@Bata
Ich auch

@tobasco

Du hast PM, bitte antworten.

lg myrtille

Poste den Inhalt der c:\keyhook.txt! (Wenn dort eventuell Deine Paswörter im Klartext auftauchen, dann nicht, in dem Fall alle ändern und den Rechner neu installieren)

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

• Bitte starte Deinen Pc im abgesicherten Modus neu

• Starte den PC neu

• Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

• Anstatt Windows normal zu starten wird ein Menü erscheinen

• Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

• Wähle Deinen Anmeldenamen

• Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

• Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

• Drücke "Y" um das Script zu starten.

• Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

• Drücke eine Taste um zu reboooten.

• Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

• Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

• Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

Dann arbeite ich mal die Liste ab.

Vorab: Eben beim STarten des Systems gabs neue Symptome:

Der Rechner wollt nach 1 minute alleine runterfahren, 2 mal in Folge. Gestartet vom NT-AUTORITÄT/SYSTEM. Habs mit shutdown -a in der Ausführenkonsole bearbeitet. Hoffe das ist ok. Dazu hat Norton ne Fehlermeldung ausgegeben, dass es keine Alarmsignale starten konnte, man solle es neu installieren.Und ich konnte die SD Fix nicht installieren. Nachm DOppelklick passierte einfach nichts. Nach nem Neustart ging Norton aber wieder. Dafür Fehlermeldungen vonSpooler Sub System, LSA Shell Export und Service Executable. Hab jeweils keinen Bericht senden lassen.
Jetzt geht derzeit alles wieder.

Here we go:

temp294843 & 294859 & 294890 & 294937 & 406421 & 406468 & 7522031 & 7522046 & 11075218 & 11075125 & 11074671 alle gleich:
MD5: 19dea565264fd824ff5ebb22d3b38f3c
Datum 2008.02.19 07:04:51 (CET) [>3D]
Ergebnisse 7/31
Permalink: http://www.virustotal.com/de/analisis/994954a9b1882c662e14d047e4b32645

temp294875:
Datei tmp294875.exe empfangen 2008.02.22 09:28:44 (CET)
Ergebnis: 3/32 (9.38%)
hxxp://www.virustotal.com/de/analisis/da5447a4eb33bb0072ba2c34c3e088d3

temp7523125:
Datei tmp7523125.exe empfangen 2008.02.22 09:32:30 (CET)
Ergebnis: 5/32 (15.63%)
hxxp://www.virustotal.com/de/analisis/417843086705ecd15909e2cda7a0bbfc


Datei Kexhook.txt:
DestroyWindow

FreeDirectInput

DestroyWindow

FreeDirectInput

DestroyWindow

FreeDirectInput

DestroyWindow

FreeDirectInput

und das ganze noch 15 mal (jeweils beides)


Nun werd ich SDFix ausführen und mich dann wieder melden.
Danke

Da hat SDFix auch gleich die vorgenannten Übeltäter gelöscht.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 20 Feb 2008 509,952 A..H. --- "C:\RECYCLER\S-1-5-21-2009361043-3271142707-2987706449-1009\Dc12.tmp"
Thu 21 Feb 2008 24,102 ..SHR --- "C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll"
Wed 22 Nov 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\005e20a3642158b88fa97bb9118f2894\BIT140.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\00ba8cb60d30ccf48ec8d1370d0632fc\BIT1D7.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0846833724f6b9372a5d380322e7d400\BIT122.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\14be296ed8208e7a08cc0b5504e9cb24\BIT1CB.tmp"
Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1879808f0785a260065780cb0d845931\BIT1E6.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\19abcee2f430e6f136c212f071acc267\BIT1C1.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e4147f522e0ae565ec3f4866e124e87\BIT1CC.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d625528b51330feeb1f61d4c00d35f1\BIT118.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4071c86951ba70e8e90b87063f318706\BIT10A.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42bf46b49765b8418b7a2cf912cdb9f1\BIT1DB.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42ca44b88caf1929345778a88a0ede6b\BIT121.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\43dcf7297629265159ca2f39e33234f2\BIT11E.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4e8be88cfdc5903f6166933101fdb85e\BIT1ED.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5cf845645e4476c18cf3b31b7b69d9f9\BIT1D2.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\61b6e430303b093b5d55e1f7591c3838\BIT1E1.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65c7088395b4b54c4c27bcad75996bdf\BIT1E5.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66bde38ef8227d5982e2b6212afa8600\BIT10C.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\713f0aeed110188be1d768de33da2de0\BIT107.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a9a15a92e81bc1276602e406b697a32\BIT1C6.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8dbf0f4424218c97fa801be8e5357ee6\BIT1DE.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f76b8b55507c6b08b6927f51c7d2379\BIT1C2.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ab31d6a0b3dd958825358f52514ab440\BIT1E3.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bd065a062f11a6abc89248980efaa3b4\BIT1C5.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be06a3356aefaf00a717740989d18dcc\BIT1E4.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be39201e9a2f608fe8161babfd096dbb\BIT1CA.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d3daea276409fc12c7974f9a2da91bfc\BIT13F.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d7cdd0b06b7be922896c6478d1650dda\BIT1EB.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dedad02453c401d4af20cf4075752c5f\BIT1EA.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dfe6923b5c23049b6115c768851bee3d\BIT1F1.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e0ecb9f48524a8ff2100292e3d88848a\BIT11A.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e9134a00458c6d256ed88b6e0fe266ac\BIT10B.tmp"

