so wieder nen bluescreen bekommen und dann neustart - werde jetzt bis samstag warten bis mein dad wiederkommt, trau mich nich noch irgendwie was zu machen. viele dank für eure hilfe, werden es dann wohl am samstag noch einmal probieren.

Hi,
du musst den automatischen Neustart deaktivieren um die Informationen auf dem Bluescreen abschreiben/lesen zu können.

Poste bitte auf jedenfall noch das Hijackthislog, damit wir uns einen Eindruck von deinem Rechner verschaffen können. (Geht auch schnell )

lg myrtille

also, erstma sorry für die späte antwort. mein dad und ich haben Malwarebytes nochmal durchlaufen lassen. es hat dann tatsächlich die sachen gefunden und auch erfolgreich weggekriegt. hab es dann zur sicherheit noch mehrmals durchlaufen lassen und hier sind dann die berichte:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 846

23:54:41 14.06.2008
mbam-log-6-14-2008 (23-54-41).txt

Scan Art: Schnell Scan
Objekte gescannt: 43015
Scan Dauer: 7 minute(s), 9 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\hgGxXrRI.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{03657894-7c44-4ef3-a162-e70d19564373} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03657894-7c44-4ef3-a162-e70d19564373} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggxxrri (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\KCMDNIns.exe (Trojan.Inject) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{03657894-7c44-4ef3-a162-e70d19564373} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iiffGWOg.dll_old (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\gOWGffii.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gOWGffii.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KCMDNIns.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qoMccBqP.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgGxXrRI.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


(das ist der vor dem update, hatte danach nochmal nach neuen updates dafür geschaut und da hat er dann wieda was gefunden):

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 856

01:06:33 15.06.2008
mbam-log-6-15-2008 (01-06-33).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 174045
Scan Dauer: 59 minute(s), 56 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\OP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6H00FQKB\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\OP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AY7SA8GT\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\OP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LQXV5249\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP216\A0126327.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP216\A0129368.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP217\A0130388.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


und hier dann der nachdem neu gestartet wurde:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 856

02:19:39 15.06.2008
mbam-log-6-15-2008 (02-19-39).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 174248
Scan Dauer: 1 hour(s), 1 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

hört sich ziemlich gut an

Hallo,
da dein Dad nun die "Behandlung" übernommen hat ,zeige bitte ihm das Log.
Da du nicht tun willst was dir geraten wird.......
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,
da dein Dad nun die "Behandlung" übernommen hat ,zeige bitte ihm das Log.
Da du nicht tun willst was dir geraten wird.......
Irrlicht

Man kann es auch übertreiben!

Das Log von Malwarebytes sieht gut aus.

Erstell bitte nach Sunnys Anweisung noch ein Hijackthislog und auch ein Log mit DSS:
DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

hier das HijackThis file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:09, on 15.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\OP\Desktop\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {04E8FBE9-8894-4452-BFB3-B141FC66AB10} - C:\WINDOWS\system32\iifecbXP.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {2E6C0586-8189-4427-9771-4DDF9FF92C08} - C:\WINDOWS\system32\iiffGWOg.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {94E03D9F-F097-4FD8-B119-5B1C23655FC9} - (no file)
O2 - BHO: (no name) - {B89C8268-74E0-4EDC-A269-1F6FF4155889} - C:\WINDOWS\system32\hgGyvULf.dll (file missing)
O2 - BHO: (no name) - {EAFE29D5-F1D0-4829-872F-D456F516ED40} - C:\WINDOWS\system32\tuvTnNHA.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://cash.games.web.de/ctl/kingcomie.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1194099939525
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11102 bytes

und hier das von DSS:

main txt:

Deckard's System Scanner v20071014.68
Run by OP on 2008-06-15 20:10:58
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
41: 2008-06-15 18:11:07 UTC - RP218 - Deckard's System Scanner Restore Point
40: 2008-06-14 15:34:54 UTC - RP217 - Systemprüfpunkt
39: 2008-06-12 15:14:28 UTC - RP216 - Last known good configuration
38: 2008-06-12 15:14:18 UTC - RP215 - Software Distribution Service 3.0
37: 2008-06-12 15:14:18 UTC - RP214 - Systemprüfpunkt


