EXE-3A345B98.pf
08.01.2008 21:15 53.046 ZGI73.TMP-16DE740F.pf
08.01.2008 21:05 44.792 BABEL_R1A.EXE-00A800B2.pf
08.01.2008 21:05 96.370 RNARCADE.EXE-1323BAC6.pf
08.01.2008 20:39 22.004 BUZZYBUMBLE_R1A.EXE-1E2896CB.pf
08.01.2008 20:38 47.310 BUZZYBUMBLE.EXE-2378C5F0.pf
08.01.2008 20:28 47.398 JAVAW.EXE-2826389B.pf
08.01.2008 20:27 50.344 AVCMD.EXE-0E5ED8BE.pf
08.01.2008 20:13 71.208 OUTLOOK.EXE-1B18B7CC.pf
08.01.2008 20:08 16.488 VORLAGENSAMMLUNG.EXE-03AEAB7D.pf
08.01.2008 19:58 69.104 ICQLITE.EXE-31DF6EE8.pf
08.01.2008 19:58 23.984 ICQINS~1.EXE-00C5BC4E.pf
08.01.2008 19:58 25.920 GLJ53.TMP-14E20879.pf
08.01.2008 19:58 15.902 ICQLIT~2.EXE-176F103E.pf
08.01.2008 19:57 18.198 GLB51.TMP-2689F4C6.pf
08.01.2008 19:57 6.762 ICQ5_1_GERMAN_SETUP.EXE-19BD7D50.pf
08.01.2008 19:43 20.250 _IU14D2N.TMP-2C3368CA.pf
08.01.2008 19:43 21.338 UNINS000.EXE-3A058FC7.pf
08.01.2008 19:39 28.664 AU_.EXE-2BC76B21.pf
08.01.2008 19:38 15.982 UNINST.EXE-11230C03.pf
08.01.2008 19:38 62.352 ZYLOMGAMEITEMP.EXE-02A3B5FF.pf
08.01.2008 19:38 15.254 GAMEINSTLR.EXE-04BF9E0C.pf
08.01.2008 19:38 51.994 ZYLOMGAMEITEMP.EXE-02E9784F.pf
08.01.2008 19:38 22.446 GAMEINSTLR.EXE-088EAC2D.pf
08.01.2008 19:37 52.190 ZYLOMGAMEITEMP.EXE-27260DF2.pf
08.01.2008 19:37 15.430 GAMEINSTLR.EXE-039FABC8.pf
08.01.2008 19:37 45.932 ZYLOMGAMEITEMP.EXE-183E66FB.pf
08.01.2008 19:37 15.436 GAMEINSTLR.EXE-1E28ACAE.pf
08.01.2008 19:36 36.266 A~NSISU_.EXE-225704DC.pf
08.01.2008 19:36 15.110 UNINSTALL.EXE-2F56D42D.pf
08.01.2008 19:36 15.922 UNINSTALL.EXE-0FDB32C4.pf
08.01.2008 19:35 15.328 UNINSTALL.EXE-2ACF7B7D.pf
08.01.2008 19:35 15.200 UNINSTALL.EXE-2E1F3B12.pf
08.01.2008 19:35 15.206 UNINSTALL.EXE-08F26F14.pf
08.01.2008 19:34 15.216 UNINSTALL.EXE-0995202A.pf
08.01.2008 19:34 15.208 UNINSTALL.EXE-07B1AB09.pf
08.01.2008 19:34 15.566 UNINSTALL.EXE-33C3A6F1.pf
08.01.2008 19:18 27.992 ISUSPM.EXE-01DE8D55.pf
08.01.2008 19:06 72.648 RSTRUI.EXE-03C49A96.pf
08.01.2008 18:59 20.944 RUNDLL32.EXE-2287D736.pf
08.01.2008 18:58 31.660 RUNDLL32.EXE-44A0B4BC.pf
08.01.2008 18:57 43.136 RUNDLL32.EXE-3910966A.pf
08.01.2008 18:57 29.652 RUNDLL32.EXE-327ED30F.pf
08.01.2008 18:57 47.976 MSHTA.EXE-331DF029.pf
08.01.2008 18:56 19.960 RUNDLL32.EXE-19F507BE.pf
08.01.2008 16:00 46.356 AVSCAN.EXE-05AECC0E.pf
08.01.2008 15:25 76.122 DFRGNTFS.EXE-269967DF.pf
08.01.2008 15:25 17.920 DEFRAG.EXE-273F131E.pf
08.01.2008 15:25 477.928 Layout.ini
130 Datei(en) 5.990.096 Bytes
0 Verzeichnis(se), 13.464.059.904 Bytes frei

