@undoreal:

Kannst Du in den Logs noch etwas auffälliges finden?

Dieses Mal hat Combofix noch andere Dateien gefunden, die eher noch etwas schimmer sind als vor dem zurückspielen der Images...

Mach, den Rechner platt. Sonst erlebst du irgendwann evtl. ein ganz böses Erwachen!

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Danke Dir für eneute Durchsicht.

Hatte gehofft, jetzt clean zu sein, da sämtliche Virenscanner auch von Boot CD nichts mehr gefunden haben.

Hmmm.... eine manuelle Bereinigung ist also nicht möglich?

Ich habe gesehen, dass einige von Combofix angezeigte "Programme" so benannte leere Ordner waren. Diese habe ich gelöscht. Anbei noch einmal frische Logs.


MBR

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


HIJACK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:08:45, on 24.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\wmccfg.exe" /StartQuiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120077196109
O17 - HKLM\System\CCS\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 5009 bytes



COMBOFIX


ComboFix 08-07-20.7 - Björn Walde 2008-07-24 7:59:09.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2600 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn Walde\Desktop\Aufräumen\Combofix\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-24 bis 2008-07-24 ))))))))))))))))))))))))))))))
.

2008-07-24 07:57 . 2008-07-24 07:57 268 --ah----- C:\sqmdata00.sqm
2008-07-24 07:57 . 2008-07-24 07:57 244 --ah----- C:\sqmnoopt00.sqm
2008-07-23 17:09 . 2008-07-24 07:57 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-23 17:08 . 2008-03-07 19:02 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-23 17:08 . 2008-03-07 19:02 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-23 17:08 . 2008-03-07 19:02 29,696 -----c--- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-07-22 20:46 . 2008-07-22 20:47 <DIR> d-------- C:\Temp
2008-07-22 18:01 . 2008-07-22 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Björn Walde
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-20 18:50 . 2008-07-20 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-20 14:57 . 2008-07-20 21:17 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-22 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-16 23:32 . 2008-07-22 21:14 104 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:08 . 2008-07-22 22:30 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-22 18:47 --------- d-----w C:\Programme\Lavasoft
2008-07-20 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-16 13:40 106,496 ----a-w C:\WINDOWS\system32\ATL71.DLL
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-28 18:47 --------- d-----w C:\Programme\Java
2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-24_ 7.51.29.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-24 05:03:07 121,848 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-07-24 05:56:08 112,042 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-07-24 05:03:07 94,040 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-24 05:56:08 94,040 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-07-24 05:03:07 578,322 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-07-24 05:56:08 553,498 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-07-24 05:03:07 520,576 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-24 05:56:08 520,576 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=C:\WINDOWS\pss\Windows Search.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
R3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
R3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
R3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O17 -: HKLM\CCS\Interface\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 08:03:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-24 8:06:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-24 06:06:39
ComboFix2.txt 2008-07-24 05:51:53
ComboFix3.txt 2008-07-22 18:37:30

Pre-Run: 13 Verzeichnis(se), 25,894,268,928 Bytes frei
Post-Run: 15 Verzeichnis(se), 25,880,576,000 Bytes frei

233 --- E O F --- 2008-07-18 14:17:31

Zitat:

eine manuelle Bereinigung ist also nicht möglich?

doch, birgt aber extreme risiken.

Außerdem sind die logs vor und nach dem Image wiedersprüchlich und in beiden Fällen sehr als äußerst gefährlich einzustufen wesshaöb ich eine Bereinigung nicht empfehlen kann.

Wärest Du bereit, mich durch eine manuelle Bereinigung zu führen?

Wie gesagt, ich hatte heute morgen die leeren Ordner mit den auffälligen Namen einfach gelöscht und dann noch einmal Combofix und HijackThis Logs oben gepostet.

Ich habe jetzt noch nach einigen Einträgen gegoogelt und würde dann folgende Dateien einfach löschen und dann noch einmal die Logs posten.

C:\WINDOWS\system32\ATL71.DLL
C:\WINDOWS\system32\drivers\bthport.sys
C:\WINDOWS\system32\EioPal.dll
C:\WINDOWS\system32\wshext.dll

Soll ich so erst einmal vorgehen, bevor Du mich führen könntest, oder soll ich Deine Anweisungen abwarten?

