Nach Antivirus XP 2008 fehlt etwas

DetlevA · 13.09.2008, 10:22

Hallo erstmal
Hatte vor vielleicht 2 wochen antivirus XP 2008 und seitdem hab ich das hier:
ImageShack - Hosting :: fehlerxw9.jpg *Rechtsklick auf Desk -> Eigenschaften*

Außerdem frag ich mich ob nicht noch etwas beschädigt/zerstört/gelöscht wurde und man sagte mir das HJT es evtl. zeigen kann.
Als es passiert ist war nicht ich am PC, sondern mein bruder und er hat den virus dann gelöscht wie genau weiß ich nicht, weil ich nicht da war, aber seitdem hab ich 3 mal Antivir Avira scans gemacht und gestern nochmal malwarebytes Anti-Malware und da war nie was. Ah und vorgestern noch scandisk+defrag
*Edit und mit TuneUp Utilities 2008 die registrys gecleant

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:59:37, on 13.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Dokumente und Einstellungen\XXX\Eigene Dateien\XXX\Tests\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: comments (such as these) may be inserted on individual
O1 - Hosts: 64.93.92.5 2moons.acclaimdownloads.com
O1 - Hosts: 93.90.176.131 gameguard.cabalonline.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1216244039093
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7C7921D-BEE0-427F-9A7C-14C8BD9065E1}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cherry Device Interface - Cherry, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7253 bytes

**Sunny** · 13.09.2008, 10:36

Hallo DetlevA und

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\Suchspur.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

DetlevA · 13.09.2008, 11:14

http://www.virustotal.com/de/analisi...058524663950bd

reicht das? Und da es klar etwas Böses ist, wie soll ich es löschen? Denke mal es ist nicht einfach markieren und löschen

das mit ComboFix hab ich noch nicht gemacht und warte lieber bis das erste geklärt ist.
Danke dir schonmal

DetlevA · 13.09.2008, 14:20

Soo hab dann doch weitergemacht:
CCleaner hatte übrigens 206mb oder 260mb gelöscht..klingt nach ziemlich viel.

Außerdem extrem viele registrys und das obwohl ich TuneUp Registry-Clean davor schon gemacht habe.

Vorm combofix wollt ich den prozess avguard beenden ging aber nicht, nach paar sekunden kam dann die warnung und hab auf ignorieren geklickt. Ist das schlimm?

XXX=namen

Code:

ATTFilter

ComboFix 08-09-12.07 - XXX 2008-09-13 14:34:15.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\icon.ico
C:\WINDOWS\jestertb.dll
C:\WINDOWS\system32\Suchspur.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_MSDIRECTX
-------\Legacy_TDSSSERV
-------\Service_6to4
-------\Service_TDSSserv


(((((((((((((((((((((((   Dateien erstellt von 2008-08-13 bis 2008-09-13  ))))))))))))))))))))))))))))))
.