----- Windows --------------------------
Datenträger in Laufwerk C: ist 453888
Volumeseriennummer: D0D2-62EE

Verzeichnis von C:\WINDOWS

13.01.2008 13:58 1.169.438 WindowsUpdate.log
13.01.2008 13:57 0 0.log
13.01.2008 13:57 159 wiadebug.log
13.01.2008 13:57 50 wiaservc.log
13.01.2008 13:57 2.048 bootstat.dat
10.01.2008 20:47 32.544 SchedLgU.Txt
10.01.2008 17:43 92 cdplayer.ini
10.01.2008 17:41 54.156 QTFont.qfn
10.01.2008 17:28 227 system.ini
09.01.2008 18:20 795 win.ini
09.01.2008 18:00 446.439 tsoc.log
09.01.2008 18:00 390.238 comsetup.log
09.01.2008 18:00 235.849 ntdtcsetup.log
09.01.2008 18:00 182.654 iis6.log
09.01.2008 18:00 1.355 imsins.log
09.01.2008 18:00 63.672 ocmsn.log
09.01.2008 18:00 19.995 KB941644.log
09.01.2008 18:00 559.688 ocgen.log
09.01.2008 18:00 57.884 msgsocm.log
09.01.2008 18:00 1.165.464 FaxSetup.log
09.01.2008 18:00 377.600 setupapi.log
09.01.2008 18:00 1.355 imsins.BAK
09.01.2008 18:00 20.055 KB943485.log
08.01.2008 13:40 805 LEXSTAT.INI
05.01.2008 23:48 6 msoffice.ini
22.12.2007 17:54 10.906 KB946627.log
13.12.2007 17:48 240.791 setupact.log
13.12.2007 10:44 18.560 KB942840.log
13.12.2007 10:43 29.655 KB942763.log
13.12.2007 10:43 14.634 KB941569.log
13.12.2007 10:43 27.463 avmfwlanci.log
13.12.2007 10:42 17.770 KB941568.log
13.12.2007 10:42 117.306 updspapi.log
13.12.2007 10:42 37.240 KB942615.log
13.12.2007 10:42 14.943 KB944653.log

----- Tasks ----------------------------
Datenträger in Laufwerk C: ist 453888
Volumeseriennummer: D0D2-62EE

Verzeichnis von C:\WINDOWS\tasks

13.01.2008 13:57 6 SA.DAT

----- Wintemp --------------------------
Datenträger in Laufwerk C: ist 453888
Volumeseriennummer: D0D2-62EE

Verzeichnis von C:\WINDOWS\temp

13.01.2008 13:57 409 WGANotify.settings
13.01.2008 13:57 255 WGAErrLog.txt
13.01.2008 13:57 0 JET94BE.tmp
13.01.2008 13:57 0 JET9395.tmp
13.01.2008 13:57 16.384 Perflib_Perfdata_820.dat
13.01.2008 13:57 40.960 rtdrvmon.exe
13.01.2008 13:57 0 sqlite_YqVZYLmjCwP79hB
13.01.2008 13:57 0 CLML_AGENT_LOG1.txt
13.01.2008 13:48 0 JETB313.tmp
13.01.2008 13:48 0 JETB0C2.tmp
13.01.2008 13:48 16.384 Perflib_Perfdata_adc.dat
13.01.2008 13:48 0 sqlite_fl0Gm43Z5J4IfcE
10.01.2008 20:32 0 JET95C7.tmp
10.01.2008 20:32 0 JET92D9.tmp
10.01.2008 20:32 16.384 Perflib_Perfdata_a3c.dat
10.01.2008 20:32 0 T30DebugLogFile.txt
10.01.2008 16:52 0 JETBAB6.tmp
10.01.2008 16:52 0 JETB3EE.tmp
18 Datei(en) 90.776 Bytes
0 Verzeichnis(se), 13.464.047.616 Bytes frei

----- Temp -----------------------------
Datenträger in Laufwerk C: ist 453888
Volumeseriennummer: D0D2-62EE

Verzeichnis von C:\DOKUME~1\Elfe\LOKALE~1\Temp

13.01.2008 14:04 134.717 filelist.txt
13.01.2008 14:01 512 ~DFF45D.tmp
13.01.2008 13:54 341 jusched.log
10.01.2008 20:41 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}12105.html
10.01.2008 20:41 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}30515.html
10.01.2008 20:40 16.384 ~DFA05D.tmp
10.01.2008 20:40 16.384 ~DF99D2.tmp
10.01.2008 20:35 20.859 Turkish.bin
10.01.2008 20:35 20.608 Norwegian.bin
10.01.2008 20:35 24.446 Hungarian.bin
10.01.2008 20:35 18.436 Hebrew.bin
10.01.2008 20:35 21.562 Finnish.bin
10.01.2008 20:35 22.862 Czech.bin
10.01.2008 20:35 23.522 Portuguese(Brazil).bin
10.01.2008 20:35 22.606 Polish.bin
10.01.2008 20:35 23.467 Greek.bin
10.01.2008 20:35 20.733 Thai.bin
10.01.2008 20:35 19.506 Arabic.bin
10.01.2008 20:35 15.546 SimChin.bin
10.01.2008 20:35 21.773 English.bin
10.01.2008 20:35 24.654 Portuguese.bin
10.01.2008 20:35 22.684 SWEDISH.bin
10.01.2008 20:35 26.062 Spanish.bin
10.01.2008 20:35 24.638 Russian.bin
10.01.2008 20:35 25.824 Italian.bin
10.01.2008 20:35 24.274 German.bin
10.01.2008 20:35 25.665 French.bin
10.01.2008 20:35 16.913 TradChin.bin
10.01.2008 20:35 24.173 Dutch.bin
10.01.2008 20:35 22.856 Danish.bin
10.01.2008 20:35 18.977 Korean.bin
10.01.2008 20:35 22.913 Japanese.bin
10.01.2008 20:28 797.676 IMT4D.xml
10.01.2008 20:28 426 IMT4C.xml
10.01.2008 20:28 2.036 IMT4B.xml
10.01.2008 20:27 797.676 IMT4A.xml
10.01.2008 20:27 426 IMT49.xml
10.01.2008 20:27 2.036 IMT48.xml
10.01.2008 17:41 2 Twain001.Mtx
10.01.2008 17:41 1.153 TWAIN.LOG
10.01.2008 17:41 156 Twunk001.MTX
10.01.2008 17:41 0 Twunk002.MTX
10.01.2008 17:04 16.384 ~DFA2EC.tmp
10.01.2008 17:04 16.384 ~DF6C56.tmp
44 Datei(en) 2.360.213 Bytes
0 Verzeichnis(se), 13.464.043.520 Bytes frei

Liebe Grüße!

Elfe2201

Diverse Internetfenster öffnen sich ständig - Trojanerbefall?!

Log-Analyse und Auswertung: Diverse Internetfenster öffnen sich ständig - Trojanerbefall?!