Hallo. Hier mein Problem: Seit gestern Abend bekomme ich Seurity-Alert-meldungen wie : You have security problem. Do you want to scan yor computer for viruses ? und es öffnen sich Fenster die aussehen wie Firewallwarnungen mit : Trojan-Clicker.Win32.Tiny.h und andere wechselnde Namen.
Was kann ich tun ? Meine letzte Datensicherung ist 3 Monate her !
Habe schon einiges ausprobiert in dem ich schon seit gestern auf mehreren Forums reinschaue, vor allem in diesem! Nun ich hatte noch nie so Probleme, deswegen wende ich mich heute an euch. Vielleicht habt ihr ja eine Lösung für mich.

Mein PC:
AMD Duron 1,8 Ghkz !Gb Ram
Win XP Professional 2002 Sp2
Spybot, CCleaner, Xsoftspy, ad-squared, malwarebytes und Antivir - alles auf dem neuestem Stand installert!

Hier der Malwarebytes Log:

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1128
Windows 5.1.2600 Service Pack 2

08.09.2008 22:28:37
mbam-log-2008-09-08 (22-28-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 114374
Laufzeit: 4 hour(s), 42 minute(s), 31 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rsdkfwbm\zmxixcte.exe (Trojan.FakeAlert.H) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{600c30c1-5f6b-73d1-ca36-04b3e53a3135} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\procstr (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chkdbmon (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\81wngoxo0w (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\ccmmwwb (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rsdkfwbm (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\ccmmwwb\procstr.dll (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\bkzavkfu.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rsdkfwbm\zmxixcte.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Hijacklogfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:00:52, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\NoPopUp 2003\nopopup.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RapidSolution\Tunebite\Tunebite.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\PROGRAMME\A-SQUARED FREE\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SystemTray] %windir%\system32\systray.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKCU\..\Run: [NoPopUp] C:\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Tunebite] C:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ChkDbMon] C:\WINDOWS\system32\bkzavkfu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Acronis*Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9F9091-88C3-4E25-9EA3-8BAB8252A59B}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: detachments - {01d8d081-0f76-4ab5-b5e4-9b23a709670e} - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRAMME\A-SQUARED FREE\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 7613 bytes

Danke im voraus für eure Hilfe !!!

Hi,

das "Delete on Reboot" by MAM hat wohl nicht funktioniert...

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\bkzavkfu.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste das Ergebniss (gesamten Ausgabe)...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\bkzavkfu.exe

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rsdkfwbm
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [ChkDbMon] C:\WINDOWS\system32\bkzavkfu.exe
         

Danach bitte noch ein ComobFix-Log...
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Chris

Hi, danke daß du mir hilfst.
Hatte nach dem posten noch Superspyware laufen lassen und kann die angegebene datei :
C:\WINDOWS\system32\bkzavkfu.exe und
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rsdkfwbm
nicht mehr finden.
Ist das ein gutes Zeichen ?
Zur zeit gibt es diese Fakemaldungen nicht mehr, allerdings hat Antivir ein Trojaner gemeldet (In der Datei 'C:\System Volume Information\_restore{B08E5CC8-05AB-484B-A028-F1CD8832E02A}\RP904\A0109149.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.) den ich gelöscht habe.
Ebenso dieser von Gestern :In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rsdkfwbm\zmxixcte.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.GX.594' [trojan] gefunden.
Und dieser gestern: In der Datei 'C:\Programme\SAV\sav.cpl'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.BC.2' [trojan] gefunden.
Und dieser Gestern : In der Datei 'C:\Programme\SAV\sav.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Fake.UltimaAV.bh' [trojan] gefunden.
Und gestern: In der Datei 'C:\Dokumente und Einstellungen\villegiante\Lokale Einstellungen\Temp\AkwuG0Tm.exe.part'
wurde ein Virus oder unerwünschtes Programm 'DR/Dldr.Agent.acaa' [dropper] gefunden.
In der Datei 'C:\Downloads\FREE_RapidShare_Valid_Till_2009.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Und gestern : Die Datei 'C:\WINDOWS\Installer\MSI134.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Small.bjc' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490dd833.qua' verschoben.
und gestern: In der Datei 'C:\Dokumente und Einstellungen\villegiante\Lokale Einstellungen\Anwendungsdaten\ZLabs\Zoozler\Profiles\3ewzw0o5.default\Cache\F92FDE44d01'
wurde ein Virus oder unerwünschtes Programm 'DR/Dldr.Agent.acaa' [dropper] gefunden.
Ausgeführte Aktion: Zugriff verweigern.
In der Datei 'C:\WINDOWS\Installer\MSI134.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Small.bjc' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweiger


der Hijacklog sieht jetzt so aus :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:41:01, on 09.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\NoPopUp 2003\nopopup.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\PROGRAMME\A-SQUARED FREE\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\RemoteObserverClient\roclient.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SystemTray] %windir%\system32\systray.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKCU\..\Run: [NoPopUp] C:\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Tunebite] C:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ChkDbMon] C:\WINDOWS\system32\bkzavkfu.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Acronis*Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9F9091-88C3-4E25-9EA3-8BAB8252A59B}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRAMME\A-SQUARED FREE\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: roclient - Unknown owner - C:\Programme\RemoteObserverClient\roclient.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 7811 bytes

Schliesse jetzt alle fenster und starte combofix.
Melde mich dann wenn ich combofix-Thread gepostet habe.

Ciao

Hier der Report con Combofix:

ComboFix 08-09-05.12 - villegiante 2008-09-10 0:20:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.582 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\villegiante\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\villegiante\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-09 bis 2008-09-09 ))))))))))))))))))))))))))))))
.

2008-09-09 23:28 . 2008-09-09 23:28 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-09-09 00:53 . 2008-09-09 00:53 <DIR> d-------- C:\Programme\RemoteObserverClient
2008-09-09 00:53 . 2008-09-09 00:53 <DIR> d-------- C:\Programme\RemoteObserver
2008-09-09 00:52 . 2008-09-09 00:52 <DIR> d-------- C:\PC Praxis
2008-09-08 23:15 . 2008-09-08 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-08 23:14 . 2008-09-08 23:15 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-09-08 23:14 . 2008-09-08 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-08 17:24 . 2008-09-08 17:24 <DIR> d-------- C:\Programme\XoftSpySE
2008-09-08 12:38 . 2008-09-08 14:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-08 12:38 . 2008-09-08 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Malwarebytes
2008-09-08 12:38 . 2008-09-08 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-08 12:38 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-08 12:38 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-08 12:37 . 2008-09-08 12:37 <DIR> d-------- C:\Programme\CCleaner
2008-09-08 12:25 . 2008-09-08 12:25 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-09-08 03:50 . 2008-09-08 03:50 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\.housecall6.6
2008-09-08 03:06 . 2008-09-08 03:06 <DIR> d-------- C:\Programme\zzhmueb
2008-09-08 02:04 . 2008-09-08 02:04 32 --a------ C:\WINDOWS\azeugnis.INI
2008-09-08 01:50 . 2008-09-08 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\ZLabs
2008-09-08 01:31 . 2008-09-08 01:51 <DIR> d-------- C:\Programme\Arbeitszeugnis
2008-09-02 21:46 . 2008-09-02 22:58 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-02 09:35 . 2008-09-02 09:35 <DIR> d-------- C:\PRIVAT
2008-08-19 00:14 . 2008-08-31 22:33 <DIR> d-------- C:\Programme\Euro-Reisekosten 2007
2008-08-19 00:14 . 1998-06-17 23:00 89,360 --------- C:\WINDOWS\system32\VB5DB.DLL
2008-08-16 23:37 . 2008-08-16 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Anvil Studio
2008-08-16 23:36 . 2008-08-16 23:37 <DIR> d-------- C:\Programme\Anvil Studio
2008-08-13 13:02 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-11 23:08 . 2004-08-04 00:58 16,384 --a------ C:\WINDOWS\system32\ipsink.ax
2008-08-11 23:08 . 2004-08-04 00:58 16,384 --a--c--- C:\WINDOWS\system32\dllcache\ipsink.ax
2008-08-11 23:08 . 2004-08-03 23:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2008-08-11 23:08 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\streamip.sys
2008-08-11 23:08 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2008-08-11 23:08 . 2004-08-03 23:10 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys
2008-08-11 23:08 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2008-08-11 23:08 . 2004-08-03 23:10 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys
2008-08-11 23:08 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2008-08-11 23:08 . 2004-08-03 22:58 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys
2008-08-11 23:07 . 2004-08-03 23:10 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2008-08-11 23:07 . 2004-08-03 23:10 85,376 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys
2008-08-11 23:07 . 2004-08-03 23:10 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2008-08-11 23:07 . 2004-08-03 23:10 19,328 --a--c--- C:\WINDOWS\system32\dllcache\wstcodec.sys
2008-08-11 23:07 . 2004-08-03 23:10 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2008-08-11 23:07 . 2004-08-03 23:10 17,024 --a--c--- C:\WINDOWS\system32\dllcache\ccdecode.sys
2008-08-11 23:06 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-08-11 23:06 . 2004-08-04 00:58 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-08-11 23:06 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-08-11 23:06 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-08-11 23:06 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-08-11 23:06 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-08-11 23:06 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-08-11 23:06 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-08-11 23:06 . 2004-08-04 00:58 28,672 --a------ C:\WINDOWS\system32\vidcap.ax