2008-09-12 22:13 . 2008-09-12 22:13	<DIR>	d--------	C:\Program Files
2008-09-12 22:05 . 2008-09-13 08:54	<DIR>	d--------	C:\Programme\Winamp Remote
2008-09-12 22:05 . 2008-09-12 22:05	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-09-12 12:43 . 2008-09-12 12:43	682,280	--a------	C:\WINDOWS\system32\pbsvc.exe
2008-09-11 14:33 . 2008-09-11 14:33	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\TuneUp Software
2008-09-11 14:33 . 2008-09-11 14:33	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-11 14:33 . 2008-09-11 14:33	361,728	--a------	C:\WINDOWS\system32\TuneUpDefragService.exe
2008-09-11 14:33 . 2008-07-18 15:05	28,416	--a------	C:\WINDOWS\system32\uxtuneup.dll
2008-09-07 13:39 . 2008-09-07 13:39	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\student-consulting-data
2008-08-30 16:48 . 2001-08-17 14:02	8,576	--a------	C:\WINDOWS\system32\drivers\hidgame.sys
2008-08-30 16:48 . 2001-08-17 14:02	8,576	--a--c---	C:\WINDOWS\system32\dllcache\hidgame.sys
2008-08-30 16:47 . 2008-04-14 07:28	14,720	--a------	C:\WINDOWS\system32\drivers\kbdhid.sys
2008-08-30 16:47 . 2008-04-14 07:28	14,720	--a--c---	C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-08-30 16:46 . 2008-08-30 16:46	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Logitech
2008-08-29 22:46 . 2008-09-01 20:38	<DIR>	d--------	C:\Grand Chase
2008-08-29 21:30 . 2008-08-29 21:30	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-29 21:30 . 2008-08-29 21:30	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-08-29 21:30 . 2008-08-29 21:30	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-29 21:30 . 2008-08-17 15:04	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-29 21:30 . 2008-08-17 15:04	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-29 20:06 . 2008-08-29 20:06	<DIR>	d--------	C:\Programme\Avira
2008-08-29 20:06 . 2008-08-29 20:06	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-27 23:03 . 2008-08-27 23:03	42,320	--a------	C:\WINDOWS\system32\xfcodec.dll
2008-08-15 15:42 . 2008-09-12 17:48	<DIR>	d--------	C:\Steam
2008-08-13 16:48 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 16:47 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 20:05	---------	d-----w	C:\Programme\Winamp
2008-09-12 10:39	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\uTorrent
2008-09-11 12:32	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-10 07:57	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-09-09 17:52	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Xfire
2008-09-09 10:13	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ
2008-09-08 07:25	---------	d-----w	C:\Programme\ICQ6
2008-08-30 14:46	---------	d-----w	C:\Programme\Logitech
2008-08-29 20:22	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-11 13:47	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\gtk-2.0
2008-07-29 16:22	---------	d-----w	C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-07-16 16:16	---------	d-----w	C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2007-02-07 23:44	46	-csha-w	C:\WINDOWS\applications\klog.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 1200128]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ComPlusSetup]
2008-04-14 07:52 625664 C:\WINDOWS\system32\catsrvut.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-01-09 13:30 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll schannel.dll digest.dll msnsspc.dll credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XXX^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CherryKeyMan]
--a------ 2007-11-28 15:32 237620 C:\Programme\Cherry\KeyMan\KeyMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 07:52 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4800 Series]
--a------ 2005-02-02 06:00 98304 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIADE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 07:00 33648 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-11-15 19:44 1200128 C:\PROGRA~1\MICROS~3\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-06-15 11:20 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]
--a------ 2008-04-04 11:38 88584 C:\Programme\Logitech\Gaming Software\LWEMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-01-21 12:17 61440 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nForce Tray Options]
-ra------ 2003-08-13 06:25 73728 C:\WINDOWS\system32\sstray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Versatel\\versatel.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\XXX\\Desktop\\utorrent.exe"=
"C:\\Games\\Opera\\Opera.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"16419:TCP"= 16419:TCP:BitComet 16419 TCP
"16419:UDP"= 16419:UDP:BitComet 16419 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 kbdcap;kbdcap;C:\WINDOWS\system32\drivers\kbdcap.sys [2008-01-01 109440]
S3 CEDRIVER53;CEDRIVER53;C:\Dokumente und Einstellungen\XXX\Eigene Dateien\XXX\Cheatengine\dbk32.sys [ ]
S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);C:\WINDOWS\system32\DRIVERS\Ch2kPS2.sys [2008-01-24 130560]
S3 Cherry Device Interface;Cherry Device Interface;C:\Programme\Cherry\CDI\cdi.exe [2007-12-04 585774]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys [ ]
S3 DRIVER1111;DRIVER1111;C:\DOKUME~1\XXX\LOKALE~1\Temp\~AceTemp\CheatEngine\Neuer Ordner (2)\blowie32.sys [ ]
S3 IlvMoneyDRIVER53;IlvMoneyDRIVER53;C:\Dokumente und Einstellungen\XXX\Eigene Dateien\XXXi\kalonline\IlvMoney1105.sys [ ]
S3 Revolution1;Revolution1;C:\Dokumente und Einstellungen\XXX\Eigene Dateien\XXX\2moons\UCE\SHAK3.sys [ ]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-11 361728]
S3 XDva120;XDva120;C:\WINDOWS\system32\XDva120.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1F10A2BB-7B39-8F82-0603-050602060304}]
C:\WINDOWS\retain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{200BA011-D291-ACE9-0701-080104020204}]
C:\WINDOWS\Bootess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{324F7596-00B6-C769-41AC-5204D74BD3E8}]
C:\Programme\MSN\roar.exe s

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B1F249E4-A8D5-E435-DB4B-83181A80FC5C}]
C:\WINDOWS\applications\lol s

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D6E844A8-D010-572C-CB81-A52277D99B03}]
C:\Programme\comp\component.exe s
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

MSConfigStartUp-BitTorrent - C:\Games\Torrent\bittorrent.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXXi\Anwendungsdaten\Mozilla\Firefox\Profiles\4hwjdy1r.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Games\Opera\program\plugins\npdivx32.dll
FF -: plugin - C:\Games\Opera\program\plugins\npdsplay.dll
FF -: plugin - C:\Games\Opera\program\plugins\NPSWF32.dll
FF -: plugin - C:\Games\Opera\program\plugins\npwmsdrm.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 14:37:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-13 14:42:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-13 12:42:54

Pre-Run: 13 Verzeichnis(se), 44,737,953,792 Bytes frei
Post-Run: 16 Verzeichnis(se), 44,677,955,584 Bytes frei

207	--- E O F ---	2008-09-10 07:59:39

Als ich Namen zensiert hab ich einiges gesehen, was ich längst gelöscht hab und nicht mehr da sein sollte, bzw. ich nicht mehr da haben will. Alles was mit torrents (außer utorrent), cheatengines, kalonline und 2moons zu tun hat.
Wie kann ich das entfernen?
Ja und ansonsten, 3 dateien wurden gelöscht, mein "rechtsklick -> Eigenschaften" sieht jetzt glaub ich normal aus?

Ist da sonst noch was oder bin ich dann fertig?

Nach Antivirus XP 2008 fehlt etwas

Log-Analyse und Auswertung: Nach Antivirus XP 2008 fehlt etwas