-- First Restore Point --
1: 2008-06-12 15:14:05 UTC - RP178 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as OP.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:14:04, on 15.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\OP\Desktop\dss.exe
C:\DOKUME~1\OP\Desktop\OP.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {04E8FBE9-8894-4452-BFB3-B141FC66AB10} - C:\WINDOWS\system32\iifecbXP.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {2E6C0586-8189-4427-9771-4DDF9FF92C08} - C:\WINDOWS\system32\iiffGWOg.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {94E03D9F-F097-4FD8-B119-5B1C23655FC9} - (no file)
O2 - BHO: (no name) - {B89C8268-74E0-4EDC-A269-1F6FF4155889} - C:\WINDOWS\system32\hgGyvULf.dll (file missing)
O2 - BHO: (no name) - {EAFE29D5-F1D0-4829-872F-D456F516ED40} - C:\WINDOWS\system32\tuvTnNHA.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://cash.games.web.de/ctl/kingcomie.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1194099939525
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11001 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 UBHelper - c:\windows\system32\drivers\ubhelper.sys
R2 BrPar - c:\windows\system32\drivers\brpar.sys <Not Verified; Brother Industries Ltd.; Brother Parallel Class Driver>
R2 int15.sys - c:\acer\empowering technology\erecovery\int15.sys
R2 SLEE_503_DRIVER (Steganos Live Encryption Engine (Version 503) [Driver]) - c:\windows\system32\drivers\slee503.sys
R3 NTIDrvr (Upper Class Filter Driver) - c:\windows\system32\drivers\ntidrvr.sys <Not Verified; NewTech Infosystems, Inc.; >

S3 drhard - c:\windows\system32\drivers\drhard.sys <Not Verified; Licensed for Gebhard Software; DRHARD Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64>
S3 IwUSB (IwUSB Driver) - c:\windows\system32\drivers\iwusb.sys <Not Verified; Thesycon GmbH, Germany; Universal USB Device Driver>
S3 TPP200 (USB Storage Adapter V2 (TPP)) - c:\windows\system32\drivers\tpp200.sys <Not Verified; In-System Design, Inc.; TPP Storage Adapter>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 SLEE_503_SERVICE (Steganos Live Encryption Engine (Version 503) [Service]) - c:\windows\system32\slee503.exe

S2 InCDsrvR (InCD Helper (read only)) - c:\programme\ahead\incd\incdsrv.exe -r <Not Verified; Nero AG; Nero AG incdsrv>
S3 ServiceLayer - "c:\programme\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\19149D16C20
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\19149D16C20
Service: NIC1394

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0000
Manufacturer: Nokia
Name: Nokia 6230i
PNP Device ID: ROOT\WPD\0000
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0001
Manufacturer: Nokia
Name: Nokia 6500c
PNP Device ID: ROOT\WPD\0001
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0002
Manufacturer: Nokia
Name: Nokia 6230i
PNP Device ID: ROOT\WPD\0002
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0003
Manufacturer: Nokia
Name: Nokia 6233
PNP Device ID: ROOT\WPD\0003
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia 6500c
Device ID: ROOT\WPD\0004
Manufacturer: Nokia
Name: Nokia 6500c
PNP Device ID: ROOT\WPD\0004
Service: WUDFRd


-- Scheduled Tasks -------------------------------------------------------------

2008-06-06 22:28:39 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-05-15 and 2008-06-15 -----------------------------