2008-08-11 23:06 . 2004-08-04 00:58 28,672 --a--c--- C:\WINDOWS\system32\dllcache\vidcap.ax
2008-08-11 22:55 . 2008-08-11 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\ArcSoft
2008-08-11 22:54 . 2006-11-10 15:05 18,688 --a------ C:\WINDOWS\system32\drivers\afc.sys
2008-08-11 22:53 . 2007-06-19 14:22 56,064 --a------ C:\WINDOWS\system32\ArcSoftKsUFilter.dll
2008-08-11 22:53 . 2007-05-30 19:15 13,184 --a------ C:\WINDOWS\system32\drivers\ArcSoftKsUFilter.sys
2008-08-11 22:52 . 2008-08-11 22:52 <DIR> d-------- C:\Programme\Hama
2008-08-11 22:52 . 2008-08-11 22:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-08-11 22:52 . 2004-05-04 11:53 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-08-11 22:52 . 2004-07-20 18:21 245,408 --a------ C:\WINDOWS\system32\unicows.dll
2008-08-11 22:52 . 2006-03-30 16:53 212,480 --a------ C:\WINDOWS\system32\PCDLIB32.DLL
2008-08-11 22:50 . 2008-08-11 22:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snp2std
2008-08-11 22:50 . 2008-08-11 22:50 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\InstallShield
2008-08-11 22:50 . 2007-09-05 13:48 12,212,864 --a------ C:\WINDOWS\system32\drivers\snp2sxp.sys
2008-08-11 22:50 . 2007-09-28 16:32 344,064 --a------ C:\WINDOWS\vsnp2std.exe
2008-08-11 22:50 . 2007-05-12 11:19 270,336 --a------ C:\WINDOWS\tsnp2std.exe
2008-08-11 22:50 . 2007-02-05 15:25 151,552 --a------ C:\WINDOWS\system32\rsnp2std.dll
2008-08-11 22:50 . 2006-11-16 15:57 77,824 --a------ C:\WINDOWS\system32\csnp2std.dll
2008-08-11 22:50 . 2007-09-05 15:50 73,728 --a------ C:\WINDOWS\system32\vsnp2std.dll
2008-08-11 22:50 . 2007-01-25 18:48 25,472 --a------ C:\WINDOWS\system32\drivers\sncamd.sys
2008-08-11 22:50 . 2004-12-09 17:23 15,497 --a------ C:\WINDOWS\snp2std.ini
2008-08-11 22:50 . 2004-12-09 17:23 13,022 --a------ C:\WINDOWS\snp2std.src
2008-08-11 22:25 . 2007-07-20 15:38 81,920 --a------ C:\WINDOWS\amcap.exe
2008-08-11 22:25 . 2007-07-11 16:09 20,480 --a------ C:\WINDOWS\FixCamera.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 22:17 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Tunebite
2008-09-09 18:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-09 07:22 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\The Bat!
2008-09-09 06:51 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\MailWasherPro
2008-09-08 21:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-08 16:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-08 15:17 --------- d-----w C:\Programme\Universal Document Converter
2008-09-08 14:49 --------- d-----w C:\Programme\LEC
2008-09-08 14:46 --------- d-----w C:\Programme\a-squared Free
2008-09-08 13:23 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-08 00:34 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Mobile Master
2008-09-08 00:16 --------- d-----w C:\Programme\Hit-Recorder
2008-09-08 00:14 --------- d-----w C:\Programme\DJ Mix Lite
2008-09-07 22:18 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Skype
2008-09-07 22:05 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\skypePM
2008-09-07 21:54 --------- d-----r C:\Programme\Skype
2008-08-31 20:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-12 21:54 --------- d-----w C:\Programme\Mixxx
2008-08-12 21:44 --------- d-----w C:\Programme\Dr. Hardware 2008
2008-08-04 00:30 --------- d-----w C:\Programme\MOBILedit!
2008-08-04 00:03 --------- d-----w C:\Programme\Mobile Master
2008-08-04 00:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Jumping Bytes
2008-07-31 22:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-07-31 22:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-31 22:03 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\OpenOffice.org2
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 15:38 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2007-05-28 00:51 375,724 ----a-w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\mdb.bin
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
2008-02-04 19:26 151,040 --sh--w C:\WINDOWS\system32\VistaUltm.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NoPopUp"="C:\NoPopUp 2003\nopopup.exe" [2003-12-18 234496]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"Tunebite"="C:\Programme\RapidSolution\Tunebite\Tunebite.exe" [2007-12-12 4937008]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-08-31 2622232]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-08-31 907040]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-08-31 140568]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-07-11 20480]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" [2007-05-12 270336]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2007-09-28 344064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2002-02-15 10:51 24638 C:\WINDOWS\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2007-08-31 19:38 140568 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 21:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
--a------ 2007-10-11 08:45 31232 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CorelCorelDRAW10 Reminder]
--a------ 2000-12-06 11:51 208896 C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2005-05-27 11:24 310272 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-09-25 14:54 229952 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
--------- 1998-07-03 13:51 25088 C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-24 03:24 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-08-18 18:41 1832272 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online DSL-Manager]
--a------ 2005-11-01 11:31 811008 C:\Programme\T-Online\DSL-Manager\TODslMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TempLeer]
--a------ 2006-08-09 02:45 164 C:\WINDOWS\TempLeer.bat

