Werbung nervt, Vieren?

katej · 09.07.2008, 12:54

Hallo. Bei mir öffnet sich immer Werbung in IE ohne das ich etwas gemacht habe und die AntivirenProgramme finden nichts. Laut der Anleitung habe ich das Hijack Programm runtergeladen und gescant. Hier das Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:28, on 09.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMcfb7123f] Rundll32.exe "C:\WINDOWS\system32\jslkails.dll",s
O4 - HKLM\..\RunOnce: [SpybotDeletingA1710] command /c del "C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB2915] command /c del "C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8975] cmd /c del "C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4DBB4CC1-9B1D-4CA5-9C41-613FC61EA1E6} (bildpartner_de_upload Control) - h**p://w*w.bildpartner.de/upload/bildpartner_de_upload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198249410750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198249531203
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.***/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.studivz.***/photouploader/ImageUploader5.cab?nocache=1213805653
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\msqhhqh.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 8358 bytes

Ich hoffe ihr könnt mir helfen. Schon mal danke in vorraus.

schrauber · 09.07.2008, 20:00

Hi katej und

Kannst Du auf Deinem Computer alles sehen?
Im Windows-Explorer >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

=========================================================

Lade folgende Dateien bei Virustotal hoch, und poste die Ergebnisse.

Code:

ATTFilter

C:\WINDOWS\System32\msqhhqh.dll
C:\WINDOWS\system32\jslkails.dll

=========================================================

Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
Starte deinen Rechner neu auf, in den abgesicherten Modus.
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

=========================================================

lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.

gruß

schrauber

katej · 09.07.2008, 20:52

Zitat:

Zitat von schrauber26

Hi katej und

Danke

Zitat:

Zitat von schrauber26

Kannst Du auf Deinem Computer alles sehen?
Im Windows-Explorer >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Hab ich gemacht.
=========================================================

Zitat:

Zitat von schrauber26

Lade folgende Dateien bei Virustotal hoch, und poste die Ergebnisse.

Code:

ATTFilter

1.  C:\WINDOWS\System32\msqhhqh.dll
2.  C:\WINDOWS\system32\jslkails.dll

1. 0 bytes size received / Se ha recibido un archivo vacio

2. Die Datei wurde bereits analysiert:
MD5: a85d4754472f2cdd37c69f64449b49b4
First received: 2008.07.08 13:47:15 (CET)
Datum 2008.07.09 16:10:56 (CET) [<1D]
Ergebnisse 8/33
Permalink: analisis/3fe3ac0a1f8ceac99f9f8e13857a2d6e

=========================================================

Zitat:

Zitat von schrauber26

Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
Starte deinen Rechner neu auf, in den abgesicherten Modus.
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Das SDFix funktioniert nicht mit y beim RunThis

schrauber · 09.07.2008, 21:07

Hi,

Ich brauch das ganze Ergebniss der Datei, nicht nur die Größenangaben. Lasse Sie bitte erneut scannen.

Was kommt den für ne Auswahlmöglichkeit wenn Du Runthis.bat startest??