2008-06-14 17:21:18 345 --ahs---- C:\WINDOWS\system32\AHNnTvut.ini2
2008-06-12 21:54:08 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-12 21:34:01 0 d-------- C:\VundoFix Backups
2008-06-12 21:09:35 0 d-------- C:\WINDOWS\pss
2008-06-12 21:07:13 0 d-------- C:\Dokumente und Einstellungen\OP\temp
2008-06-12 20:36:04 4003 --ahs---- C:\WINDOWS\system32\PXbcefii.ini2
2008-06-12 20:26:08 0 d-------- C:\MSNCleaner
2008-06-12 17:13:55 1260 --ahs---- C:\WINDOWS\system32\fLUvyGgh.ini2
2008-06-12 16:19:46 29349 -r-hs---- C:\WINDOWS\wmplayer.exe
2008-06-10 19:21:34 0 dr-h----- C:\Dokumente und Einstellungen\OP\Recent
2008-06-02 21:34:40 0 d-------- C:\Programme\Native Instruments
2008-06-01 18:14:35 23600 --a------ C:\WINDOWS\system32\drivers\drhard.sys <Not Verified; Licensed for Gebhard Software; DRHARD Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64>
2008-06-01 18:14:30 0 d-------- C:\Programme\Dr. Hardware 2008
2008-05-23 21:30:52 0 d-------- C:\Programme\pdf24
2008-05-18 13:57:30 40448 --a------ C:\WINDOWS\system32\SmartToolsSlicer.dll <Not Verified; Medienagentur Fichtner & Meyer, Munich, Germany; Slice>
2008-05-18 13:57:29 247808 --a------ C:\WINDOWS\system32\osenxpsuite2007.dll <Not Verified; Osen Kusnadi; OsenXPSuite 2007 Pro 2.0 Dynamic Link Library>
2008-05-18 13:35:37 0 d-------- C:\Programme\SmartTools
2008-05-17 13:03:13 0 d-------- C:\Programme\Opera
2008-05-16 19:32:43 0 d-------- C:\Programme\CCleaner


-- Find3M Report ---------------------------------------------------------------

2008-06-15 19:56:08 0 d-------- C:\Programme\Symantec AntiVirus
2008-06-15 16:24:02 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\teamspeak2
2008-06-15 12:41:31 0 d-------- C:\Programme\GemMasterGerman
2008-06-15 12:41:04 0 d-------- C:\Programme\ESTsoft
2008-06-15 12:41:04 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\ESTsoft
2008-06-12 21:54:15 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Malwarebytes
2008-06-12 21:07:34 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\TeamViewer
2008-05-22 18:41:22 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\WEBDE
2008-05-20 21:44:01 0 d-------- C:\Programme\Warcraft III
2008-05-18 13:58:07 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\SmartTools
2008-05-17 13:03:23 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Opera
2008-05-11 02:03:48 0 d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-05-10 21:49:07 0 d-------- C:\Programme\MSN Messenger
2008-05-10 16:14:35 461056 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-10 16:14:35 85710 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-10 15:28:28 0 d-------- C:\Programme\Messenger
2008-05-10 15:27:59 0 d-------- C:\Programme\Movie Maker
2008-05-10 15:24:12 0 d-------- C:\Programme\Windows NT
2008-05-10 00:51:52 0 d-------- C:\Programme\Microsoft Works
2008-05-10 00:51:04 0 d-------- C:\Programme\Microsoft.NET
2008-05-07 00:48:25 2235 --a------ C:\WINDOWS\mozver.dat
2008-05-06 00:21:02 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-06 00:21:02 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-06 00:20:53 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-05-05 08:09:43 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Steganos Security Suite 6
2008-04-28 18:46:30 0 d--h----- C:\Programme\InstallShield Installation Information
2008-04-27 23:16:17 0 d-------- C:\Programme\JkDefrag
2008-04-26 00:15:54 0 d-------- C:\Programme\iTunes
2008-04-26 00:15:41 0 d-------- C:\Programme\iPod
2008-04-26 00:13:43 0 d-------- C:\Programme\QuickTime
2008-04-26 00:08:26 0 d-------- C:\Programme\Apple Software Update
2008-04-19 20:11:33 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\foobar2000
2008-04-18 23:18:51 0 d-------- C:\Programme\ICQ6
2008-04-04 20:42:31 190757 -----n--- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\NMM-MetaData.db