Finished!

Ich würd sagen bei dem SDFIX Log fehlt der Kopf.

sehe gerade, dass der SDFix Report nur halb reinkopiert war. Hier noch mal der ganze Bericht:

SDFix: Version 1.144

Run by Tobias on 2008-02-22 at 10:21

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Checking Files:

Trojan Files Found:

C:\WINDOWS\Installer\{97a27373-658b-42cb-b0ab-2f6cc721e6f9}\RomAlrt.dll - Deleted
C:\WINDOWS\Installer\{2568959b-d123-4914-8db8-50a7940a6383}\zip.dll - Deleted
C:\Programme\tmp294843.exe - Deleted
C:\Programme\tmp294859.exe - Deleted
C:\Programme\tmp294875.exe - Deleted
C:\Programme\tmp294890.exe - Deleted
C:\Programme\tmp294937.exe - Deleted
C:\Programme\tmp406421.exe - Deleted
C:\Programme\tmp406468.exe - Deleted
C:\Programme\tmp7522031.exe - Deleted
C:\Programme\tmp7522046.exe - Deleted
C:\Programme\tmp7523125.exe - Deleted





Removing Temp Files...

ADS Check:



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-22 10:34:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 20 Feb 2008 509,952 A..H. --- "C:\RECYCLER\S-1-5-21-2009361043-3271142707-2987706449-1009\Dc12.tmp"
Thu 21 Feb 2008 24,102 ..SHR --- "C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll"
Wed 22 Nov 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\005e20a3642158b88fa97bb9118f2894\BIT140.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\00ba8cb60d30ccf48ec8d1370d0632fc\BIT1D7.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0846833724f6b9372a5d380322e7d400\BIT122.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\14be296ed8208e7a08cc0b5504e9cb24\BIT1CB.tmp"
Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1879808f0785a260065780cb0d845931\BIT1E6.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\19abcee2f430e6f136c212f071acc267\BIT1C1.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e4147f522e0ae565ec3f4866e124e87\BIT1CC.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d625528b51330feeb1f61d4c00d35f1\BIT118.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4071c86951ba70e8e90b87063f318706\BIT10A.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42bf46b49765b8418b7a2cf912cdb9f1\BIT1DB.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42ca44b88caf1929345778a88a0ede6b\BIT121.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\43dcf7297629265159ca2f39e33234f2\BIT11E.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4e8be88cfdc5903f6166933101fdb85e\BIT1ED.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5cf845645e4476c18cf3b31b7b69d9f9\BIT1D2.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\61b6e430303b093b5d55e1f7591c3838\BIT1E1.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65c7088395b4b54c4c27bcad75996bdf\BIT1E5.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66bde38ef8227d5982e2b6212afa8600\BIT10C.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\713f0aeed110188be1d768de33da2de0\BIT107.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a9a15a92e81bc1276602e406b697a32\BIT1C6.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8dbf0f4424218c97fa801be8e5357ee6\BIT1DE.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f76b8b55507c6b08b6927f51c7d2379\BIT1C2.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ab31d6a0b3dd958825358f52514ab440\BIT1E3.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bd065a062f11a6abc89248980efaa3b4\BIT1C5.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be06a3356aefaf00a717740989d18dcc\BIT1E4.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be39201e9a2f608fe8161babfd096dbb\BIT1CA.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d3daea276409fc12c7974f9a2da91bfc\BIT13F.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d7cdd0b06b7be922896c6478d1650dda\BIT1EB.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dedad02453c401d4af20cf4075752c5f\BIT1EA.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dfe6923b5c23049b6115c768851bee3d\BIT1F1.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e0ecb9f48524a8ff2100292e3d88848a\BIT11A.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e9134a00458c6d256ed88b6e0fe266ac\BIT10B.tmp"

Finished!