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-02-19 23:28 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]
--a------ 2007-08-08 01:12 797696 C:\Programme\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-11-03 10:56 204288 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LEC TranslateDotNet Server"=3 (0x3)
"srvcPVR"=2 (0x2)
"SiteAdvisor Service"=2 (0x2)
"WMPNetworkSvc"=2 (0x2)
"ose"=2 (0x2)
"iPod Service"=3 (0x3)
"AcrSch2Svc"=2 (0x2)
"ACDaemon"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=
"C:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=
"C:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Easy RM to MP3 Converter\\RM2MP3Converter.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\QIC\\Webfotoalbum\\Webfotoalbum.exe"=
"C:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 22336]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-01 368736]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-31 45376]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-24 59520]
R2 MBAMDrvService;MBAMDrvService;C:\WINDOWS\system32\drivers\mbam.sys [2008-09-08 17200]
R2 MBAMService;MBAMService;C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe [2008-09-08 110256]
R2 roclient;roclient;C:\Programme\RemoteObserverClient\roclient.exe [2008-09-09 20480]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 498872]
R3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;C:\WINDOWS\system32\DRIVERS\ArcSoftKsUFilter.sys [2007-05-30 13184]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2004-11-24 53248]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 45440]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 38992]
R3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2004-06-12 51712]
R3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2004-01-10 11648]
R3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2004-11-24 548864]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2003-02-24 297984]
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2007-09-05 12212864]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 799488]
S3 FUS2BASE;FRITZ!Card USB;C:\WINDOWS\system32\DRIVERS\fus2base.sys [2004-01-12 547712]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\168.tmp [ ]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 58320]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 8304]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 94000]
S3 TOMCATWAN;T-Online DynamicISDN (WDM);C:\WINDOWS\system32\DRIVERS\WTOMCAT.SYS [ ]
S4 ACDaemon;ArcSoft Connect Daemon;C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2007-10-11 51712]
S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [2007-08-17 1681408]
S4 TODslService;T-Online DSL-Manager;C:\Programme\T-Online\DSL-Manager\TODslSvc.exe [2005-11-01 172032]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-ChkDbMon - C:\WINDOWS\system32\bkzavkfu.exe
HKLM-Run-Corel Reminder - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-UDC Integration - (no file)
MSConfigStartUp-AttuneClientEngine - C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
MSConfigStartUp-SiteAdvisor - C:\Programme\SiteAdvisor\6066\SiteAdv.exe
MSConfigStartUp-TrueImageMonitor - C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Mozilla\Firefox\Profiles\ie9y7jse.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.friseur-shampoo.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Gemeinsame Dateien\ParallelGraphics\Cortona\npCortona.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAdbESD.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 00:32:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\168.tmp"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-10 0:42:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-09 22:42:16

Pre-Run: 55 Verzeichnis(se), 17,071,452,160 Bytes frei
Post-Run: 60 Verzeichnis(se), 16,974,331,904 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

305 --- E O F --- 2008-09-09 21:35:20


Hoffe ich habe alles richtig gemacht.

Sag mal, kann ich , mit T-online jetzt Überweisungen tätigen, oder muß ich zur Zeit damit rechnen daß ich ausspioniert werde ?

Ciao giu

Hi,

ich kann nichts finden...

Du hast SW zum Datenaustausch auf dem Rechner, bewusst?
-> roclient.exe

Etwas Aufräumen:
http://www.ccleaner.com/ccleaner-20
Lade CCleaner und lasse ihn die Temporären Dateien, Cookies etc. löschen;
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu.

Dein JAVA ist Total veraltet:
Download jre-6u7-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe”

Noch den MBR prüfen:
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;


Wenn der MBR-Test nichts ergibt und der Rechner einwandfrei läuft:
Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.htm
Führe einen Systemscan durch und poste das Ergebnis!

Danach bitte noch einmal ein HJ-Log und Scannen mit PrevX:
http://www.prevx.com/freescan.asp
Poste eventuell Funde von Prevx...

Wenn dabei nichts mehr herauskommt, dann ist der Rechner entweder sauber oder mit was ganz neuem verseucht, was wir nicht erkennen können...

chris

Hi Chris.
Hier der Report von Avira:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 11. September 2008 08:24

Es wird nach 1608238 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SHAMPOO

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 30.07.2008 23:56:03
AVSCAN.DLL : 8.1.4.0 48897 Bytes 30.07.2008 23:56:03
LUKE.DLL : 8.1.4.5 164097 Bytes 30.07.2008 23:56:04
LUKERES.DLL : 8.1.4.0 12545 Bytes 30.07.2008 23:56:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 20:03:28
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 22:26:54
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 18:55:45
ANTIVIR3.VDF : 7.0.6.142 314368 Bytes 10.09.2008 18:55:47
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 15.04.2008 19:57:30
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 04.09.2008 18:56:04
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 00:03:27
AERDL.DLL : 8.1.1.1 397683 Bytes 04.09.2008 18:56:02
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 00:03:25
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 04.09.2008 18:55:59
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 04.09.2008 18:55:57
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 19:08:47
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 20:49:41
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 19:17:40
AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 18:55:50
AEBB.DLL : 8.1.0.1 53617 Bytes 30.07.2008 23:56:04
AVWINLL.DLL : 1.0.0.12 15105 Bytes 30.07.2008 23:56:03
AVPREF.DLL : 8.0.2.0 38657 Bytes 30.07.2008 23:56:03
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 19:17:35
AVREG.DLL : 8.0.0.1 33537 Bytes 30.07.2008 23:56:03
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 19:57:29
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 30.07.2008 23:56:03
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 19:57:30
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 30.07.2008 23:56:04
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 19:57:29
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 30.07.2008 23:55:56
RCTEXT.DLL : 8.0.52.0 86273 Bytes 30.07.2008 23:55:56

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 11. September 2008 08:24

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamtrayctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'roclient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aDefragService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aDefragCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Tunebite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nopopup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnp2std.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tsnp2std.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FixCamera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '68' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\villegiante\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[WARNUNG] Die Datei wurde ignoriert.
C:\Downloads\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[WARNUNG] Die Datei wurde ignoriert.
C:\Downloads\T-Online_6.0(2).exe.part
[0] Archivtyp: CAB SFX (self extracting)
--> \data1.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Downloads\T-Online_6.0(3).exe.part
[0] Archivtyp: CAB SFX (self extracting)
--> \data1.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{B08E5CC8-05AB-484B-A028-F1CD8832E02A}\RP2\A0001014.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f8ff9e.qua' verschoben!
C:\System Volume Information\_restore{B08E5CC8-05AB-484B-A028-F1CD8832E02A}\RP2\A0001015.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f8ffb5.qua' verschoben!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493b0097.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 11. September 2008 13:43
Benötigte Zeit: 5:19:07 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6077 Verzeichnisse wurden überprüft
216945 Dateien wurden geprüft
21 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
216922 Dateien ohne Befall
2701 Archive wurden durchsucht
10 Warnungen
3 Hinweise


Und hier der Report von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:41, on 11.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\NoPopUp 2003\nopopup.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RapidSolution\Tunebite\Tunebite.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\PROGRAMME\A-SQUARED FREE\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\RemoteObserverClient\roclient.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MailWasher Pro\MailWasher.exe
C:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [NoPopUp] C:\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Tunebite] C:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ChkDbMon] C:\WINDOWS\system32\bkzavkfu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Acronis*Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9F9091-88C3-4E25-9EA3-8BAB8252A59B}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRAMME\A-SQUARED FREE\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: roclient - Unknown owner - C:\Programme\RemoteObserverClient\roclient.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 7820 bytes


Combofix wir als virus erkannt ist das normal ?

lg
giu

Ach so...Mbr hatte ich noch vergessen:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


P.S.
seit den Reinigungen von Malwarebytes,Spybot und SUPERAntiSpyware sind die Fakemeldungen nicht mehr aufgetaucht !

Hallo,

das Combofix als "Virus" erkannt wird ist normal, er verwendet ähnliche/selben Verfahren wie ein Trojaner/Virus (Du weist schon ein Messer kann zum Essen oder zum abstechen verwendet werden...)...

Da ist immer noch was auf dem Rechner (oder schon wieder!):
C:\WINDOWS\system32\bkzavkfu.exe

Dann Rücken wir dem Ding mal mit ComboFix auf den Leib:

Folgenden Text als ComboFixScript.txt auf dem Desktop speichern (abkopieren und in den Editor von Windows einfügen und als ComboFixScript.txt auf dem Desktop speichern):

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ChkDbMon"=-

File:: 
C:\WINDOWS\system32\bkzavkfu.exe
         

Dann bitte die ComboFixScript.txt mit per Drag-and-Drop über das Combofix-Icon ziehen und dort fallen lassen.
Combofix wird nun starten und die Datei ausführen. Poste das Log von Combofix und ein neues HJ-Log!

chris

Irgendwas hat nicht geklappt.
Nachdem ich per drag Drop die combofixscript.txt in den combofis.exe gezogen habe erscheint kurze zeit später : du hast versucht CFscript auszuführen ? Der Name Cfscript schein nicht korrekt buchstabiert zu sein .
Versuche nun die datei umzubennen in Cfscript.txt

Nach der Umbennenung in : CFscript.txt hat es geklappt.
Hier der Combofixlog_

ComboFix 08-09-12.03 - villegiante 2008-09-13 1:07:27.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.599 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\villegiante\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\villegiante\Desktop\CFscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-12 bis 2008-09-12 ))))))))))))))))))))))))))))))
.