Warum möchtest du denn nicht neuaufsetzen??

Aus sicherheitstechnischen Aspekten wäre das wohl sinnvoll, aber ich werde wohl mit diesem Rechner nicht mehr online gehen. Ich habe jede Menge Musiksoftware darauf laufen, d.h. viele Programme, PlugIns und auch meine Musik-Projekte. Ich besitze zwar die Original-Software, aber die neue Konfiguration von alle dem würde mich bestimmt weitere 14 Nächte kosten.

Bis vor 5 Jahren habe ich meine Rechner noch selber zusammen gebaut und auch getuned. Der Ehrgeiz "schlauer zu sein" als diese Seuchprogramme und diesen Beizukommen ist auch vorhanden. Daher interessiert es mich auch aus dieser Sicht, welche Programme die Übeltäter sind und wie man sie wieder beseitigt. Die letzten Tage hier im Forum hatten zwar einen traurigen Anlass, aber ich habe auch wieder viel gelernt. Zumal Du meintest, dass man eine Bereinigung versuchen könnte, wäre eine Anleitung von Dir prima.

Ich war echt überrascht, dass Du immer noch Übeltäter in den Logs finden konntest, da ich dachte nun sei ich clean. Wie gesagt, habe ich alle Einträge 'mal abgegoogelt und bin dann auf die oben genannten gestossen, die ich jetzt einfach löschen würde und dann wieder Logs posten würde.

Was schlägst Du vor? Soll ich so vorgehen oder auf Deine Anweisungen warten?

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollte das log zu lang sein so kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

9) Systemanalyse:

• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Das war 'mal eine Aufgabe, aber jetzt ist alles durch. Da der text zu lang ist in 2 Teilen.

1. Blacklight: keine Funde
2. Combofix bei deaktivierter Firewall durchgeführt. Log steht unten.
3. SASW im normalen und abgesicherten Modus durchgeführt. Nichts gefunden.
4. Maleware Bytes: nichts gefunden
5. CCleaner hat aufgeräumt.
6. Frisches HijackThis Log ist unten.
7. iClean mehrfach laufen lassen.
8. AVZ-Zip File ist unter:
http://rapidshare.com/files/132180978/avz_sysinfo.zip.html


- Ist der Rechner nun clean?
- Kann ich Java wieder installieren? (Einige Soundeditoren laufen nur unter Java)
- Kann ich wieder online gehen, oder sollte ich das lassen auf diesem Rechner?



BLACKLIGHT:

07/24/08 15:56:51 [Info]: BlackLight Engine 1.0.70 initialized
07/24/08 15:56:51 [Info]: OS: 5.1 build 2600 (Service Pack 3)
07/24/08 15:56:51 [Note]: 7019 4
07/24/08 15:56:51 [Note]: 7005 0
07/24/08 15:57:09 [Note]: 7006 0
07/24/08 15:57:10 [Note]: 7011 1560
07/24/08 15:57:10 [Note]: 7035 0
07/24/08 15:57:10 [Note]: 7026 0
07/24/08 15:57:10 [Note]: 7026 0
07/24/08 15:57:13 [Note]: FSRAW library version 1.7.1024
07/24/08 16:01:45 [Note]: 2000 1012
07/24/08 16:02:04 [Note]: 7007 0



COMBOFIX:

ComboFix 08-07-20.7 - Björn Walde 2008-07-24 16:04:11.7 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2588 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn Walde\Desktop\Aufräumen\Combofix\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-24 bis 2008-07-24 ))))))))))))))))))))))))))))))
.