___________

Wenn ich das richtig sehe, hat der die meisten tmp.exe dateien gelöscht die infiziert waren. Aber ich seh nichts über die Dateien:
temp11075218.exe & temp11075125.exe & temp11074671.exe

Genau das sollte SDFIX machen.



Jetzt bitte ein neues Combofix Log, deinstalliere es dafür zuerst (gebe unter Start /Ausfuehren "combofix /u" ein) und lade es dann neu.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

ComboFix Log:

ComboFix 08-02-22.2 - Tobias 2008-02-22 15:00:24.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.520 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-22 bis 2008-02-22 ))))))))))))))))))))))))))))))
.

2008-02-22 10:17 . 2008-02-22 10:18 <DIR> d-------- C:\WINDOWS\ERUNT
2008-02-22 07:59 . 2008-02-22 07:59 <DIR> d-------- C:\spoolerlogs
2008-02-21 11:20 . 2008-02-21 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\temporary internet files
2008-02-20 08:56 . 2008-02-21 10:09 3,666 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-19 16:59 . 2008-02-19 16:59 <DIR> d-------- C:\Programme\Lavasoft
2008-02-19 16:59 . 2008-02-19 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-19 16:58 . 2008-02-19 16:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-19 16:50 . 2008-02-19 17:00 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Anwendungsdaten\WinXProtector
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11075218.exe
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11075125.exe
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11074671.exe
2008-02-19 10:03 . 2008-02-20 16:18 518,144 --a------ C:\Profil_Presseeinladung.doc
2008-01-30 17:32 . 2008-02-18 11:04 86,016 --a------ C:\K_Profil_Neue Maßnahmen.doc
2008-01-25 11:29 . 2008-01-25 11:29 1,291,477 --a------ C:\Gesamttabellen.xlsx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-22 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-22 09:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-02-05 12:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-01 11:11 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-02-01 11:11 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-02-01 11:11 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-02-01 11:11 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-02-01 11:11 --------- d-----w C:\Programme\Symantec
2008-01-30 13:52 --------- d-----w C:\Programme\iPodder
2008-01-30 13:52 --------- d-----w C:\Programme\FlashGet
2008-01-18 15:07 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Screeny
2008-01-18 15:02 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-01-18 15:02 716,800 ------w C:\WINDOWS\Setup1.exe
2008-01-17 15:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-01-15 08:54 10,537 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-01-15 04:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-12 17:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-01-10 16:22 --------- d-----w C:\Programme\VistaCodecPack
2007-12-27 21:05 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-07 01:06 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-06-21 12:19 50 -c--a-w C:\Programme\NORTON Internet Security.txt
2007-06-21 12:16 47,231,928 -c--a-w C:\Programme\NIS071020GE.exe
2006-10-17 07:18 34,473,519 -c--a-w C:\Programme\NAV061220GE.exe
2006-08-31 15:27 598,399 -c--a-w C:\Programme\JHymn_0_9_2_win.zip
2006-08-31 14:16 4,506,024 -c--a-w C:\Programme\Cole2k.Media.-.Nero.Audio.Plugin.Pack V1.5.3.Setup.exe
2006-07-18 08:41 588,201 -c--a-w C:\Programme\lame3.96.1.zip
2006-03-28 08:09 1,181,812 -c--a-w C:\Programme\flvplayer_setup.exe
2006-01-11 20:31 992,399 ----a-w C:\Programme\JHymn.exe
2005-12-12 13:05 9,873,824 ----a-w C:\Programme\fotokasten_Comfort_2.0.exe
2005-02-14 11:21 3,483,648 -c--a-w C:\Programme\PDF_Maker.exe
2004-07-26 10:12 187,904 -c--a-w C:\Programme\lame.exe
2004-07-21 14:27 1,950,272 -c--a-w C:\Programme\ppviewer.exe
2003-10-23 15:52 40,960 -c--a-w C:\Programme\Uninstall_CDS.exe
2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 09:50 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]
"Cmaudio"="cmicnfg.cpl" []
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2003-10-30 13:10 667648]
"SiS Windows KeyHook"="C:\WINDOWS\System32\keyhook.exe" [2003-10-30 13:09 249856]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 09:22 577536 C:\WINDOWS\SOUNDMAN.EXE]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 18:20 866584]
"FLMK08KB"="C:\Programme\Multimedia Keyboard\KbdAp32A.exe" [2007-02-27 16:16 380928]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-01-14 00:11 771704]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22 517768]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"mspd"="C:\WINDOWS\system32\mspd.exe" [2003-08-27 22:22 389632]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 13:42 267064]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 21:47 483328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2005-04-25 12:45 36040]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Audible Download Manager.lnk - C:\Programme\Audible\Bin\AudibleDownloadHelper.exe [2007-04-11 10:40:06 845408]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-06-28 13:51:57 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjvd32]
winjvd32.dll