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{04E8FBE9-8894-4452-BFB3-B141FC66AB10}]
C:\WINDOWS\system32\iifecbXP.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E6C0586-8189-4427-9771-4DDF9FF92C08}]
C:\WINDOWS\system32\iiffGWOg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94E03D9F-F097-4FD8-B119-5B1C23655FC9}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89C8268-74E0-4EDC-A269-1F6FF4155889}]
C:\WINDOWS\system32\hgGyvULf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAFE29D5-F1D0-4829-872F-D456F516ED40}]
C:\WINDOWS\system32\tuvTnNHA.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [22.09.2005 17:42 C:\WINDOWS\soundman.exe]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [02.11.2004 21:24]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [10.08.2004 21:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [26.08.2005 19:14]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [16.11.2005 18:00]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [04.10.2005 13:42]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [21.06.2007 22:54]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [10.11.2006 13:35]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [28.03.2006 16:48]
"SetDefPrt"="C:\Programme\Brother\Brmfl06a\BrStDvPt.exe" [26.01.2005 19:02]
"ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [10.04.2006 15:58]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [12.01.2006 16:40]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [23.03.2006 18:06]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"vptray"="C:\PROGRA~1\SYMANT~1\\vptray.exe" [15.11.2005 14:28]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [28.03.2008 23:37]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [30.03.2008 10:36]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 03:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\iiffGWOg

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Windows Media Player"=wmplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc

*Newly Created Service* - INT15.SYS



-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 Command - Keeping Software Free
127.0.0.1 032439.com

8643 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-06-15 20:17:39 ------------

und noch das extra.txt

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Percentage of Memory in Use: 32%
Physical Memory (total/avail): 2046.48 MiB / 1387.93 MiB
Pagefile Memory (total/avail): 3939.15 MiB / 3414.5 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1905.05 MiB

C: is Fixed (NTFS) - 146.36 GiB total, 45.98 GiB free.
D: is Fixed (FAT32) - 146.81 GiB total, 127.74 GiB free.
E: is CDROM (No Media)
F: is Removable (No Media)
G: is Removable (No Media)
H: is Removable (No Media)
I: is Removable (No Media)
J: is Removable (No Media)
Z: is Network (NTFS)

\\.\PHYSICALDRIVE0 - WDC WD3200JD-00KLB0 - 298.09 GiB - 3 partitions
\PARTITION0 - Unknown - 4.88 GiB
\PARTITION1 (bootable) - Installierbares Dateisystem - 146.36 GiB - C:
\PARTITION2 - Unknown - 146.85 GiB - D:

\\.\PHYSICALDRIVE5 - Brother DCP-330C USB Device

\\.\PHYSICALDRIVE1 - Generic 2.0 Reader-CF USB Device

\\.\PHYSICALDRIVE4 - Generic 2.0 Reader-MS USB Device

\\.\PHYSICALDRIVE3 - Generic 2.0 Reader-SD USB Device

\\.\PHYSICALDRIVE2 - Generic 2.0 Reader-SM/xD USB Device



-- Security Center -------------------------------------------------------------

AUOptions is set to notify before install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\OP\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_05\lib\ext\QTJava.zip
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=ACER-21FDDD6C59
ComSpec=C:\WINDOWS\system32\cmd.exe
DEFAULT_CA_NR=CA8
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\OP
LOGONSERVER=\\ACER-21FDDD6C59
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Programme\In-System Design\TPP Storage Driver Installation;C:\Programme\PC Connectivity Solution\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\ESTsoft\ALZip;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\ESTsoft\ALZip;;C:\PROGRA~1\GEMEIN~1\MUVEET~1\030625;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\QuickTime\QTSystem\;C:\Programme\ESTsoft\ALZip;;C:\PROGRA~1\GEMEIN~1\MUVEET~1\030625
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 35 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=2302
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_05\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\OP\LOKALE~1\Temp
TMP=C:\DOKUME~1\OP\LOKALE~1\Temp
tvdumpflags=8
USERDOMAIN=ACER-21FDDD6C59
USERNAME=OP
USERPROFILE=C:\Dokumente und Einstellungen\OP
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