2008-09-11 02:02 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-11 01:59 . 2008-09-11 02:02 <DIR> d-------- C:\Programme\Java
2008-09-11 01:59 . 2008-09-11 01:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-09-09 00:53 . 2008-09-09 00:53 <DIR> d-------- C:\Programme\RemoteObserverClient
2008-09-09 00:53 . 2008-09-09 00:53 <DIR> d-------- C:\Programme\RemoteObserver
2008-09-09 00:52 . 2008-09-09 00:52 <DIR> d-------- C:\PC Praxis
2008-09-08 23:15 . 2008-09-08 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-08 23:14 . 2008-09-08 23:15 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-09-08 23:14 . 2008-09-08 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-08 17:24 . 2008-09-08 17:24 <DIR> d-------- C:\Programme\XoftSpySE
2008-09-08 12:38 . 2008-09-11 01:27 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-08 12:38 . 2008-09-08 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Malwarebytes
2008-09-08 12:38 . 2008-09-08 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-08 12:38 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-08 12:38 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-08 12:37 . 2008-09-08 12:37 <DIR> d-------- C:\Programme\CCleaner
2008-09-08 12:25 . 2008-09-08 12:25 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-09-08 03:50 . 2008-09-08 03:50 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\.housecall6.6
2008-09-08 03:06 . 2008-09-08 03:06 <DIR> d-------- C:\Programme\zzhmueb
2008-09-08 02:04 . 2008-09-08 02:04 32 --a------ C:\WINDOWS\azeugnis.INI
2008-09-08 01:50 . 2008-09-08 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\ZLabs
2008-09-08 01:31 . 2008-09-08 01:51 <DIR> d-------- C:\Programme\Arbeitszeugnis
2008-09-02 21:46 . 2008-09-02 22:58 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-02 09:35 . 2008-09-02 09:35 <DIR> d-------- C:\PRIVAT
2008-08-19 00:14 . 2008-08-31 22:33 <DIR> d-------- C:\Programme\Euro-Reisekosten 2007
2008-08-19 00:14 . 1998-06-17 23:00 89,360 --------- C:\WINDOWS\system32\VB5DB.DLL
2008-08-16 23:37 . 2008-08-16 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Anvil Studio
2008-08-16 23:36 . 2008-08-16 23:37 <DIR> d-------- C:\Programme\Anvil Studio
2008-08-13 13:02 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 22:56 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\MailWasherPro
2008-09-12 22:48 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Tunebite
2008-09-12 22:44 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\The Bat!
2008-09-12 18:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-08 21:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-08 16:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-08 15:17 --------- d-----w C:\Programme\Universal Document Converter
2008-09-08 14:49 --------- d-----w C:\Programme\LEC
2008-09-08 14:46 --------- d-----w C:\Programme\a-squared Free
2008-09-08 13:23 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-08 00:34 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Mobile Master
2008-09-08 00:16 --------- d-----w C:\Programme\Hit-Recorder
2008-09-08 00:14 --------- d-----w C:\Programme\DJ Mix Lite
2008-09-07 22:18 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\Skype
2008-09-07 22:05 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\skypePM
2008-09-07 21:54 --------- d-----r C:\Programme\Skype
2008-08-31 20:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-12 21:54 --------- d-----w C:\Programme\Mixxx
2008-08-12 21:44 --------- d-----w C:\Programme\Dr. Hardware 2008
2008-08-11 21:04 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\ArcSoft
2008-08-11 20:54 --------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2008-08-11 20:52 --------- d-----w C:\Programme\Hama
2008-08-11 20:50 --------- d-----w C:\Programme\Gemeinsame Dateien\snp2std
2008-08-11 20:50 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\InstallShield
2008-08-04 00:30 --------- d-----w C:\Programme\MOBILedit!
2008-08-04 00:03 --------- d-----w C:\Programme\Mobile Master
2008-08-04 00:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Jumping Bytes
2008-07-31 22:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-07-31 22:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-31 22:03 --------- d-----w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\OpenOffice.org2
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 15:38 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2007-05-28 00:51 375,724 ----a-w C:\Dokumente und Einstellungen\villegiante\Anwendungsdaten\mdb.bin
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
2008-02-04 19:26 151,040 --sh--w C:\WINDOWS\system32\VistaUltm.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NoPopUp"="C:\NoPopUp 2003\nopopup.exe" [2003-12-18 234496]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"Tunebite"="C:\Programme\RapidSolution\Tunebite\Tunebite.exe" [2007-12-12 4937008]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-08-31 2622232]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-08-31 907040]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-08-31 140568]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-07-11 20480]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" [2007-05-12 270336]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2007-09-28 344064]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2002-02-15 10:51 24638 C:\WINDOWS\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2007-08-31 19:38 140568 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 21:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
--a------ 2007-10-11 08:45 31232 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CorelCorelDRAW10 Reminder]
--a------ 2000-12-06 11:51 208896 C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2005-05-27 11:24 310272 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-09-25 14:54 229952 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
--------- 1998-07-03 13:51 25088 C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-24 03:24 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-08-18 18:41 1832272 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online DSL-Manager]
--a------ 2005-11-01 11:31 811008 C:\Programme\T-Online\DSL-Manager\TODslMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TempLeer]
--a------ 2006-08-09 02:45 164 C:\WINDOWS\TempLeer.bat

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-02-19 23:28 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]
--a------ 2007-08-08 01:12 797696 C:\Programme\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-11-03 10:56 204288 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LEC TranslateDotNet Server"=3 (0x3)
"srvcPVR"=2 (0x2)
"SiteAdvisor Service"=2 (0x2)
"WMPNetworkSvc"=2 (0x2)
"ose"=2 (0x2)
"iPod Service"=3 (0x3)
"AcrSch2Svc"=2 (0x2)
"ACDaemon"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=
"C:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=
"C:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Easy RM to MP3 Converter\\RM2MP3Converter.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\QIC\\Webfotoalbum\\Webfotoalbum.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 22336]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-01 368736]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-31 45376]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-24 59520]
R2 MBAMDrvService;MBAMDrvService;C:\WINDOWS\system32\drivers\mbam.sys [2008-09-10 17200]
R2 MBAMService;MBAMService;C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe [2008-09-10 110256]
R2 roclient;roclient;C:\Programme\RemoteObserverClient\roclient.exe [2008-09-09 20480]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 498872]
R3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;C:\WINDOWS\system32\DRIVERS\ArcSoftKsUFilter.sys [2007-05-30 13184]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2004-11-24 53248]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 45440]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 38992]
R3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2004-06-12 51712]
R3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2004-01-10 11648]
R3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2004-11-24 548864]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2003-02-24 297984]
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2007-09-05 12212864]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 799488]
S3 FUS2BASE;FRITZ!Card USB;C:\WINDOWS\system32\DRIVERS\fus2base.sys [2004-01-12 547712]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\168.tmp [ ]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 58320]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 8304]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 94000]
S3 TOMCATWAN;T-Online DynamicISDN (WDM);C:\WINDOWS\system32\DRIVERS\WTOMCAT.SYS [ ]
S4 ACDaemon;ArcSoft Connect Daemon;C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2007-10-11 51712]
S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [2007-08-17 1681408]
S4 TODslService;T-Online DSL-Manager;C:\Programme\T-Online\DSL-Manager\TODslSvc.exe [2005-11-01 172032]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-ChkDbMon - C:\WINDOWS\system32\bkzavkfu.exe
HKLM-Run-Corel Reminder - (no file)
HKLM-Run-UDC Integration - (no file)



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 01:17:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\168.tmp"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-13 1:28:29 - PC wurde neu gestartet [villegiante]
ComboFix-quarantined-files.txt 2008-09-12 23:28:16

Pre-Run: 56 Verzeichnis(se), 19,110,162,432 Bytes frei
Post-Run: 60 Verzeichnis(se), 19,101,863,936 Bytes frei

235 --- E O F --- 2008-09-09 21:35:20

Und hier der Hj-log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:34:52, on 13.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\A-SQUARED FREE\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\tsnp2std.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\NoPopUp 2003\nopopup.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RapidSolution\Tunebite\Tunebite.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\RemoteObserverClient\roclient.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\villegiante\Desktop\Maware und Virentools\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseur-shampoo.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [NoPopUp] C:\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Tunebite] C:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Acronis*Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9F9091-88C3-4E25-9EA3-8BAB8252A59B}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRAMME\A-SQUARED FREE\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: roclient - Unknown owner - C:\Programme\RemoteObserverClient\roclient.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 7972 bytes

Hi,

bis auf den Remoteclient:

O23 - Service: roclient - Unknown owner - C:\Programme\RemoteObserverClient\roclient.exe

sieht das ganz gut aus....

chris