2008-07-24 16:03 . 2008-07-24 16:03 268 --ah----- C:\sqmdata00.sqm
2008-07-24 16:03 . 2008-07-24 16:03 244 --ah----- C:\sqmnoopt00.sqm
2008-07-23 17:09 . 2008-07-24 07:57 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-23 17:08 . 2008-03-07 19:02 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-23 17:08 . 2008-03-07 19:02 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-23 17:08 . 2008-03-07 19:02 29,696 -----c--- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-07-22 20:46 . 2008-07-22 20:47 <DIR> d-------- C:\Temp
2008-07-22 18:01 . 2008-07-22 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Björn Walde
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-20 18:50 . 2008-07-20 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-20 14:57 . 2008-07-20 21:17 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-22 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-16 23:32 . 2008-07-22 21:14 104 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:08 . 2008-07-22 22:30 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-24 13:50 --------- d-----w C:\Programme\Lavasoft
2008-07-20 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=C:\WINDOWS\pss\Windows Search.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
R3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
R3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
R3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\XXX\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O17 -: HKLM\CCS\Interface\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 16:08:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-24 16:11:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-24 14:11:13
ComboFix2.txt 2008-07-24 06:06:45
ComboFix3.txt 2008-07-24 05:51:53
ComboFix4.txt 2008-07-22 18:37:30

Pre-Run: 13 Verzeichnis(se), 32,955,146,240 Bytes frei
Post-Run: 15 Verzeichnis(se), 32,947,216,384 Bytes frei

222 --- E O F --- 2008-07-18 14:17:31

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:46, on 24.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\wmccfg.exe" /StartQuiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120077196109
O17 - HKLM\System\CCS\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 5097 bytes



iClean (gekürzt):

iclean log 24.07.2008 21:21:44

Windows XP SP3, Using advanced Kernel functions

Processes
---------
632 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
684 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
708 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
752 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
764 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
956 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1120 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1212 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1260 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1364 - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1916 - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe - Acronis Scheduler 2
1932 - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
2020 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
248 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 91.47
496 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\UAService7.exe - SecuROM User Access Service (V7).
1492 - C:\Programme\Windows Media Player\WMPNetwk.exe - Windows Media Player-Netzwerkfreigabedienst
1664 - C:\WINDOWS\Explorer.EXE - Windows Explorer
2224 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2844 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
3020 - TrueImageMonito - TrueImageMonito
3044 - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe - Acronis Scheduler Helper
3156 - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
3180 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
3188 - C:\Programme\Windows Media Player\WMPNSCFG.exe - Windows Media Player Network Sharing Service Configuration Application
3196 - SUPERAntiSpywar - SUPERAntiSpywar
3808 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
3472 - E:\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe=AcrSch2Svc
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\avira\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\avira\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HTTPFilter
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=upnphost
c:\windows\system32\uaservice7.exe=UserAccess7
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\programme\windows media player\wmpnetwk.exe=WMPNetworkSvc
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WudfSvc
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: ctfmon.exe=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MsnMsgr="c:\programme\windows live\messenger\msnmsgr.exe" /background
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKCU\Run: WMPNSCFG=c:\programme\windows media player\wmpnscfg.exe
000=HKLM\Run: Acronis Scheduler2 Service="c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"
000=HKLM\Run: avgnt="c:\programme\avira\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: ISUSPM Startup=c:\progra~1\gemein~1\instal~1\update~1\isuspm.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: TrueImageMonitor.exe=c:\programme\acronis\trueimage\trueimagemonitor.exe
000=HKLM\Run: Windows Media Connect 2="c:\programme\windows media connect 2\wmccfg.exe" /startquiet
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\messenger\msmsgs.exe=c:\programme\messenger\msmsgs.exe
001=Firewall bypass: D:\Programme\Mountain Systems, Inc\Behringer FCB1010 MIDI PC Editor Utility\FCB1010.exe=
001=Firewall bypass: D:\Programme\Yahoo!\Messenger\YServer.exe=d:\programme\yahoo!\messenger\yserver.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=C:\WINDOWS\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)



Startup Folders
---------------
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
127.0.0.1 localhost

Die logs sind sauber.

Java kannst du wieder installieren.

Yeah !!! Super. Ich danke Dir wirklich vielmals. Kann ich mich irgendwie für Deine Hilfe erkenntlich zeigen?

Zitat:

Kann ich mich irgendwie für Deine Hilfe erkenntlich zeigen?

Halte deinen Rechner sauber und tue so der gesammten WorldWideWeb Community etwas gutes..

Nochmals vielen, vielen, liebe Dank !!!:aplaus: