festplattencleaner.com und div. andere pop ups

[NT]Lali · 15.01.2008, 07:08

Guten Morgen!

Leider habe ich bereits seit Wochen Probleme mit diversen Pop ups, obwohl ich im Firefox den Pop up-Blocker aktiviert habe! Habe jetzt gerade mal einen Logfile erstellt - wäre lieb, würde da mal jemand drüberschauen - ich kenne mich damit leider überhaupt nicht aus! (Betriebssystem: Windows XP)

Liebe Grüße, [NT]Lali

Logfile of HijackThis v1.99.1
Scan saved at 06:56:34, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\MSI\Digi VOX mini\SimHID.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6A92F39A-AC4D-4BEB-A22A-7FCB4F44211A} - C:\WINDOWS\system32\mciwaved.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - Global Startup: SimHID.lnk = C:\Programme\MSI\Digi VOX mini\SimHID.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V020...5030/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

Chris4You · 15.01.2008, 07:50

Hi,

bitte folgende Einträge mit HJ-fixen:

Hijackthis, fixen:
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O2 - BHO: (no name) - {6A92F39A-AC4D-4BEB-A22A-7FCB4F44211A} - C:\WINDOWS\system32\mciwaved.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Dann Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Zusaetzlich bitte noch CureIT nutzen Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt
Poste den Report bis auf Cookies...

Falls das nicht geholfen hat, müssen wir tiefer einsteigen, führe Combofix aus:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

[NT]Lali · 15.01.2008, 13:13

Sooo.. Ich habe versucht alles so zu machen wie Du geschrieben hast. Hier die Listen:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

toolbar.dll c:\programme\macrogaming\sweetimbarforie Adware.Softomate.98 Verschoben.
A0033036.reg C:\System Volume Information\_restore{464F379A-7757-4976-9C48-287D079E3D01}\RP218 Trojan.StartPage.1505 Gelöscht.
A0033069.dll C:\System Volume Information\_restore{464F379A-7757-4976-9C48-287D079E3D01}\RP218 Adware.Softomate.98 Verschoben.

Mit Cookies war das jetzt aber nichts bei!?

Und "festplattencleaner.com" ging eben auch gleich wieder auf, als ich ins Internet ging!

Werde jetzt noch den Scan mit Combofix durchführen und mich dann noch mal melden!

Schon mal vielen, vielen Dank für Deine Hilfe!

Gruß

[NT]Lali · 15.01.2008, 13:28

und hier noch der Report von Combofix!

ComboFix 08-01-15.4 - miSs n 2008-01-15 13:16:39.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.241 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\miSs n\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Desktop\webmediaplayer.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme.\WebMediaPlayer
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme.\WebMediaPlayer\Privacy Policy.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme.\WebMediaPlayer\Terms and conditions.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme.\WebMediaPlayer\WebMediaPlayer.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme.\WebMediaPlayer\Website.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Privacy Policy.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Terms and conditions.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\WebMediaPlayer.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Website.lnk
C:\Dokumente und Einstellungen\miSs n\Lokale Einstellungen\Anwendungsdaten\iuezgxh.dat
C:\Dokumente und Einstellungen\miSs n\Lokale Einstellungen\Anwendungsdaten\iuezgxh.exe
c:\Dokumente und Einstellungen\miSs n\Lokale Einstellungen\Anwendungsdaten\iuezgxh_nav.dat
c:\Dokumente und Einstellungen\miSs n\Lokale Einstellungen\Anwendungsdaten\iuezgxh_navps.dat
C:\Programme\webmediaplayer
C:\Programme\webmediaplayer\Privacy Policy.url
C:\Programme\webmediaplayer\resources\languages_v2.xml
C:\Programme\webmediaplayer\resources\webmedias
C:\Programme\webmediaplayer\skins\classic.skn
C:\Programme\webmediaplayer\sqlite3.dll
C:\Programme\webmediaplayer\Terms and conditions.url
C:\Programme\webmediaplayer\uninst.exe
C:\Programme\webmediaplayer\WebMediaPlayer.exe
C:\Programme\webmediaplayer\Website.url
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-15 13:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 10:15 . 2008-01-15 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\miSs n\DoctorWeb
2008-01-08 07:42 . 2008-01-08 07:42 <DIR> d--hs---- C:\FOUND.004
2008-01-07 16:40 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-01-07 16:40 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-01-07 16:40 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-01-07 16:40 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll
2008-01-05 22:04 . 2008-01-05 22:04 <DIR> d-------- C:\Programme\Burn4Free Toolbar
2008-01-05 22:04 . 2008-01-05 22:04 <DIR> d-------- C:\Programme\Burn4Free
2008-01-05 22:04 . 2008-01-05 22:04 232,033 --a------ C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_6000.exe
2008-01-03 16:45 . 2008-01-03 16:45 <DIR> d-------- C:\Dokumente und Einstellungen\miSs n\Anwendungsdaten\CyberLink
2008-01-03 16:38 . 2008-01-03 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-01-03 16:37 . 2008-01-03 16:37 <DIR> d-------- C:\Programme\CyberLink
2008-01-03 16:37 . 2005-06-20 05:32 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-01-03 16:37 . 2005-06-20 05:32 198,144 --a------ C:\WINDOWS\system32\_psisdecd.dll
2008-01-03 16:37 . 2005-06-20 05:32 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-01-03 16:34 . 2008-01-03 16:34 <DIR> d-------- C:\Programme\MSI
2008-01-01 14:07 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-01-01 14:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-01-01 14:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys
2008-01-01 14:07 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-12-29 22:37 . 2007-12-29 22:37 0 --a------ C:\WINDOWS\Irremote.ini
2007-12-24 16:34 . 2007-12-24 16:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-04 12:32 --------- d-----w C:\Programme\Macrogaming
2007-11-14 04:57 223,744 ----a-w C:\WINDOWS\system32\b4fm.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 23:19 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-30 17:20 360,064 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:42 8,501,248 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-05 18:45 17,144 ----a-w C:\Dokumente und Einstellungen\miSs n\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4

Chris4You · 16.01.2008, 08:16

Hi,

kannst Du bitte das ComboFix-Logfile komplett posten bzw. den Rest...
Da fehlt noch einiges...

Chris

[NT]Lali · 16.01.2008, 10:53

Hi! Ich hab combofix jetzt noch mal laufen lassen! Und alles kopiert! Hoffe das ist jetzt richtig!? Die Webseiten um die es hier ging, gehen allerdings seit gestern Mittag (nachdem ich alles einmal laufen lassen habe) nicht mehr auf!?

ComboFix 08-01-15.4 - miSs n 2008-01-16 10:49:03.2 - FAT32x86
ausgeführt von:: C:\Dokumente und Einstellungen\miSs n\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-16 bis 2008-01-16 ))))))))))))))))))))))))))))))
.

2008-01-15 13:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 10:15 . 2008-01-15 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\miSs n\DoctorWeb
2008-01-08 07:42 . 2008-01-08 07:42 <DIR> d--hs---- C:\FOUND.004
2008-01-07 16:40 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-01-07 16:40 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-01-07 16:40 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-01-07 16:40 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll
2008-01-05 22:04 . 2008-01-05 22:04 <DIR> d-------- C:\Programme\Burn4Free Toolbar
2008-01-05 22:04 . 2008-01-05 22:04 <DIR> d-------- C:\Programme\Burn4Free
2008-01-05 22:04 . 2008-01-05 22:04 232,033 --a------ C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_6000.exe
2008-01-03 16:45 . 2008-01-03 16:45 <DIR> d-------- C:\Dokumente und Einstellungen\miSs n\Anwendungsdaten\CyberLink
2008-01-03 16:38 . 2008-01-03 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-01-03 16:37 . 2008-01-03 16:37 <DIR> d-------- C:\Programme\CyberLink
2008-01-03 16:37 . 2005-06-20 05:32 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-01-03 16:37 . 2005-06-20 05:32 198,144 --a------ C:\WINDOWS\system32\_psisdecd.dll
2008-01-03 16:37 . 2005-06-20 05:32 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-01-03 16:34 . 2008-01-03 16:34 <DIR> d-------- C:\Programme\MSI
2008-01-01 14:07 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-01-01 14:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-01-01 14:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys
2008-01-01 14:07 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-12-29 22:37 . 2007-12-29 22:37 0 --a------ C:\WINDOWS\Irremote.ini
2007-12-24 16:34 . 2007-12-24 16:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-04 12:32 --------- d-----w C:\Programme\Macrogaming
2007-11-14 04:57 223,744 ----a-w C:\WINDOWS\system32\b4fm.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 23:19 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-30 17:20 360,064 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:42 8,501,248 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-05 18:45 17,144 ----a-w C:\Dokumente und Einstellungen\miSs n\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-01-15_13.18.28,51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
+ 2008-01-16 08:21:12 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_3d4.dat
+ 2008-01-16 08:21:18 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_7ec.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}]
2008-01-05 22:04 806912 --a------ C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4FE6-8A56-BBB695989046}
{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}

[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2007-08-22 22:52 23552]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-10-14 18:09 103712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 02:02 1454080]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48 36975]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-10-14 18:09 103712]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-08-22 22:52 23552]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
SimHID.lnk - C:\Programme\MSI\Digi VOX mini\SimHID.exe [2008-01-07 16:47:42]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk
backup=C:\WINDOWS\pss\Service Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative WebCam Tray]
--------- 2005-10-27 12:00 299008 C:\Programme\Creative\Shared Files\CamTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--------- 2005-06-20 05:32 127118 C:\Programme\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
-ra------ 2007-10-14 18:09 103712 C:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-15 00:22 35328 C:\Programme\Winamp\winampa.exe

R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 02:02]
R3 MODBDA2;DiBcom MOD3000 TV receiver;C:\WINDOWS\system32\Drivers\modbda2.sys [2005-06-03 03:56]
R3 V0330VID;WebCam Vista;C:\WINDOWS\system32\DRIVERS\V0330Vid.sys [2006-11-03 19:01]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 02:02]
S3 MODLOAD2;Digi VOX mini firmware loader;C:\WINDOWS\system32\DRIVERS\modload2.sys [2005-04-29 04:09]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 10:50:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-16 10:50:57
ComboFix-quarantined-files.txt 2008-01-16 09:50:54
ComboFix2.txt 2008-01-15 12:18:46
.
2008-01-09 07:09:44 --- E O F ---

Chris4You · 16.01.2008, 11:14

Hi,

sieht Ok aus, ComboFix hat ja einiges beim Ersten Lauf bereits gelöscht...

Scann noch mal mit Prevx und poste das Log (wenn etwas erkannt wurde):
http://www.prevx.com/freescan.asp

Chris

[NT]Lali · 16.01.2008, 11:21

"no active infections were found"! Also müsste jetzt alles (wieder) okay sein? Oder soll ich noch irgendein Programm drüber laufen lassen?

Chris4You · 16.01.2008, 11:49

Hi,

sollte ausreichend sein, wenn Du willst jage noch einmal Dr. Web drüber...
Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste das Ergebnis bis auf Cookies (falls er was findet)...

Deine Javasoftware ist veraltet,
Download jre-6u4-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u4-windows-i586-p.exe”

chris

festplattencleaner.com und div. andere pop ups

Log-Analyse und Auswertung: festplattencleaner.com und div. andere pop ups