Wieder mal was erwischt....Bitte um Hilfe!

tomy2001 · 07.10.2008, 12:07

Hallo

nach langer zeit ruhe (fast 3 jahre) hab ich jetzt mir wieder mal eine spyware/adware eingefangen.

es ist die sogenannte windows security alert-adware.
also es kommt immer wieder ein popup das mich auf eine sicherheitslücke aufmerksam macht. dann will die das zeugs das ich eine sicherheitssoftware runterlade.....

was ist zu tun?
ist ein neu-aufsetzen des systems wirklich notwendig.
danke und lg

hier der logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:11, on 07.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\zwdmnyro.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tqpkfqhg\hwzopqzc.exe
C:\Programme\AudioJack 2\AJack2.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsgAdm] C:\WINDOWS\system32\zwdmnyro.exe
O4 - HKLM\..\Policies\Explorer\Run: [uj6ilyvVzN] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tqpkfqhg\hwzopqzc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lxanjaxl.spaces.live.com//Pho...d/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128778405937
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://www.yougamers.com/systeminfo/MSC3.cab
O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - http://www.instantaction.com/download/iaplayer.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs:
O21 - SSODL: ComGen - {70AECCFE-9DEC-FA07-0DF8-070D5E0248C7} - C:\Programme\ghrwdk\ComGen.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - http://dm-aktionen.de/baleayoung_200...bg_inhalt1.jpg

--
End of file - 11660 bytes

myrtille · 07.10.2008, 12:58

Hi,

deaktivier bitte die links in deinem vorherigen Post.

Arbeite bitte folgendes ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

EDIT: WEnn du übernehmen willst, dann geh ich auch gern wieder.

Chris4You · 07.10.2008, 13:14

-Doppleposte, myrtille war schneller-

tomy2001 · 07.10.2008, 19:42

danke für die schnelle hilfe.
versteh aber nicht wie ich die links wegbekommen soll.

da das logfile so viele zeichen hat muss ich es unter 2 teilen posten.

hier das ergebnis:
ComboFix 08-10-07.01 - tom 2008-10-07 20:27:19.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1510 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\tom\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lsprst7.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_NPF
-------\Service_Iprip
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 ))))))))))))))))))))))))))))))
.