OP (admin)
DP (admin)
VP
Administrator (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> C:\WINDOWS\NuNInst.exe /UNINSTALL
--> C:\WINDOWS\unmrw.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNNMP.exe /UNINSTALL
--> C:\WINDOWS\UNNVEContent.exe /UNINSTALL
--> MsiExec.exe /I{C4CBAD7E-DF4A-4FEC-AC17-8BC709AFB844}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Help Center 2.1 --> MsiExec.exe /I{25569723-DC5A-4467-A639-79535BF01B71}
Adobe Photoshop Elements 5.0 --> msiexec /I {A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
AllSync 2.7.60 --> "C:\Programme\AllSync\unins000.exe"
ALZip --> C:\Programme\ESTsoft\ALZip\unins000.exe
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
Athlon 64 Processor Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x7
ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Brother HL-2030 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{43A16C0C-9495-4D19-BA4D-A360B98EB749}\setup.exe" -l0x7 -removeonly /uninst
Brother MFL-Pro Suite --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A912C12-A7DA-44D7-BD57-5CA85E2F33E1}\Setup.exe" -l0x7 Brunin03.dll -removeonly
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CDex extraction audio --> "C:\Programme\CDex_150\uninstall.exe"
CodeStuff Starter --> "C:\Programme\CodeStuff\Starter\unStarter.exe"
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Dr. Hardware 2008 9.0.1d --> "C:\Programme\Dr. Hardware 2008\unins000.exe"
foobar2000 v0.9.4.5 --> "C:\Programme\foobar2000\uninstall.exe"
GOM Player --> "C:\Programme\GRETECH\GomPlayer\Uninstall.exe"
Hauppauge MCE2005 Software Encoder --> C:\PROGRA~1\WinTV\UNSftMCE.EXE C:\PROGRA~1\WinTV\softMCE.LOG
HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\OP\Desktop\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ Toolbar --> regsvr32 /u /s "C:\PROGRA~1\ICQTOO~1\toolbaru.dll"
ICQ6 --> C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe -runfromtemp -l0x0009 -removeonly
iTunes --> MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
J2SE Runtime Environment 5.0 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
JkDefrag --> C:\Programme\JkDefrag\uninstall.exe
LiveUpdate 2.6 (Symantec Corporation) --> C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MasterSplitter Program --> C:\Programme\MasterSplitter\uninstal.exe
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007 --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007 --> MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007 --> MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Office XP Media Content --> MsiExec.exe /I{90300407-6000-11D3-8CFE-0050048383C9}
Microsoft Office XP Standard für Schüler, Studierende und Lehrkräfte --> MsiExec.exe /I{913D0407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.5 --> "C:\WINDOWS\$NtUninstallWudf01005$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
mIRC --> C:\Programme\mIRC\uninstall.exe _?=C:\Programme\mIRC
Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
MyPhoneExplorer --> C:\Programme\MyPhoneExplorer\uninstall.exe
Native Instruments Service Center --> C:\PROGRA~1\NATIVE~1\SERVIC~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\SERVIC~1\INSTALL.LOG
Native Instruments Traktor DJ Studio 3 --> C:\PROGRA~1\NATIVE~1\TRAKTO~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\TRAKTO~1\INSTALL.LOG
Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
Nokia Connectivity Adapter Cable DKU-5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F1BA3CD5-89DC-4273-8603-A75F33E9B335}\Setup.exe" -l0x9
Nokia Connectivity Cable Driver --> MsiExec.exe /X{0A3D3C54-2EC0-4D67-B265-FF17926E6D67}
Nokia PC Suite --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Nokia_PC_Suite_6_84_10_3_ger_web.exe
Nokia PC Suite --> MsiExec.exe /I{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}
Nokia Software Updater --> MsiExec.exe /X{3741689E-584D-40C9-B011-373A0371846D}
NTI Backup NOW! 4 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{385979FE-DC4F-4140-8EAD-A59625000D72} /l1031 BUN4
NTI CD & DVD-Maker --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1031 CDM7
NVIDIA Drivers --> C:\WINDOWS\system32\nvunrm.exe UninstallGUI
Opera 9.27 --> MsiExec.exe /X{503D6E3E-1A48-44F5-BB7C-EB3B593FAED0}
Otto --> "C:\Programme\GermanOtto\uninstallotto.exe"
PC Connectivity Solution --> MsiExec.exe /I{99A40651-0BC2-4095-8F9A-A40FAB224FEF}
pdf24 --> "C:\Programme\pdf24\unins000.exe"
Personal ID --> "C:\Programme\coolspot AG\Personal ID\Uninstall.exe" "C:\Programme\coolspot AG\Personal ID\install.log" -u