R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-09-24 13:24]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2007-01-10 12:45]
S3 BQS88CDC;BenQ S88 Driver;C:\WINDOWS\system32\DRIVERS\bqs88cdc.sys [2004-12-07 05:52]
S3 MTK;Media Technology Kernel Driver;C:\WINDOWS\system32\Drivers\fide.sys [2004-05-28 08:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0787c824-44a9-11db-aa6b-000b6a483ab3}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0925b69e-2f7d-11dc-ab8d-0019212982d6}]
\Shell\AutoRun\command - explorer.exe http://"www.web-stick.com"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{553d41d3-e8c3-11db-ab31-0019212982d6}]
\Shell\AutoRun\command - F:\podcastready.exe

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-02-22 12:51:55 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2007-06-21 09:53:22 C:\WINDOWS\Tasks\Norton Internet Security - Systemprüfung ausführen - Tobias.job"
- C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-22 15:02:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-22 15:03:00
.
2008-02-22 07:19:20 --- E O F ---


__________________________


HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04, on 2008-02-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Multimedia Keyboard\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\XXX\Desktop\Sicherheit\ABC.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 100.100.100.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 100.100.100.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 3000
1000
8000;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia Keyboard\KbdAp32A.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Audible Download Manager.lnk = C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163577680265
O17 - HKLM\System\CCS\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer = 100.100.100.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA5ED244-C85A-408A-A01A-D41CF4EDFBB4}: NameServer = 100.100.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer = 100.100.100.1
O20 - Winlogon Notify: winjvd32 - winjvd32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9700 bytes

Ok,
dann also ich

Lass bitte SDFix nochmal über dien System laufen und poste den Rapport hier.
Es wurde nicht alles entfernt.

Lade dir außerdem bitte den ATF-Cleaner herunter lösche alle Temporären Dateien. Sind die winsys.exe weiterhin vorhanden? Werden sie neu erstellt?

lg myrtille

Die winsys.exe datein sind nicht mehr da. Generellist keine exe.datei im lokale einstellungen/temp ordner mehr zu finden.

ATF Cleaner ist durchgelaufen, alles gelöscht.

Hier das SDFix Log, diesmal auch die drei anderen temp.exen gelöscht, die es im alten Log gab.

SDFix: Version 1.146

Run by Tobias on 2008-02-25 at 10:32

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Programme\tmp11074671.exe - Deleted
C:\Programme\tmp11075125.exe - Deleted
C:\Programme\tmp11075218.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-25 10:41:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 21 Feb 2008 24,102 ..SHR --- "C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll"
Wed 22 Nov 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\005e20a3642158b88fa97bb9118f2894\BIT140.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\00ba8cb60d30ccf48ec8d1370d0632fc\BIT1D7.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0846833724f6b9372a5d380322e7d400\BIT122.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\14be296ed8208e7a08cc0b5504e9cb24\BIT1CB.tmp"
Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1879808f0785a260065780cb0d845931\BIT1E6.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\19abcee2f430e6f136c212f071acc267\BIT1C1.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e4147f522e0ae565ec3f4866e124e87\BIT1CC.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d625528b51330feeb1f61d4c00d35f1\BIT118.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4071c86951ba70e8e90b87063f318706\BIT10A.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42bf46b49765b8418b7a2cf912cdb9f1\BIT1DB.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42ca44b88caf1929345778a88a0ede6b\BIT121.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\43dcf7297629265159ca2f39e33234f2\BIT11E.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4e8be88cfdc5903f6166933101fdb85e\BIT1ED.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5cf845645e4476c18cf3b31b7b69d9f9\BIT1D2.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\61b6e430303b093b5d55e1f7591c3838\BIT1E1.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65c7088395b4b54c4c27bcad75996bdf\BIT1E5.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66bde38ef8227d5982e2b6212afa8600\BIT10C.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\713f0aeed110188be1d768de33da2de0\BIT107.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a9a15a92e81bc1276602e406b697a32\BIT1C6.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8dbf0f4424218c97fa801be8e5357ee6\BIT1DE.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f76b8b55507c6b08b6927f51c7d2379\BIT1C2.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ab31d6a0b3dd958825358f52514ab440\BIT1E3.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bd065a062f11a6abc89248980efaa3b4\BIT1C5.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be06a3356aefaf00a717740989d18dcc\BIT1E4.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be39201e9a2f608fe8161babfd096dbb\BIT1CA.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d3daea276409fc12c7974f9a2da91bfc\BIT13F.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d7cdd0b06b7be922896c6478d1650dda\BIT1EB.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dedad02453c401d4af20cf4075752c5f\BIT1EA.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dfe6923b5c23049b6115c768851bee3d\BIT1F1.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e0ecb9f48524a8ff2100292e3d88848a\BIT11A.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e9134a00458c6d256ed88b6e0fe266ac\BIT10B.tmp"