2164-07-31 22:42 . 2164-07-31 22:42 244 --ah----- C:\sqmnoopt03.sqm
2164-07-31 22:42 . 2164-07-31 22:42 232 --ah----- C:\sqmdata03.sqm
2164-07-31 22:39 . 2164-07-31 22:39 244 --ah----- C:\sqmnoopt02.sqm
2164-07-31 22:39 . 2164-07-31 22:39 232 --ah----- C:\sqmdata02.sqm
2164-07-31 22:38 . 2164-07-31 22:38 244 --ah----- C:\sqmnoopt01.sqm
2164-07-31 22:38 . 2164-07-31 22:38 232 --ah----- C:\sqmdata01.sqm
2008-10-07 13:31 . 2005-10-09 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-10-07 13:31 . 2005-10-08 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-07 13:31 . 2005-10-08 15:33 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-10-07 13:31 . 2005-10-08 23:52 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-07 13:31 . 2005-10-08 23:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-07 13:31 . 2005-10-08 23:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-07 13:31 . 2005-10-31 21:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-07 13:31 . 2005-10-31 21:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-07 13:31 . 2005-10-08 23:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-07 13:31 . 2005-10-09 12:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-10-07 13:31 . 2005-10-29 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-10-07 13:31 . 2005-10-31 21:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-07 13:31 . 2008-10-07 13:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-07 13:31 . 2005-10-31 08:10 0 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2008-10-07 12:43 . 2008-10-07 12:43 <DIR> d-------- C:\Programme\Trend Micro
2008-10-07 12:07 . 2008-10-07 12:07 <DIR> d-------- C:\Programme\ghrwdk
2008-10-07 12:07 . 2008-10-07 12:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tqpkfqhg
2008-10-07 12:07 . 2008-10-07 12:07 98,304 --a------ C:\WINDOWS\system32\zwdmnyro.exe
2008-10-05 18:25 . 2008-10-05 18:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NSV
2008-10-05 11:46 . 2008-10-05 11:47 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-10-03 16:37 . 2008-10-03 16:45 <DIR> d-------- C:\Programme\XBCD 360
2008-10-03 15:03 . 2008-10-03 15:03 <DIR> d-------- C:\WINDOWS\system32\xlive
2008-09-28 12:19 . 2008-09-28 12:19 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Disney Interactive Studios
2008-09-28 12:03 . 2008-09-28 12:03 <DIR> d-------- C:\Programme\Disney Interactive Studios
2008-09-28 11:53 . 2008-09-28 11:53 <DIR> d-------- C:\WINDOWS\Logs
2008-09-28 11:53 . 2008-09-28 12:15 976 --a------ C:\WINDOWS\disney.ini
2008-09-27 19:33 . 2008-09-27 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Ubisoft
2008-09-27 19:06 . 2008-09-27 19:06 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\InstallShield
2008-09-26 17:33 . 2008-09-26 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Template
2008-09-24 10:05 . 2008-09-24 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-09-21 18:50 . 1999-09-10 14:06 45,056 -ra------ C:\WINDOWS\system32\wnaspi32.dll
2008-09-21 18:50 . 1999-09-10 14:06 45,056 -ra------ C:\WINDOWS\system32\wnaspi32.bak
2008-09-21 18:50 . 1999-09-10 14:06 25,244 -ra------ C:\WINDOWS\system32\drivers\ASPI32.sys
2008-09-21 18:50 . 1999-09-10 14:06 5,600 -ra------ C:\WINDOWS\system\Winaspi.dll
2008-09-21 18:50 . 1999-09-10 14:06 4,672 -ra------ C:\WINDOWS\system\Wowpost.exe
2008-09-21 18:50 . 2008-09-21 18:50 2,368 --a------ C:\WINDOWS\system32\STEC3.sys
2008-09-19 00:15 . 2008-09-19 00:15 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\KALiNKOsoft
2008-09-18 23:42 . 2004-03-09 19:45 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX
2008-09-18 23:42 . 1998-06-24 02:00 164,144 --a------ C:\WINDOWS\system32\comct232.ocx
2008-09-18 23:42 . 2000-12-06 03:00 109,248 --a------ C:\WINDOWS\system32\mswinsck.ocx
2008-09-18 23:42 . 2008-01-13 17:36 91,632 --a------ C:\WINDOWS\system32\dsofile.dll
2008-09-18 23:42 . 1998-06-18 01:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-09-18 23:42 . 1999-05-17 14:55 57,344 --------- C:\WINDOWS\system32\ADsSecurity.dll
2008-09-18 23:42 . 2002-03-13 18:46 53,248 --------- C:\WINDOWS\system32\zlib.dll
2008-09-18 23:42 . 2002-08-09 12:18 45,056 --------- C:\WINDOWS\system32\NTSVC.ocx
2008-09-18 23:42 . 2003-01-26 14:41 40,960 --a------ C:\WINDOWS\system32\SSubTmr6.dll
2008-09-18 23:42 . 2008-01-13 20:59 36,864 --a------ C:\WINDOWS\system32\dxinputdll.dll
2008-09-17 19:24 . 2008-09-30 10:14 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-09-17 19:22 . 2008-09-17 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-17 19:20 . 2008-10-07 20:32 190,661 --a------ C:\WINDOWS\system32\nvapps.xml
2008-09-17 19:19 . 2008-09-17 19:19 <DIR> d-------- C:\WINDOWS\nview
2008-09-17 19:19 . 2008-09-17 19:19 <DIR> d-------- C:\NVIDIA
2008-09-17 19:19 . 2008-05-16 11:48 446,464 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-09-17 19:19 . 2008-05-16 14:01 446,464 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-09-17 19:19 . 2008-05-16 14:01 18,070 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-09-17 18:53 . 2008-09-18 22:44 <DIR> d-------- C:\WINDOWS\system32\unknown
2008-09-17 18:52 . 2008-09-17 18:52 <DIR> d-------- C:\Programme\VID_1a34&PID_0801
2008-09-17 18:52 . 2006-08-28 14:48 4,352 --a------ C:\WINDOWS\system32\drivers\TF0801.sys
2008-09-17 14:53 . 2008-09-17 14:53 <DIR> dr-h----- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\SecuROM
2008-09-17 14:45 . 2008-09-17 14:45 <DIR> d-------- C:\Programme\Atari
2008-09-17 14:45 . 2008-09-17 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\gnupg
2008-09-17 10:10 . 2008-10-07 13:28 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-17 09:56 . 2008-09-17 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\MSNInstaller
2008-09-17 09:43 . 2008-09-17 09:43 872 --a------ C:\WINDOWS\uninst.ini
2008-09-15 19:16 . 2008-10-06 22:36 <DIR> d-------- C:\mix
2008-09-10 20:35 . 2008-10-02 18:23 <DIR> d-------- C:\Programme\jDownloader
2008-09-10 19:13 . 2008-10-03 15:43 <DIR> d-------- C:\Programme\CAPCOM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 10:43 --------- d-----w C:\Programme\downloads
2008-10-07 10:40 --------- d-----w C:\Programme\AudioJack 2
2008-10-07 10:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-06 22:15 --------- d-----w C:\Programme\eMule
2008-10-03 17:53 34,014 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\wklnhst.dat
2008-09-30 12:49 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-30 11:39 --------- d-----w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Orbit
2008-09-29 12:03 --------- d-----w C:\Programme\Microsoft Digital Image 2006
2008-09-28 10:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-27 17:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-09-27 17:15 --------- d-----w C:\Programme\Ubisoft
2008-09-24 08:05 --------- d-----w C:\Programme\SlySoft
2008-09-24 08:03 --------- d-----w C:\Programme\CloneCD
2008-09-21 17:06 --------- d-----w C:\Programme\C-Media USB2.0 Card Reader
2008-09-18 18:23 --------- d-----w C:\Programme\Logitech
2008-09-18 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-09-17 12:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-17 12:00 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-09-17 11:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-17 07:47 --------- d-----w C:\Programme\Home Cinema
2008-09-16 08:26 --------- d-----w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Azureus
2008-09-11 12:06 --------- d-----w C:\Programme\Firefly Studios
2007-12-04 16:10 103,736 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-23 08:39 81,920 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\ezpinst.exe
2007-09-23 08:39 47,360 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\pcouffin.sys
2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 262,184 2007-02-27 08:40:44 C:\Programme\AntiVir PersonalEdition Classic\bak\avgnt.exe
----a-w 266,497 2008-07-19 11:21:12 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

----a-w 57,344 2005-05-19 13:47:36 C:\Programme\CloneCD\bak\CloneCDTray.exe

------w 27,337 2008-08-06 18:21:48 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\FuelGauge.gfx
------w 27,337 2008-08-13 11:59:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\FuelGauge.gfx

------w 80,292 2008-08-06 18:21:48 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Hud_new.gfx
------w 80,737 2008-08-15 14:40:16 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\Hud_new.gfx

------w 1,975 2008-08-06 18:21:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\LapTime.gfx
------w 1,975 2008-08-13 11:59:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\LapTime.gfx

------w 1,734 2008-08-06 18:21:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Leaderboard.gfx
------w 1,734 2008-08-13 11:59:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\Leaderboard.gfx

------w 133,253 2008-08-06 18:21:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Notification.gfx
------w 143,549 2008-08-20 13:49:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\Notification.gfx

------w 11,029 2008-08-06 18:21:50 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\PosBar.gfx
------w 11,029 2008-08-13 11:59:52 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\PosBar.gfx

------w 13,253 2008-08-06 18:21:52 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Preload.gfx
------w 13,253 2008-08-13 11:59:52 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\Preload.gfx

------w 831 2008-08-04 16:20:38 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Qualify.gfx
------w 831 2008-08-06 20:25:48 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\Qualify.gfx

------w 40,015 2008-08-06 18:21:52 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\ThrillBar.gfx
------w 36,884 2008-08-15 14:40:16 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\ThrillBar.gfx

------w 89,935 2008-06-16 11:22:56 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\TrickHud.gfx
------w 89,935 2008-08-13 11:59:52 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\TrickHud.gfx

------w 33,081 2008-08-06 18:21:52 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Trickname.gfx
------w 33,081 2008-08-13 11:59:52 C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\Trickname.gfx

------w 12,548 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Dutch.txt
------w 12,548 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\Dutch.txt

------w 6,890 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\English_UK.txt
------w 6,890 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\English_UK.txt

------w 11,352 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\English_USA.txt
------w 11,352 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\English_USA.txt

------w 7,700 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\French.txt
------w 7,700 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\French.txt

------w 5,806 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\German.txt
------w 5,806 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\German.txt

------w 41,922 2008-08-04 14:49:54 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Global.txt
------w 41,922 2008-08-14 09:39:10 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\Global.txt

------w 9,234 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Italian.txt
------w 9,234 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\Italian.txt

------w 2,420 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Japanese.txt
------w 2,420 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\Japanese.txt

------w 1,525 2008-08-13 13:47:34 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Polish.txt
------w 3,052 2008-08-18 15:00:40 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\Polish.txt

------w 14,532 2008-08-13 13:47:34 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Russian.txt
------w 16,118 2008-08-18 15:00:42 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\Russian.txt

------w 2,400 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Spanish.txt
------w 2,400 2008-06-16 11:23:00 C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\Spanish.txt

----a-w 118,784 2006-01-04 11:50:26 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\bak\schedhlp.exe

----a-w 180,269 2005-10-09 09:25:29 C:\Programme\Gemeinsame Dateien\Real\Update_OB\bak\realsched.exe

----a-r 155,648 2003-09-29 23:14:58 C:\Programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe

----a-w 171,448 2007-02-06 17:06:25 C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe

----a-w 458,752 2004-10-08 10:31:02 C:\Programme\Logitech\Video\bak\ISStart.exe

----a-w 217,088 2004-10-08 10:24:42 C:\Programme\Logitech\Video\bak\LogiTray.exe

----a-w 126,976 2005-10-11 16:11:58 C:\Programme\Medion Info Display\bak\MdionLCM.exe

----a-w 98,304 2005-10-09 09:23:37 C:\Programme\QuickTime\bak\qttask.exe

----a-w 69,632 2006-03-21 12:19:40 C:\Programme\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe

----a-w 208,952 2004-08-04 12:00:00 C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE
----a-w 208,952 2004-08-04 12:00:00 C:\WINDOWS\ime\imjp8_1\imjpmig.exe

----a-w 241,664 2005-10-12 12:44:08 C:\WINDOWS\system32\bak\CmUCReye.exe
----a-w 241,664 2005-10-12 12:44:08 C:\WINDOWS\system32\CmUCREye.exe

----a-w 221,184 2004-10-08 09:52:32 C:\WINDOWS\system32\bak\LVCOMSX.EXE

----a-w 155,648 2001-07-09 09:50:42 C:\WINDOWS\system32\bak\NeroCheck.exe

----a-w 59,392 2004-08-04 12:00:00 C:\WINDOWS\system32\IME\PINTLGNT\bak\ImScInst.exe
----a-w 59,392 2004-08-04 12:00:00 C:\WINDOWS\system32\IME\PINTLGNT\imscinst.exe

----a-w 455,168 2004-08-04 12:00:00 C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE
----a-w 455,168 2004-08-04 12:00:00 C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

tomy2001 · 07.10.2008, 19:44

.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MsgAdm"="C:\WINDOWS\system32\zwdmnyro.exe" [2008-10-07 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 C:\WINDOWS\RTHDCPL.EXE]
"CHotkey"="mHotkey.exe" [2004-06-03 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2003-07-21 C:\WINDOWS\CNYHKey.exe]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ComGen"= {70AECCFE-9DEC-FA07-0DF8-070D5E0248C7} - C:\Programme\ghrwdk\ComGen.dll [2008-10-07 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\POWERC~1\Kernel\Burner\MKDMP3Enc.ACM

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2008-02-22 13:30 217544 C:\Programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 21:21 57344 C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 03:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-09-16 12:16 1833296 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak UI 1.33 deutsch]
--a------ 2006-08-29 10:30 106544 C:\WINDOWS\system32\TWEAKUI.CPL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\eMule\\eMule.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Free Music Zilla\\FMZilla.exe"=
"C:\\Programme\\Winamp\\winamp.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"C:\\Programme\\Sunflowers\\ParaWorld\\bin\\PWServer.exe"=
"C:\\Programme\\Ubisoft\\Tom Clancy's Splinter Cell Chaos Theory\\System\\SPLINTERCELL3.EXE"=
"C:\\Programme\\TmNationsForever\\TmForever.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"C:\\Programme\\Atari\\AITD\\Alone.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\CAPCOM\\LOSTPLANETCOLONIES\\LostPlanetColoniesDX9.exe"=
"C:\\Programme\\CAPCOM\\LOSTPLANETCOLONIES\\LostPlanetColoniesDX10.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JDownloader.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-12-17 730880]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-10-17 826112]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 72320]
S2 TF0801;WIRELESS USB Filter Driver;C:\WINDOWS\system32\DRIVERS\TF0801.sys [2006-08-28 4352]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-12-09 26112]
S3 zlportio;zlportio;C:\Programme\UltraStar Deluxe\zlportio.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\Power.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4390c53d-36d1-11db-a72d-0012bf51713a}]
\Shell\AutoRun\command - O:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46512cc4-adf8-11db-a83d-0013d3b3b0e3}]
\Shell\AutoRun\command - M:\InstallTomTomHOME.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Mozilla\Firefox\Profiles\cv7laglp.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 20:31:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-07 20:36:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-07 18:36:20

Vor Suchlauf: 5.473.280.000 Bytes frei
Nach Suchlauf: 5,382,000,640 Bytes frei

341 --- E O F --- 2007-07-05 09:28:22

myrtille · 07.10.2008, 20:11

Hi,

die sicherste Variante dürfte hier Neuaufsetzen sein.

Wenn du das nicht möchtest, kannst du es mit folgendem tun, auch wenn das weniger sicher ist:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

folder::
C:\Programme\ghrwdk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tqpkfqhg
C:\Programme\AntiVir PersonalEdition Classic\bak
C:\WINDOWS\ime\imjp8_1\bak
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\IME\PINTLGNT\bak
C:\WINDOWS\system32\IME\TINTLGNT\bak
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak

file::
C:\WINDOWS\system32\zwdmnyro.exe

AWF::
C:\Programme\CloneCD\bak\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\bak\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\bak\realsched.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
C:\Programme\Logitech\Video\bak\ISStart.exe
C:\Programme\Logitech\Video\bak\LogiTray.exe
C:\Programme\Medion Info Display\bak\MdionLCM.exe
C:\Programme\QuickTime\bak\qttask.exe
C:\Programme\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe
C:\WINDOWS\system32\bak\LVCOMSX.EXE
C:\WINDOWS\system32\bak\NeroCheck.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

tomy2001 · 07.10.2008, 20:13

ok danke.

werde das windows dann wohl eher neu aufsetzen.

meine frage: wenn ich das windows neu installiere auf die c dann muss ich die dateien von der d nicht sichern oder?

myrtille · 07.10.2008, 20:16

Hi,

nein, wenn du nur C formatierst sollten die Daten auf D nicht beeinträchtigt werden.

Achte aber bitte darauf, dass du keine ausführbaren Dateien sicherst oder vom alten Rechner auf das neue überführst, da du Malware auf dem Rechner hast, die ausführbare Dateien durch eine Kopie von sich ersetzt!
(Programme von CDs installieren, den Rest neu besorgen.)
lg myrtille

tomy2001 · 07.10.2008, 20:33

so habs jetzt doch so versucht wie du geschrieben hast:

ComboFix 08-10-07.01 - tom 2008-10-07 21:23:10.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1447 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\tom\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\tom\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\WINDOWS\system32\zwdmnyro.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tqpkfqhg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tqpkfqhg\hwzopqzc.exe
C:\Programme\AntiVir PersonalEdition Classic\bak
C:\Programme\AntiVir PersonalEdition Classic\bak\avgnt.exe
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\FuelGauge.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Hud_new.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\LapTime.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Leaderboard.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Notification.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\PosBar.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Preload.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Qualify.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\ThrillBar.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\TrickHud.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UI\HUD\bak\Trickname.gfx
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Dutch.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\English_UK.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\English_USA.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\French.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\German.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Global.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Italian.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Japanese.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Polish.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Russian.txt
C:\Programme\Disney Interactive Studios\Pure\Data\UrbanDictionary\bak\Spanish.txt
C:\Programme\ghrwdk
C:\Programme\ghrwdk\ComGen.dll
C:\WINDOWS\ime\imjp8_1\bak
C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\bak\CmUCReye.exe
C:\WINDOWS\system32\IME\PINTLGNT\bak
C:\WINDOWS\system32\IME\PINTLGNT\bak\ImScInst.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE
C:\WINDOWS\system32\zwdmnyro.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 ))))))))))))))))))))))))))))))
.