gruß

schrauber

katej · 10.07.2008, 06:39

Das Ergebnis:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.9.2 2008.07.09 -
AntiVir 7.8.0.64 2008.07.09 HEUR/Crypted
Authentium 5.1.0.4 2008.07.08 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.09 -
BitDefender 7.2 2008.07.09 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.09 -
DrWeb 4.44.0.09170 2008.07.09 -
eSafe 7.0.17.0 2008.07.08 Suspicious File
eTrust-Vet 31.6.5940 2008.07.09 -
Ewido 4.0 2008.07.09 -
F-Prot 4.4.4.56 2008.07.08 -
F-Secure 7.60.13501.0 2008.07.08 -
Fortinet 3.14.0.0 2008.07.09 -
GData 2.0.7306.1023 2008.07.09 -
Ikarus T3.1.1.26.0 2008.07.09 -
Kaspersky 7.0.0.125 2008.07.09 -
McAfee 5334 2008.07.08 -
Microsoft 1.3704 2008.07.09 Trojan:Win32/Vundo.gen!R
NOD32v2 3255 2008.07.09 Win32/Adware.AdMedia
Norman 5.80.02 2008.07.08 -
Panda 9.0.0.4 2008.07.08 Suspicious file
Prevx1 V2 2008.07.09 Fraudulent Security Program
Rising 20.52.22.00 2008.07.09 -
Sophos 4.31.0 2008.07.09 Troj/Virtum-Gen
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.09 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.09 -
VBA32 3.12.6.8 2008.07.08 -
VirusBuster 4.5.11.0 2008.07.08 -
Webwasher-Gateway 6.6.2 2008.07.09 Heuristic.Crypted
weitere Informationen
File size: 90880 bytes
MD5...: a85d4754472f2cdd37c69f64449b49b4
SHA1..: 80d0742050fa3cd8bea54a95464ab8847079657f
SHA256: 786a8fe5133a1550078124713048ee33589b63fb0a0e6f818975ca06db19bb2f
SHA512: 037f5c9e9125cbefb2f7adb5bc20d78b705fc6bb03cdb40433a4284e6a80337e
0b6daa3c10292d811eeeeb9003f9e9c88ce7a4e1c7fef3496ee10b51746e3513
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002b633
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0xda00 8.00 b0c473ed1f368529528f5096de931f6c
.rdata 0x19000 0x8000 0x4a00 7.99 4e05cb915b5e2e6c4abd11782a3ed493
.data 0x21000 0x2000 0x400 7.80 e66580e42dedd9a3dd4591afa30a507c
.rsrc 0x23000 0x6000 0x1200 7.96 8dd5b1c6221590d938d071dbc0b77c61
.reloc 0x29000 0x2000 0x1200 7.96 3e7e4b429948fd502f6b1c047a708ad3
.pcle 0x2b000 0x2000 0x1300 5.34 cbcd44351a1fdb02804423435547ee93

( 2 imports )
> KERNEL32.dll: ExitProcess
> USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3A9CE9F500FC696E6329015FF7569A0006190262

Die Auswahlmöglichkeiten:
A,B,C,D,U,1,2,3,4 or E to Exit.

1 Download/Run a-squared from EMSI Software
2 Download/Run Norman Malware cleaner from norman
3 Download/Run Sav32cli from sophos

a create system report
b create service/dreiver list
c create catchme log
d export safeBoot key

u Downloade latest version of SDFix

schrauber · 10.07.2008, 16:56

Hi,

Es sieht so aus als hättest Du SDFix im normalen Modus ausgeführt. Du sollst aber das Tool im abgesicherten Modus starten

.

gruß

schrauber

katej · 10.07.2008, 17:30

Report:

SDFix: Version 1.204
Run by Inke-Christine on 10.07.2008 at 18:14

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\INKE-C~1\Desktop\sdfix\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\yayaywtQ.dll - Deleted
C:\Programme\AntiSpywareMaster\asm.exe - Deleted
C:\DOKUME~1\INKE-C~1\LOKALE~1\Temp\yazzsnet.exe - Deleted

Folder C:\Programme\AntiSpywareMaster - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 18:22:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000056
"TracesSuccessful"=dword:00000006

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

File Backups: - C:\DOKUME~1\INKE-C~1\Desktop\sdfix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 16 Sep 2007 24 ..SH. --- "C:\WINDOWS\S46757ACA.tmp"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Fri 17 Aug 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 21 Dec 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Thu 31 Jan 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Thu 31 Jan 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv03.tmp"
Wed 8 Aug 2007 400 A..H. --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\COH\COH32LU.reg"
Wed 8 Aug 2007 403 A..H. --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\COH\COHDLU.reg"
Fri 21 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\025263457142e84fd837b785fd7c3199\BIT2B.tmp"
Fri 21 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5204beecfbf214ee90f16a5698697dfe\BIT13.tmp"
Fri 21 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5a62d7564963003b56d2ffd4c097e4f5\BIT2F.tmp"
Fri 21 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\673ff12ad286a0de71ebcbda09bf03ca\BIT22.tmp"
Fri 21 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\930694ad3b4002999de86a6a8e717063\BIT38.tmp"
Fri 17 Aug 2007 4,348 ...H. --- "C:\Dokumente und Einstellungen\Inke-Christine\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Fri 26 Oct 2007 20 A..H. --- "C:\Dokumente und Einstellungen\Inke-Christine\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Fri 26 Oct 2007 9,655 A.SH. --- "C:\Dokumente und Einstellungen\Inke-Christine\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"

Finished!

HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:00, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMcfb7123f] Rundll32.exe "C:\WINDOWS\system32\jslkails.dll",s
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4DBB4CC1-9B1D-4CA5-9C41-613FC61EA1E6} (bildpartner_de_upload Control) - http://www.bildpartner.de/upload/bildpartner_de_upload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198249410750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198249531203
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1213805653
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\msqhhqh.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 7789 bytes

schrauber · 10.07.2008, 21:20

Na, hat ja dann doch noch geklappt

.

Jetzt fehlt nur noch der letzte Punkt meiner ersten Anleitung

gruß

schrauber

katej · 11.07.2008, 07:49

main.txt:
Deckard's System Scanner v20071014.68
Run by Inke-Christine on 2008-07-11 08:40:58
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
34: 2008-07-11 06:41:05 UTC - RP110 - Deckard's System Scanner Restore Point
33: 2008-07-10 12:26:04 UTC - RP109 - Systemprüfpunkt
32: 2008-07-09 09:34:19 UTC - RP108 - AntiVir PersonalEdition Classic - 09.07.2008 11:34
31: 2008-07-09 09:24:01 UTC - RP107 - AntiVir PersonalEdition Classic - 09.07.2008 11:23
30: 2008-07-08 18:19:04 UTC - RP106 - Last known good configuration

-- First Restore Point --
1: 2008-07-08 18:18:15 UTC - RP77 - Systemprüfpunkt

Backed up registry hives.
Performed disk cleanup.

-- HijackThis (run as Inke-Christine.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:42:25, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Dokumente und Einstellungen\Inke-Christine\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Inke-Christine.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://googel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {7AF7AA62-18CC-4A17-B376-50744645E22F} - (no file)
O2 - BHO: (no name) - {939CA208-A793-42D2-A9D8-536A91D64DE7} - C:\WINDOWS\system32\awturQKC.dll
O2 - BHO: (no name) - {C738F3D2-1891-449D-AE67-D1969094F1DF} - (no file)
O2 - BHO: (no name) - {D4107E56-2A46-4517-96BC-C74D67D20CEA} - (no file)
O2 - BHO: (no name) - {E2601F5E-FAA6-4FB4-9DF8-1D7EE656872B} - (no file)
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMcfb7123f] Rundll32.exe "C:\WINDOWS\system32\jslkails.dll",s
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4DBB4CC1-9B1D-4CA5-9C41-613FC61EA1E6} (bildpartner_de_upload Control) - http://www.bildpartner.de/upload/bildpartner_de_upload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198249410750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198249531203
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1213805653
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\msqhhqh.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 8545 bytes

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R1 StarOpen - c:\windows\system32\drivers\staropen.sys
R3 EIO - c:\windows\system32\drivers\eio.sys <Not Verified; ASUSTeK Computer Inc.; ASUS Kernel Mode Driver for NT>
R3 wdm_fm801 (512i digital PCI Audio (WDM)) - c:\windows\system32\drivers\fm801.sys <Not Verified; ForteMedia, Inc.; PCI Audio Device>

S3 ASPI (Advanced SCSI Programming Interface Driver) - c:\windows\system32\drivers\aspi32.sys <Not Verified; Adaptec; Adaptec's ASPI Layer>
S3 catchme - c:\dokume~1\inke-c~1\lokale~1\temp\catchme.sys (file missing)
S3 MS1000 - c:\windows\system32\drivers\ms1000.sys
S3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys (file missing)

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>
R2 AVM IGD CTRL Service - c:\programme\fritz!dsl\igdctrl.exe <Not Verified; AVM Berlin; AVM IGD Service>

S3 de_serv (AVM FRITZ!web Routing Service) - c:\programme\gemeinsame dateien\avm\de_serv.exe <Not Verified; AVM Berlin; AVM Rocky>

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96C-E325-11CE-BFC1-08002BE10318}
Description: PCI-Eingabegerät
Device ID: PCI\VEN_1319&DEV_0802&SUBSYS_13191319&REV_B2\3&267A616A&0&59
Manufacturer:
Name: PCI-Eingabegerät
PNP Device ID: PCI\VEN_1319&DEV_0802&SUBSYS_13191319&REV_B2\3&267A616A&0&59
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: RAID-Controller
Device ID: PCI\VEN_1106&DEV_3149&SUBSYS_80ED1043&REV_80\3&267A616A&0&78
Manufacturer:
Name: RAID-Controller
PNP Device ID: PCI\VEN_1106&DEV_3149&SUBSYS_80ED1043&REV_80\3&267A616A&0&78
Service:

-- Scheduled Tasks -------------------------------------------------------------

2008-07-10 15:46:21 636 --a------ C:\WINDOWS\Tasks\Norton AntiVirus 2008 Classic - Systemprüfung ausführen - Inke-Christine.job

-- Files created between 2008-06-11 and 2008-07-11 -----------------------------

2008-07-10 18:44:19 0 d-------- C:\Programme\DivX
2008-07-10 18:09:49 0 d-------- C:\WINDOWS\ERUNT
2008-07-10 12:36:18 105232 --a------ C:\WINDOWS\system32\mwdjxe.dll
2008-07-10 12:36:16 105232 --a----c- C:\WINDOWS\system32\oinkuwjf.dll
2008-07-10 12:32:43 81120 --a----c- C:\WINDOWS\system32\yluyfgjq.dll
2008-07-10 12:31:21 90912 --a----c- C:\WINDOWS\system32\nvnsxxsj.dll
2008-07-09 13:33:26 0 d-------- C:\Programme\Trend Micro
2008-07-09 11:38:05 5376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-07-09 11:35:46 0 d-------- C:\Programme\The Cleaner Free
2008-07-09 08:29:38 105296 --a------ C:\WINDOWS\system32\ykrnhz.dll
2008-07-09 08:29:37 105296 --a----c- C:\WINDOWS\system32\ycbdrpdo.dll
2008-07-09 08:26:37 81104 --a----c- C:\WINDOWS\system32\kmaaxfyc.dll
2008-07-09 08:25:41 90880 --a----c- C:\WINDOWS\system32\jslkails.dll
2008-07-08 20:19:34 26016 --a------ C:\WINDOWS\system32\qoMffcYr.dll
2008-07-08 20:19:33 26016 --a------ C:\WINDOWS\system32\awtsTLEU.dll
2008-07-08 20:17:57 2381 --ahs---- C:\WINDOWS\system32\CKQrutwa.ini2
2008-07-08 20:17:45 314656 --a------ C:\WINDOWS\system32\awturQKC.dll
2008-07-08 20:12:36 26016 --a------ C:\WINDOWS\system32\xxyXPfGv.dll

-- Find3M Report ---------------------------------------------------------------

2008-07-10 18:44:27 0 d-------- C:\Programme\Yahoo!
2008-07-10 15:43:28 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\FRITZ!
2008-07-09 12:42:31 0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-09 11:49:09 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\??mantec
2008-07-09 11:25:41 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-08 08:09:43 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\AdobeUM
2008-07-01 17:30:16 96 --a----c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\AVSDVDPlayer.m3u
2008-06-21 13:05:30 405118 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-21 13:05:30 70580 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-13 00:21:00 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\ICQ
2008-06-11 21:29:47 0 d-------- C:\Programme\Symantec
2008-05-31 14:29:52 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\Adobe
2008-05-19 08:43:51 0 d-------- C:\Programme\Windows Media Connect 2

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
31.01.2008 10:53 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7AF7AA62-18CC-4A17-B376-50744645E22F}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{939CA208-A793-42D2-A9D8-536A91D64DE7}]
08.07.2008 20:17 314656 --a------ C:\WINDOWS\system32\awturQKC.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C738F3D2-1891-449D-AE67-D1969094F1DF}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4107E56-2A46-4517-96BC-C74D67D20CEA}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E2601F5E-FAA6-4FB4-9DF8-1D7EE656872B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [22.10.2002 08:45]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [02.05.2003 09:19]
"nwiz"="nwiz.exe" [02.05.2003 09:19 C:\WINDOWS\system32\nwiz.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [17.08.2001 11:35]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 11:50]
"FLMOFFICE4DMOUSE"="C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe" [08.06.2007 17:05]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [03.08.2004 23:32]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [28.08.2002 21:39]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [28.08.2002 21:39]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [28.08.2002 21:39]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [31.01.2008 14:15]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [24.08.2007 22:53]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [02.04.2007 10:35]
"BMcfb7123f"="C:\WINDOWS\system32\jslkails.dll" [09.07.2008 08:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [04.08.2004 01:58]
"Rainlendar2"="C:\Programme\Rainlendar2\Rainlendar2.exe" []
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [01.04.2008 12:40]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