PhatNoise Music Manager --> C:\WINDOWS\iun6002.exe "C:\Programme\PhatNoise Music Manager\irunin.ini"
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
QuickTime --> MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
R-Studio 4.0 --> C:\Programme\R-Studio\Uninstall.exe
R-Studio Emergency Startup Media Creator 4.0 --> C:\Programme\R-Studio Emergency\Uninstall.exe
RagnarokOnline --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{27A295AF-334B-495E-9E54-71B77500ED70}\setup.exe" -l0x9 -removeonly
RagnaWatch 2.8.1 LCDlog --> "C:\Programme\RagnaWatch 2\unins000.exe"
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\SETUP.exe" -l0x7 -removeonly
Resident Evil 3 --> D:\resident evil\Uninstal.exe
Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Excel 2007 (KB946974) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {85E83E2E-AF9B-439B-B4F9-EB9B7EF6A00E}
Security Update for Microsoft Office system 2007 (KB951808) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00}
Security Update for Microsoft Office Word 2007 (KB950113) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9}
Security Update for Office 2007 (KB934062) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {305D509B-F194-4638-9F0F-D9E4C05F9D33}
Security Update for Office 2007 (KB947801) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {02B5A17B-01BE-4BA6-95F1-1CBB46EBC76E}
Security Update for the 2007 Microsoft Office System (KB936960) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5E5BD655-7AA9-47F9-BB6D-A1D8CE29AC86}
Sicherheitsupdate für Step by Step Interactive Training (KB898458) --> "C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SmartTools Publishing · Booklet-Assistent --> C:\PROGRA~1\SMARTT~1\WDBOOK~1\UNWISE.EXE C:\PROGRA~1\SMARTT~1\WDBOOK~1\INSTALL.LOG
Sonic Encoders --> MsiExec.exe /I{9941F0AA-B903-4AF4-A055-83A9815CC011}
Sony Ericsson Device Data --> MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4}
Sony Ericsson Drivers --> MsiExec.exe /I{C60BA916-9E44-4DA4-B11A-9E27B7624EF5}
Sony Ericsson PC Suite --> C:\WINDOWS\Installer\{D6BF6477-8369-489F-8DE6-3731F4B88560}\setup.exe /uninstall
Sony Ericsson PC Suite --> MsiExec.exe /I{D59AC9E9-FFAE-471B-B1FF-4B311D23417A}
Spelling Dictionaries Support For Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
Steganos Security Suite 6.0.4 --> MsiExec.exe /X{926B245F-201A-45D8-B4CE-B5A114F23381}
Symantec AntiVirus --> MsiExec.exe /I{46B63F23-2B4A-4525-A827-688026BE5E40}
TeamSpeak 2 RC2 --> C:\Programme\Teamspeak2_RC2\unins000.exe
TPP Storage Driver Installation --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E258A840-7E9A-443A-B156-67102C48BF17}\Setup.exe" NotFirstInstall
Update for Office 2007 (KB932080) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {EDC9CA29-6BC1-471C-828C-7A36109005D7}
Update for Office 2007 (KB946691) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update Rollup 2 für Windows XP Media Center Edition 2005 --> C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
USB Storage Adapter V2 (TPP) --> tppun.exe TPP200
Warcraft III: All Products --> C:\WINDOWS\War3Unin.exe C:\WINDOWS\War3Unin.dat
WEB.DE Club SmartFax --> C:\Programme\WEB.DE\WEB.DE Club SmartFax\uninst.exe
Winamp --> "C:\Programme\Winamp\UninstWA.exe"
Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccswpddri_044C8712DB44F83D9DE6C376991EE9254E0A69E4\pccswpddriver.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293B\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_F12A08B6F776984A95553486F64C541356F86E38\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_5E1541AFF1E1EA3554CE566743CCAD323ED1C108\nokbtmdm.inf
Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live Messenger --> MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (DEU) --> MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows Workflow Foundation DE Language Pack --> MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP Media Center Edition 2005 KB925766 --> "C:\WINDOWS\$NtUninstallKB925766$\spuninst\spuninst.exe"
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Wireless 802.11g USB Adapter --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{703FBBAA-ED01-498D-86D5-559C4725CD63} /l1031
World of Warcraft --> C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
World of Warcraft Trial --> C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\World of Warcraft Trial\Uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 -->
ZoneAlarm --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type8328 / Success
Event Submitted/Written: 06/15/2008 07:55:30 PM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.

Event Record #/Type8311 / Success
Event Submitted/Written: 06/15/2008 04:03:53 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type8302 / Success
Event Submitted/Written: 06/15/2008 03:32:52 PM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.

Event Record #/Type8286 / Success
Event Submitted/Written: 06/15/2008 00:38:57 PM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.

Event Record #/Type8275 / Success
Event Submitted/Written: 06/15/2008 01:15:20 AM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

No Errors/Warnings found.


-- End of Deckard's System Scanner: finished at 2008-06-15 20:17:39 ------------

Hi,
da ist noch einiges aufm Rechner.

Zitat:

C:\windows\wmplayer.exe

lass die Datei bitte mal bei virustotal auswerten und poste die kompletten Ergebnisse hier.
Kopiere den Text oben in das Fenster neben "Durchsuchen" und klicke auf "Senden".
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

lg myrtille

oha.. ich dachte wmplayer.exe wäre etwas von windowsmediaplayer. jedenfalls hab ich jetzt versucht es bei virus total einzugeben nur finde ich unter c:windows: keiner wmplayer.exe - lasse grad danach suchen weil vll bin ich zu doof das zu finden X__x

edit: er findet nur unter C:\Programme\Windows Media Player eine wmplayer.exe

Zitat:

oha.. ich dachte wmplayer.exe wäre etwas von windowsmediaplayer. jedenfalls hab ich jetzt versucht es bei virus total einzugeben nur finde ich unter c:windows: keiner wmplayer.exe - lasse grad danach suchen weil vll bin ich zu doof das zu finden

Deswegen bat ich dich den Text abzukopieren und in das Fenster einzugeben.

Alternativ kannst du auch alle Dateien sichtbar machen und nochmal nach der Datei in C:\windows suchen.

lg myrtille

oha... also wo ich dann nochmal nach der anleitung die du gespostet hast gesucht habe, hat der tatsächlich in c: windows noch eine wmplayer.exe gefunden. die habe ich jetzt auch bei virustotal eingegeben, hier der link

Virustotal. MD5: 65762b84eb8d2aef75e45d92002c0a4d a variant of Win32/Injector.AV VirTool:Win32/Injector.gen!B Injector.C