Finished!

Hi,

schau mal bitte ob folgende Datei bei dir noch existiert:

Zitat:

C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll

Wenn ja, begebe dich bitte auf folgende Seite: klick
Gib bei

folgendes ein:

Zitat:

http://www.trojaner-board.de/49678-pop-ups-mit-virenwarnung-hjt-starten-unterbinden-vermute-trojaner.html

und navigiere bei

mittels des Knopfs Durchsuchen zu folgender Datei:

Zitat:

C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll

und lade die Datei dann mittels des Knopfs dann hoch.

lg myrtille

Ist hochgeladen.

Antwort:

Le fichier zip.dll a été copié.

Taille: 24102
MD5: 384FF64146059A333217B8C8B978E4E3
SHA-1: B61A000FD94AEAE6AFB383B58CC1B080AE74882E

Thx

Die Datei und den Ordner C:\windows\{c5458162-62b8-4975-9647-43a9dc686335} bitte löschen.

Zur abschließenden Kontrolle bitte noch folgende Logs posten:
- eScan
- Blacklight
- Silentrunners

wenn da nichts gefunden wird, sollte alles ok sein.

lg myrtille

Moin,

irgendwie funktionierte es bei mir nicht mit der find.bat. Das Fenster zeigte immer an :copying mwav.log
und dann passiert 10 minuten lang nix.

Was ist denn von dem Log relevant? Die Fehlermeldungen die er ausgibt bei bestimmten Dateien?

Der Kopf des Logs:
25 Feb 2008 16:30:11 => **********************************************************
25 Feb 2008 16:30:11 => eScan-AntiViren- und Antispywarewerkzeugsatz.
25 Feb 2008 16:30:11 => Copyright © MicroWorld Technologies
25 Feb 2008 16:30:11 => **********************************************************
25 Feb 2008 16:30:11 => Source: C:\DOKUME~1\TOBIAS~1.ZKM\Desktop\mwav.exe
25 Feb 2008 16:30:11 => Version 9.7.5 (C:\DOKUME~1\TOBIAS~1.ZKM\LOKALE~1\Temp\mexe.com)
25 Feb 2008 16:30:11 => Logdatei: C:\DOKUME~1\XXX\LOKALE~1\Temp\MWAV.LOG
25 Feb 2008 16:30:11 => MWAV Registered: FALSE
25 Feb 2008 16:30:11 => User Account: Tobias (Administrator Mode)
25 Feb 2008 16:30:11 => OS Type: Windows Workstation
25 Feb 2008 16:30:11 => OS: Windows XP
25 Feb 2008 16:30:11 => Ver: Service Pack 2 (Build 2600)
25 Feb 2008 16:30:11 => Windows Root Folder: C:\WINDOWS
25 Feb 2008 16:30:11 => Windows Sys32 Folder: C:\WINDOWS\system32
25 Feb 2008 16:30:11 => Interface0 NameServer: 100.100.100.1
25 Feb 2008 16:30:11 => Interface1 NameServer: 100.100.100.1
25 Feb 2008 16:30:11 => ProxyServer: 100.100.100.1:3128
25 Feb 2008 16:30:11 => ProxyOverride: 3000

1000

8000;<local>
25 Feb 2008 16:30:11 => Proxy Connection: ENABLED
25 Feb 2008 16:30:11 => Local Fixed Drives: c:\
25 Feb 2008 16:30:11 => MWAV Mode: Only Scan files
25 Feb 2008 16:30:11 => [CREATED ZIP FILE C:\DOKUME~1\XXX\LOKALE~1\Temp\pinfect.zip]

25 Feb 2008 16:30:11 => ********** Die in den letzten 14 Tagen im Windows-Ordner erstellten/modifizierten Dateien **********
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\aac_parser.ax (81920), 06-Aug-2007 [HSR], aac_parser [Added C:\WINDOWS\system32\aac_parser.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\CoreAAC.ax (175104), 06-Aug-2007 [HSR] [Added C:\WINDOWS\system32\CoreAAC.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\DiracSplitter.ax (179200), 06-Aug-2007 [HSR], Gabest, Dirac Splitter [Added C:\WINDOWS\system32\DiracSplitter.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLOgg.ax (186880), 06-Aug-2007 [HSR], RadLight, RadLight Ogg Splitter [Added C:\WINDOWS\system32\RLOgg.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLSpeexDec.ax (51712), 06-Aug-2007 [HSR] [Added C:\WINDOWS\system32\RLSpeexDec.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLTheoraDec.ax (67584), 06-Aug-2007 [HSR], RadLight, LLC, Theora Decoder [Added C:\WINDOWS\system32\RLTheoraDec.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLVorbisDec.ax (92672), 06-Aug-2007 [HSR], RadLight, RadLight Vorbis Decoder [Added C:\WINDOWS\system32\RLVorbisDec.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\bootfont.bin (4952), 02-Apr-2003 [HSR]
25 Feb 2008 16:30:12 => C:\kmd.exe (401408), 22-Feb-2008, Microsoft Corporation, Betriebssystem Microsoft® Windows®
25 Feb 2008 16:30:12 => C:\K_Profil_Neue Maßnahmen.doc (86016), 18-Feb-2008 [Added C:\K_Profil_Neue Maßnahmen.doc to ZIP FILE]
25 Feb 2008 16:30:12 => C:\NTDETECT.COM (47564), 02-Apr-2003 [HSR]
25 Feb 2008 16:30:13 => C:\Profil_Presseeinladung.doc (518656), 25-Feb-2008 [Added C:\Profil_Presseeinladung.doc to ZIP FILE]

25 Feb 2008 16:30:13 => C:\WINDOWS\$hf_mig$, 29-Dec-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$MSI31Uninstall_KB893803v2$, 06-Dec-2005 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$, 12-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$, 12-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallMSCompPackV1$, 22-Nov-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallWMFDist11$, 18-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallwmp11$, 18-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallWudf01000$, 18-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\erdnt, 20-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\ERUNT, 22-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\Fonts, 24-May-2004 [SR] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\inf, 24-May-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\msdownld.tmp, 29-Dec-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\PIF, 04-Sep-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\ShellNew, 21-Jun-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\Tasks, 24-May-2004 [S] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\system32\dllcache, 24-May-2004 [HSR] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\system32\Microsoft, 24-May-2004 [S] [Ordner]
25 Feb 2008 16:30:13 => C:\Config.Msi, 22-Nov-2006 [HS] [Ordner]
25 Feb 2008 16:30:13 => C:\MSOCache, 21-Jun-2004 [HR] [Ordner]
25 Feb 2008 16:30:13 => C:\SDFix, 25-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\spoolerlogs, 22-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\Programme\Lavasoft, 19-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\Programme\WindowsUpdate, 24-May-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\Programme\Gemeinsame Dateien\Wise Installation Wizard, 19-Feb-2008 [Ordner]

25 Feb 2008 16:30:13 => [Made copy of PINFECT.ZIP as C:\DOKUME~1\XXX\EIGENE~1\pinfect.zip]
25 Feb 2008 16:30:13 => *********************************************************************************************

25 Feb 2008 16:30:13 => Das aktuellste Datum der MWAV-Dateien: 20 Feb 2008 10:02:31.
25 Feb 2008 16:30:14 => ** Changed Value of "NoDriveTypeAutoRun" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:255 to DWORD:145
25 Feb 2008 16:30:14 => ** Changed Value of "NoDriveAutoRun" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:67108863 to DWORD:0
25 Feb 2008 16:30:19 => AV Bibliothek geladen...
25 Feb 2008 16:30:19 => MWAV doing self scanning...
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\getvlist.exe wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\main.avi wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\virus.avi wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\ScanningProcess.exe wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\kave.dll wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\prloader.dll wird gescannt
25 Feb 2008 16:30:19 => MWAV files are clean.
25 Feb 2008 16:30:23 => Virendatenbank Datum: 20 Feb 2008
25 Feb 2008 16:30:23 => Virendatenbankzähler: 573496
25 Feb 2008 16:30:47 => Antiviren- und Antispywaredatenbanken werden heruntergeladen...
25 Feb 2008 16:30:48 => Herunterladen war nicht erfolgreich!

25 Feb 2008 16:30:55 => **********************************************************
25 Feb 2008 16:30:55 => eScan-AntiViren- und Antispywarewerkzeugsatz.
25 Feb 2008 16:30:55 => Copyright © MicroWorld Technologies
25 Feb 2008 16:30:55 =>
25 Feb 2008 16:30:55 => Support: support@mwti.net
25 Feb 2008 16:30:55 => Web: http://www.mwti.net
25 Feb 2008 16:30:55 => **********************************************************
25 Feb 2008 16:30:55 => Version 9.7.5 (C:\DOKUME~1\XXX\LOKALE~1\Temp\mexe.com)
25 Feb 2008 16:30:55 => Logdatei: C:\DOKUME~1\XXX\LOKALE~1\Temp\MWAV.LOG
25 Feb 2008 16:30:55 => User Account: Tobias
25 Feb 2008 16:30:55 => Windows Root Folder: C:\WINDOWS
25 Feb 2008 16:30:55 => Windows Sys32 Folder: C:\WINDOWS\system32
25 Feb 2008 16:30:55 => OS: Windows XP
25 Feb 2008 16:30:55 => Ver: Service Pack 2 (Build 2600)
25 Feb 2008 16:30:56 => Das aktuellste Datum der MWAV-Dateien: 20 Feb 2008 10:02:31.

25 Feb 2008 16:30:56 => Vom Benutzer gewählte Optionen:
25 Feb 2008 16:30:56 => Speicherüberprüfung: Aktiviert
25 Feb 2008 16:30:56 => Registrierungsdatenbank-Überprüfung: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung des Startordners: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung des Systemordners: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung der Systembereiche: Deaktiviert
25 Feb 2008 16:30:56 => Überprüfung der Dienste: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung der Laufwerke: Deaktiviert
25 Feb 2008 16:30:56 => Überprüfung aller Laufwerke:Aktiviert
25 Feb 2008 16:30:56 => Überprüfung der Ordner: Deaktiviert

______________

Die Meldungen:

25 Feb 2008 16:32:09 => ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
25 Feb 2008 16:32:09 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\XXX\LOKALE~1\Temp\spydb.avs, Size: 354592].
25 Feb 2008 16:32:13 => Indexed Spyware Databases Successfully Created...

25 Feb 2008 16:32:14 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Maßnahme ergriffen.
25 Feb 2008 16:32:17 => Offending Key found: HKCU\Software\kazaa !!!
25 Feb 2008 16:32:17 => Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:22 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\process.exe
25 Feb 2008 16:32:22 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:22 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\reboot.exe
25 Feb 2008 16:32:22 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:23 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\swreg.exe
25 Feb 2008 16:32:23 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:23 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\swsc.exe
25 Feb 2008 16:32:23 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Checking MountPoints2 Registry Key...
25 Feb 2008 16:32:41 => Invalid Command Found in {0787c824-44a9-11db-aa6b-000b6a483ab3}\Shell\Autoplay\DropTarget\AutoRun\command: E:\setupSNK.exe
25 Feb 2008 16:32:41 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0787c824-44a9-11db-aa6b-000b6a483ab3} !!!
25 Feb 2008 16:32:41 => Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Executable Command Found in {0925b69e-2f7d-11dc-ab8d-0019212982d6}\Shell\AutoRun\command: explorer.exe http://"www.web-stick.com"
25 Feb 2008 16:32:41 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0925b69e-2f7d-11dc-ab8d-0019212982d6} !!!
25 Feb 2008 16:32:41 => Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Invalid Command Found in {553d41d3-e8c3-11db-ab31-0019212982d6}\includeRuntimeComponents\Shell\Autoplay\DropTarget\AutoRun\command: F:\podcastready.exe
25 Feb 2008 16:32:41 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{553d41d3-e8c3-11db-ab31-0019212982d6} !!!
25 Feb 2008 16:32:41 => Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Checking CLSID Reference Entries...
25 Feb 2008 16:32:43 => Eintrag "HKCR\MSPaper.Document" verweist auf das ungültige Objekt "{F086132E-222E-410A-BED7-343FF4D963A7}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:44 => Eintrag "HKCR\PhotoshopElements.Application" verweist auf das ungültige Objekt "{16aa0b9e-79ac-43b5-86ca-ab961fbeed5f}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:44 => Eintrag "HKCR\PhotoshopElements.Application.4" verweist auf das ungültige Objekt "{16aa0b9e-79ac-43b5-86ca-ab961fbeed5f}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:45 => Checking Module Usage Entries...
25 Feb 2008 16:32:45 => Checking User Trusted External App Entries...
25 Feb 2008 16:32:45 => Checking Shared DLL Entries...
25 Feb 2008 16:32:51 => Checking Installer Entries...
25 Feb 2008 16:32:56 => Checking Shared Tools Entries...
25 Feb 2008 16:32:56 => Checking File Extension Entries...
25 Feb 2008 16:32:56 => Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pf". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:56 => Checking Application Cache Entries...
25 Feb 2008 16:32:56 => Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Pdf995". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Ansonsten scannt er halt alle Dateien durch. Wenn mehr wichtig ist, kann ich auch das komplette große Log irgendwie zukommen lassen.

Die übrigen Logs:

Blacklight:
02/26/08 10:39:04 [Info]: BlackLight Engine 1.0.67 initialized
02/26/08 10:39:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/26/08 10:39:05 [Note]: 7019 4
02/26/08 10:39:05 [Note]: 7005 0
02/26/08 10:39:08 [Note]: 7006 0
02/26/08 10:39:08 [Note]: 7011 1456
02/26/08 10:39:08 [Note]: 7026 0
02/26/08 10:39:08 [Note]: 7026 0
02/26/08 10:39:12 [Note]: FSRAW library version 1.7.1024
02/26/08 10:48:41 [Note]: 2000 1012
02/26/08 10:49:07 [Note]: 7007 0

Und hier noch das Log von Silent Runner:

Silent Runner:
"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"SiS Tray" = "C:\WINDOWS\System32\sistray.EXE" ["Silicon Integrated Systems Corporation"]
"SiS Windows KeyHook" = "C:\WINDOWS\System32\keyhook.exe" ["Silicon Integrated Systems Corporation"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"FLMK08KB" = "C:\Programme\Multimedia Keyboard\KbdAp32A.exe" [empty string]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"osCheck" = ""C:\Programme\Norton Internet Security\osCheck.exe"" ["Symantec Corporation"]
"Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"mspd" = "C:\WINDOWS\system32\mspd.exe" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"Acrobat Assistant 7.0" = ""C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub"
\StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll" ["Symantec Corporation"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{8D1636FD-CA49-4b4e-90E4-0A20E03A15E8}" = "jetAudio"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
"{46E22146-59C0-4136-9233-FB7720E777B2}" = "EzCddax extension"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Programme\Easy CD-DA Extractor 10\ezcddax10.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{16148659-720A-457d-850B-2DBD87BB129D}" = "Audible Shlell Extension"
-> {HKLM...CLSID} = "AudibleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Audible\Bin\AudibleExt.dll" ["Audible, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WINDOW~4\MpShHook.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{16148659-720A-457d-850B-2DBD87BB129D}\(Default) = "Audible Column Ext"
-> {HKLM...CLSID} = "AudibleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Audible\Bin\AudibleExt.dll" ["Audible, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
EzCddax\(Default) = "{46E22146-59C0-4136-9233-FB7720E777B2}"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Programme\Easy CD-DA Extractor 10\ezcddax10.dll" [null data]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
jetAudio\(Default) = "{8D1636FD-CA49-4b4e-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
jetAudio\(Default) = "{8D1636FD-CA49-4b4e-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Tobias" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Audible Download Manager" -> shortcut to: "C:\Programme\Audible\Bin\AudibleDownloadHelper.exe /Startup" ["Audible, Inc."]
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]


Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]
"Norton Internet Security - Systemprüfung ausführen - Tobias" -> launches: "C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
"{90222687-F593-4738-B738-FBEE9C7B26DF}" = "NCO Toolbar"
-> {HKLM...CLSID} = "Show Norton Toolbar"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll" ["Symantec Corporation"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"]
Adobe Active File Monitor V4, AdobeActiveFileMonitor4.0, "C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe" [null data]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
LiveUpdate Notice Service Ex, LiveUpdate Notice Ex, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
SmartLinkService, SLService, "slserv.exe" [" "]
Symantec AppCore Service, SymAppCore, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2008-02-26 10:49:42)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 48 seconds.
---------- (total run time: 214 seconds)