C:\Dokumente und Einstellungen\Inke-Christine\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [20.08.2007 11:47:59]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [06.05.2007 16:21:00]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23.09.2005 22:05:26]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\System32\msqhhqh.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\awturQKC

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

-- End of Deckard's System Scanner: finished at 2008-07-11 08:44:11 ------------

katej · 11.07.2008, 07:50

extra.txt:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Sempron(tm) Processor 3000+
Percentage of Memory in Use: 68%
Physical Memory (total/avail): 511.23 MiB / 159.52 MiB
Pagefile Memory (total/avail): 1246.5 MiB / 864.23 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1934.8 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 18.63 GiB total, 7.78 GiB free.
D: is Fixed (NTFS) - 18.65 GiB total, 7.17 GiB free.
E: is CDROM (No Media)
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - MAXTOR 4K040H2 - 37.28 GiB - 2 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 18.63 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 18.65 GiB - D:

-- Security Center -------------------------------------------------------------

AUOptions is disabled.
Windows Internal Firewall is disabled.

FW: Norton AntiVirus 2008 Classic v15.0.0.58 (Symantec Corporation)
AV: Avira AntiVir PersonalEdition Premium v 7.0.1.139
(Avira GmbH)
AV: Norton AntiVirus 2008 Classic v15.0.0.58 (Symantec Corporation)
AV: Avira AntiVir PersonalEdition v 6.38.0.225
(Avira GmbH) Outdated

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=ARBEITSCOMPUTER
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Inke-Christine
LOGONSERVER=\\ARBEITSCOMPUTER
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\WBEM;C:\Programme\Samsung\Samsung PC Studio 3\;C:\Programme\Haufe\iDesk\iDeskService\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=2c02
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\INKE-C~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\INKE-C~1\LOKALE~1\Temp
USERDOMAIN=ARBEITSCOMPUTER
USERNAME=Inke-Christine
USERPROFILE=C:\Dokumente und Einstellungen\Inke-Christine
windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

Inke-Christine (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> "C:\Programme\Symantec\LiveUpdate\LSETUP.EXE" /U
--> C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
512i digital ControlPanel (remove only) --> "C:\Programme\512i digital\uninst.exe"
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\System32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 7.0 --> C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 7.0.9 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70900000002}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Ahead Nero Burning ROM --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
AppCore --> MsiExec.exe /I{EFB5B3B5-A280-4E25-BE1C-634EEFE32C1B}
Avira AntiVir PersonalEdition Classic --> C:\Programme\AntiVir PersonalEdition Classic\setup.exe /REMOVE
AVM FRITZ!Box Dokumentation --> C:\Programme\FRITZ!Box\install.exe -d
AVM FRITZ!DSL --> C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!DSL\WebUnins.isu -cC:\Programme\FRITZ!DSL\Webunins.dll
AVS DVD Player version 2.4 --> "C:\Programme\AVS4YOU\AVSDVDPlayer\unins000.exe"
ccCommon --> MsiExec.exe /I{B24E05CC-46FF-4787-BBB8-5CD516AFB118}
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CloneDVD2 --> "C:\Programme\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneDVD2"
Component Framework --> MsiExec.exe /I{31478BE1-CDE5-4753-A8B2-F6D4BC1FBE09}
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2 --> "C:\Programme\DVD Shrink\unins000.exe"
eMule --> "C:\Programme\eMule\Uninstall.exe"
Haufe iDesk-Browser --> MsiExec.exe /X{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}
Haufe iDesk-Service --> MsiExec.exe /X{A4E86B6A-6EEC-41FD-8960-26947F0E3353}
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
hp deskjet 916c series --> rundll32 hpzcon04.dll,VendorJettison hp deskjet 916c series
hp deskjet 916c series (nur entfernen) --> C:\Programme\hp deskjet 916c series\hpfiui.exe -c -vdivid=HPF -vpnum=95 -vinstport=USB001 -vproduct=916c -huninstall
ICQ6 --> "C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
LiveUpdate (Symantec Corporation) --> MsiExec.exe /x {E80F62FF-5D3C-4A19-8409-9721F2928206} /l*v "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LuUninstall.LiveUpdate"
LiveUpdate (Symantec Corporation) --> MsiExec.exe /X{E80F62FF-5D3C-4A19-8409-9721F2928206}
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Norton AntiVirus --> MsiExec.exe /X{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}
Norton AntiVirus 2008 Classic (Symantec Corporation) --> "C:\Programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}_15_0_0_58\Setup.exe" /X
Norton AntiVirus Help --> MsiExec.exe /I{34EEB1F5-E939-40A1-A6BA-957282A4B2C8}
Norton Protection Center --> MsiExec.exe /I{62120008-8E1E-4807-860D-A8B48F8552DB}
NVIDIA Windows 2000/XP Display Drivers --> rundll32.exe C:\WINDOWS\System32\nvinstnt.dll,NvUninstallNT4 nv4_disp.inf
SAMSUNG CDMA Modem Driver Set --> C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
SAMSUNG Mobile Composite Device Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\6\SSBCUninstall.exe
Samsung Mobile phone USB driver Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
Samsung PC Studio 3 --> "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x0007 -removeonly
Samsung PC Studio 3 USB Driver Installer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7 -removeonly
SPBBC 32bit --> MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56}
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
Steuer 2007 --> C:\Programme\InstallShield Installation Information\{5E8C42DD-7E43-462C-84CC-99E5BBE3E101}\Setup.exe -runfromtemp -l0x0007 -removeonly
Steuer Hilfesammlung --> MsiExec.exe /X{B754B683-E23C-4583-9312-50AD86836B42}
The Cleaner 5 --> "C:\Programme\The Cleaner Free\unins000.exe"
TRUST MI-2500X OPTICAL MOUSE --> C:\Programme\Trust\MI-2500X OPTICAL MOUSE\uninst00.exe
Ulead Photo Express 4.0 SE --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BBC0D330-C37B-4472-BFB9-AA217CF0C95F}\setup.exe"
USB Scanner --> C:\WINDOWS\RunUnDrv.exe C:\WINDOWS\Twain_32\FlatBed\PmxScan.INF DefaultUnInstall.USB.NTX86
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe
Yahoo! Toolbar --> C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE

-- Application Event Log -------------------------------------------------------

Event Record #/Type12792 / Error
Event Submitted/Written: 07/10/2008 06:42:24 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung iexplore.exe, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Event Record #/Type12750 / Error
Event Submitted/Written: 07/10/2008 03:44:37 PM / 07/10/2008 03:44:38 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung FwebProt.exe, Version 1.3.3.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Event Record #/Type12749 / Warning
Event Submitted/Written: 07/10/2008 02:48:47 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\System Volume Information\_restore{0F5E06D3-112E-491E-8FF6-961546653CAF}\RP108\A0056658.exe
verdächtigen Code mit der Bezeichnung 'HEUR/Malware'!

Event Record #/Type12748 / Warning
Event Submitted/Written: 07/10/2008 02:08:45 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\System Volume Information\_restore{0F5E06D3-112E-491E-8FF6-961546653CAF}\RP108\A0056657.exe
verdächtigen Code mit der Bezeichnung 'HEUR/Malware'!

Event Record #/Type12593 / Warning
Event Submitted/Written: 07/09/2008 00:00:01 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Programme\Gemeinsame Dateien\Yazzle1281OinAdmin.exe
verdächtigen Code mit der Bezeichnung 'HEUR/Malware'!

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type32081 / Error
Event Submitted/Written: 07/10/2008 06:09:34 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "netman" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

Event Record #/Type32080 / Error
Event Submitted/Written: 07/10/2008 06:09:32 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{A1F4E726-8CF1-11D1-BF92-0060081ED811}

Event Record #/Type32079 / Error
Event Submitted/Written: 07/10/2008 06:09:30 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type32078 / Error
Event Submitted/Written: 07/10/2008 06:06:55 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD
avgio
avipbb
eeCtrl
ElbyCDIO
Fips
IPSec
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
SPBBCDrv
SRTSP
SRTSPX
ssmdrv
StarOpen
SYMTDI
Tcpip
WS2IFSL

Event Record #/Type32077 / Error
Event Submitted/Written: 07/10/2008 06:06:55 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31

-- End of Deckard's System Scanner: finished at 2008-07-11 08:44:11 ------------

schrauber · 11.07.2008, 17:05

Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.

Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
TechSupportForum
http://www.techsupportforum.com/sect...s/ComboFix.exe

Sollten die Links nicht funktionieren
und/oder es zu Problemen mit dem Starten des Programmes kommen,
frag bitte bei uns nach
und teile uns detailliert mit, was passiert ist.

speichere es auf deinem Desktop.

Während des Scans mit dem ComboFix soll(en):

vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein

(Liste der zu deaktivierenden Programme)

nichts am Rechner getan werden

Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.

2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.

Bitte bei Unklarheiten oder Problemen
mit dem abstellen der Programme
VOR DEM SCAN mit dem ComboFix
bei uns nachfragen.

gruß

schrauber

katej · 11.07.2008, 20:37

Log.txt:
ComboFix 08-07-11.1 - Inke-Christine 2008-07-11 21:29:54.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.243 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Inke-Christine\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMcfb7123f.xml
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\MANTEC~1
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\MANTEC~1\??mantec\
C:\WINDOWS\BMcfb7123f.txt
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\CKQrutwa.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\yiebufht.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-11 bis 2008-07-11 ))))))))))))))))))))))))))))))
.

2008-07-11 14:38 . 2008-07-11 14:38 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 14:38 . 2008-07-11 14:38 <DIR> d----c--- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\Malwarebytes
2008-07-11 14:38 . 2008-07-11 14:38 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-11 14:38 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 14:38 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 12:37 . 2008-07-11 12:37 105,248 --a--c--- C:\WINDOWS\system32\mmlgohbo.dll
2008-07-11 12:37 . 2008-07-11 12:37 105,248 --a------ C:\WINDOWS\system32\kwmpwl.dll
2008-07-11 12:33 . 2008-07-11 16:19 81,168 -----c--- C:\WINDOWS\system32\ualirdah.dll
2008-07-11 12:15 . 2008-07-11 12:15 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-07-11 11:51 . 2008-07-11 11:51 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-07-11 11:48 . 2008-07-11 11:49 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-07-11 08:40 . 2008-07-11 08:40 <DIR> d----c--- C:\Deckard
2008-07-10 18:44 . 2008-07-10 18:44 <DIR> d-------- C:\Programme\DivX
2008-07-10 18:09 . 2008-07-10 18:09 <DIR> d-------- C:\WINDOWS\ERUNT
2008-07-10 12:36 . 2008-07-10 12:36 105,232 --a--c--- C:\WINDOWS\system32\oinkuwjf.dll
2008-07-10 12:36 . 2008-07-10 12:36 105,232 --a------ C:\WINDOWS\system32\mwdjxe.dll
2008-07-10 12:31 . 2008-07-10 12:31 90,912 --a--c--- C:\WINDOWS\system32\nvnsxxsj.dll
2008-07-09 21:34 . 2008-07-09 21:34 <DIR> d----c--- C:\SDFix
2008-07-09 13:33 . 2008-07-09 13:33 <DIR> d-------- C:\Programme\Trend Micro
2008-07-09 12:53 . 2008-07-09 12:53 119 --a------ C:\WINDOWS\wininit.ini
2008-07-09 11:38 . 2008-07-09 11:38 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-07-09 11:35 . 2008-07-10 14:10 <DIR> d-------- C:\Programme\The Cleaner Free
2008-07-09 08:29 . 2008-07-09 08:29 105,296 --a------ C:\WINDOWS\system32\ykrnhz.dll
2008-07-09 08:29 . 2008-07-09 08:29 105,296 --a--c--- C:\WINDOWS\system32\ycbdrpdo.dll
2008-07-09 08:25 . 2008-07-09 08:25 90,880 --a--c--- C:\WINDOWS\system32\jslkails.dll
2008-07-08 20:17 . 2008-07-11 16:19 314,656 --------- C:\WINDOWS\system32\awturQKC.dll
2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2008-06-11 02:04 . 2008-06-11 02:04 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-06-11 02:04 . 2008-06-11 02:04 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 10:39 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-11 10:39 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-11 09:42 --------- d-----w C:\Programme\Yahoo!
2008-07-10 13:43 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\FRITZ!
2008-07-09 09:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-08 06:09 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\AdobeUM
2008-06-12 22:21 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\ICQ
2008-06-11 19:29 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-11 19:29 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-11 19:29 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-11 19:29 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-11 19:29 --------- d-----w C:\Programme\Symantec
2008-05-29 09:40 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-19 06:43 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-05 07:54 39,984 -c--a-w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-29 05:22 87,608 -c--a-w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\inst.exe
2007-05-29 05:22 47,360 -c--a-w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\pcouffin.sys
2007-05-06 13:20 84,418 -c--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{965cc374-a2e9-42a5-a208-31d4ef224843}]
2008-07-11 12:37 105248 --a------ C:\WINDOWS\system32\kwmpwl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:58 1667584]
"Rainlendar2"="C:\Programme\Rainlendar2\Rainlendar2.exe" [BU]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-10-22 08:45 331776]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 09:19 4640768]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-08-17 11:35 196608]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"FLMOFFICE4DMOUSE"="C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe" [2007-06-08 17:05 370176]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 23:32 208952]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [2002-08-28 21:39 59392]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 21:39 455168]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 21:39 455168]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 14:15 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 22:53 714608]
"nwiz"="nwiz.exe" [2003-05-02 09:19 323584 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 09:19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\WINDOWS\System32\msqhhqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-01-31 14:15]
R3 wdm_fm801;512i digital PCI Audio (WDM);C:\WINDOWS\system32\drivers\fm801.sys [2001-08-31 17:30]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 22:32]