wahh verlesen, so ich kopiers hier rein

Datei Image536.JPG-msn.com empfangen 2008.06.12 16:19:40 (CET)
Status: Beendet
Ergebnis: 4/32 (12.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.11.0 2008.06.12 -
AntiVir 7.8.0.55 2008.06.12 -
Authentium 5.1.0.4 2008.06.12 -
Avast 4.8.1195.0 2008.06.12 -
AVG 7.5.0.516 2008.06.12 Injector.C
BitDefender 7.2 2008.06.12 -
CAT-QuickHeal 9.50 2008.06.11 -
ClamAV 0.92.1 2008.06.12 -
DrWeb 4.44.0.09170 2008.06.12 -
eSafe 7.0.15.0 2008.06.12 -
eTrust-Vet 31.6.5868 2008.06.12 -
Ewido 4.0 2008.06.12 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.12 -
Fortinet 3.14.0.0 2008.06.12 -
GData 2.0.7306.1023 2008.06.12 -
Ikarus T3.1.1.26.0 2008.06.12 -
Kaspersky 7.0.0.125 2008.06.12 -
McAfee 5315 2008.06.11 -
Microsoft 1.3604 2008.06.12 VirTool:Win32/Injector.gen!B
NOD32v2 3181 2008.06.12 a variant of Win32/Injector.AV
Norman 5.80.02 2008.06.12 -
Panda 9.0.0.4 2008.06.11 -
Prevx1 V2 2008.06.12 -
Rising 20.48.32.00 2008.06.12 -
Sophos 4.30.0 2008.06.12 Troj/Agent-HCB
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.12 -
TheHacker 6.2.92.344 2008.06.12 -
VBA32 3.12.6.7 2008.06.12 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.12 -
weitere Informationen
File size: 29349 bytes
MD5...: 65762b84eb8d2aef75e45d92002c0a4d
SHA1..: b37d302a6f462abebef262da0f33c4ba40202903
SHA256: 55bcb72d82ca840fb58a7468d9c56c8940c38ccd3dbc0e07547cbf49e67021fe
SHA512: d8e208b815df8a70c2c52ee0a395c66622a77a5b7b82b87ba9c4708c42ef602c
7e4c4cb2bdf25d48adf0376d15524fe9a661b0f4fe68d1b6a428cd136df280c2
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402970
timedatestamp.....: 0x485111e8 (Thu Jun 12 12:09:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a6b 0x1c00 6.12 9dffcc3c2acfea253da080fa293f3511
.rdata 0x3000 0x18c 0x200 3.76 b16a1a06c985c59360da6d766b0b8e28
.data 0x4000 0x37c 0x400 5.23 d991e5f173a0df48b1b33aa9c8c2ba2b

( 1 imports )
> KERNEL32.dll: GlobalAlloc, GlobalFree, LoadLibraryA, FreeLibrary, GetProcAddress, GetModuleHandleA, GetLastError, SetLastError, CloseHandle, ExitProcess, GetStartupInfoA, GetCommandLineA, HeapAlloc, GetProcessHeap

( 0 exports )

Hi,

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

 
Files to delete:
C:\WINDOWS\system32\AHNnTvut.ini2
C:\VundoFix Backups
C:\WINDOWS\system32\PXbcefii.ini2
C:\WINDOWS\system32\fLUvyGgh.ini2
C:\WINDOWS\wmplayer.exe

Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{04E8FBE9-8894-4452-BFB3-B141FC66AB10}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E6C0586-8189-4427-9771-4DDF9FF92C08}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94E03D9F-F097-4FD8-B119-5B1C23655FC9}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89C8268-74E0-4EDC-A269-1F6FF4155889}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAFE29D5-F1D0-4829-872F-D456F516ED40}

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|"Windows Media Player"
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Erstelle bitte außerdem ein neues Log mit DSS.

lg myrtille

uhm ich verstehe das nich ganz - also meinst du bei 2) das programm so einstelen wie es auf dem bild zu sehen ist nur den haken so wie in dem bild was du gepostet hast oder auch das innere im weißen feld? weil dachte da soll jetzt dieser text rein? (sry aba ich frag eben lieber nochmal nach^^)

Ja, bei unklarheiten fragen!

Zitat:

2) das programm so einstelen wie es auf dem bild zu sehen ist nur den haken so wie in dem bild was du gepostet hast oder auch das innere im weißen feld?

Genau, ich will den Haken gesetzt haben, aber nicht das innere aus dem weißen Feld.

Zitat:

weil dachte da soll jetzt dieser text rein?

Genau. Also nicht den Text vom Bild abtippen, sondern den Text, den ich weiter unten angegeben habe dort einfügen.

EDIT: Ich hab zum besseren verständnis mal das Bild geändert.

lg myrtille