.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 13:01:39 C:\WINDOWS\Tasks\Norton AntiVirus 2008 Classic - Systemprüfung ausführen - Inke-Christine.job"
- C:\Programme\Norton AntiVirus\Navw32.exel/TASK:
.
- - - - ORPHANS REMOVED - - - -

BHO-{7AF7AA62-18CC-4A17-B376-50744645E22F} - (no file)
BHO-{C738F3D2-1891-449D-AE67-D1969094F1DF} - (no file)
BHO-{D4107E56-2A46-4517-96BC-C74D67D20CEA} - (no file)
BHO-{E2601F5E-FAA6-4FB4-9DF8-1D7EE656872B} - (no file)

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 21:31:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-11 21:34:52
ComboFix-quarantined-files.txt 2008-07-11 19:33:46

9 Verzeichnis(se), 8,574,353,408 Bytes frei
11 Verzeichnis(se), 8,564,498,432 Bytes frei

151 --- E O F --- 2007-12-21 21:47:08

schrauber · 12.07.2008, 13:54

Hi,

vorab ein paar Fragen:

Wann hast du Combofix vorher schon mal laufen lassen? Laut Logfile ist es schon das dritte Mal, das das Tool gestartet wurde.

Wirst Du eventuell schon in einem anderen Forum betreut?

Du hast Malwarebytes Antimalware laufen lassen, dürfte ich bitte das Logfile sehen?

gruß

schrauber

katej · 12.07.2008, 21:09

Zitat:

Zitat von schrauber26

Hi,

vorab ein paar Fragen:

Wann hast du Combofix vorher schon mal laufen lassen? Laut Logfile ist es schon das dritte Mal, das das Tool gestartet wurde.

Wirst Du eventuell schon in einem anderen Forum betreut?

Du hast Malwarebytes Antimalware laufen lassen, dürfte ich bitte das Logfile sehen?

gruß

schrauber

Ich habe Combofix mal gestartet und dann wieder geschlossen, weil die gewarnt wurde, dass der PC schaden neben kann. Da hab ich abgebrochen und ICQ usw so deaktivier, dass das nicht mehr nach den Start automatisch on geht. Ich bin nur bei diesen Forum angemeldet. Und das mit den Malwarebytes ist mir nicht bekannt, wo würde ich denn das Logfile finden?

schrauber · 12.07.2008, 21:14

Zitat:

C:\Programme\Malwarebytes' Anti-Malware

Schau mal in diesem Ordner ob du ein Log findest.

gruß

schrauber

10.07.2008, 16:56	#6
schrauber /// the machine /// TB-Ausbilder	Werbung nervt, Vieren? Hi, Es sieht so aus als hättest Du SDFix im normalen Modus ausgeführt. Du sollst aber das Tool im abgesicherten Modus starten . gruß schrauber __________________ --> Werbung nervt, Vieren?

10.07.2008, 21:20	#8
schrauber /// the machine /// TB-Ausbilder	Werbung nervt, Vieren? Na, hat ja dann doch noch geklappt . Jetzt fehlt nur noch der letzte Punkt meiner ersten Anleitung gruß schrauber __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Werbung nervt, Vieren?

Log-Analyse und Auswertung: Werbung nervt, Vieren?