2164-07-31 22:42 . 2164-07-31 22:42 244 --ah----- C:\sqmnoopt03.sqm
2164-07-31 22:42 . 2164-07-31 22:42 232 --ah----- C:\sqmdata03.sqm
2164-07-31 22:39 . 2164-07-31 22:39 244 --ah----- C:\sqmnoopt02.sqm
2164-07-31 22:39 . 2164-07-31 22:39 232 --ah----- C:\sqmdata02.sqm
2164-07-31 22:38 . 2164-07-31 22:38 244 --ah----- C:\sqmnoopt01.sqm
2164-07-31 22:38 . 2164-07-31 22:38 232 --ah----- C:\sqmdata01.sqm
2008-10-07 13:31 . 2005-10-09 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-10-07 13:31 . 2005-10-08 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-07 13:31 . 2005-10-08 15:33 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-10-07 13:31 . 2005-10-08 23:52 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-07 13:31 . 2005-10-08 23:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-07 13:31 . 2008-10-07 20:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-07 13:31 . 2005-10-31 21:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-07 13:31 . 2005-10-31 21:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-07 13:31 . 2005-10-08 23:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-07 13:31 . 2005-10-09 12:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-10-07 13:31 . 2005-10-29 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-10-07 13:31 . 2005-10-31 21:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-07 13:31 . 2008-10-07 13:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-07 13:31 . 2005-10-31 08:10 0 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2008-10-07 12:43 . 2008-10-07 12:43 <DIR> d-------- C:\Programme\Trend Micro
2008-10-05 18:25 . 2008-10-05 18:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NSV
2008-10-05 11:46 . 2008-10-05 11:47 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-10-03 16:37 . 2008-10-03 16:45 <DIR> d-------- C:\Programme\XBCD 360
2008-10-03 15:03 . 2008-10-03 15:03 <DIR> d-------- C:\WINDOWS\system32\xlive
2008-09-28 12:19 . 2008-09-28 12:19 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Disney Interactive Studios
2008-09-28 12:03 . 2008-09-28 12:03 <DIR> d-------- C:\Programme\Disney Interactive Studios
2008-09-28 11:53 . 2008-09-28 11:53 <DIR> d-------- C:\WINDOWS\Logs
2008-09-28 11:53 . 2008-09-28 12:15 976 --a------ C:\WINDOWS\disney.ini
2008-09-27 19:33 . 2008-09-27 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Ubisoft
2008-09-27 19:06 . 2008-09-27 19:06 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\InstallShield
2008-09-26 17:33 . 2008-09-26 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Template
2008-09-24 10:05 . 2008-09-24 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-09-21 18:50 . 1999-09-10 14:06 45,056 -ra------ C:\WINDOWS\system32\wnaspi32.dll
2008-09-21 18:50 . 1999-09-10 14:06 45,056 -ra------ C:\WINDOWS\system32\wnaspi32.bak
2008-09-21 18:50 . 1999-09-10 14:06 25,244 -ra------ C:\WINDOWS\system32\drivers\ASPI32.sys
2008-09-21 18:50 . 1999-09-10 14:06 5,600 -ra------ C:\WINDOWS\system\Winaspi.dll
2008-09-21 18:50 . 1999-09-10 14:06 4,672 -ra------ C:\WINDOWS\system\Wowpost.exe
2008-09-21 18:50 . 2008-09-21 18:50 2,368 --a------ C:\WINDOWS\system32\STEC3.sys
2008-09-19 00:15 . 2008-09-19 00:15 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\KALiNKOsoft
2008-09-18 23:42 . 2004-03-09 19:45 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX
2008-09-18 23:42 . 1998-06-24 02:00 164,144 --a------ C:\WINDOWS\system32\comct232.ocx
2008-09-18 23:42 . 2000-12-06 03:00 109,248 --a------ C:\WINDOWS\system32\mswinsck.ocx
2008-09-18 23:42 . 2008-01-13 17:36 91,632 --a------ C:\WINDOWS\system32\dsofile.dll
2008-09-18 23:42 . 1998-06-18 01:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-09-18 23:42 . 1999-05-17 14:55 57,344 --------- C:\WINDOWS\system32\ADsSecurity.dll
2008-09-18 23:42 . 2002-03-13 18:46 53,248 --------- C:\WINDOWS\system32\zlib.dll
2008-09-18 23:42 . 2002-08-09 12:18 45,056 --------- C:\WINDOWS\system32\NTSVC.ocx
2008-09-18 23:42 . 2003-01-26 14:41 40,960 --a------ C:\WINDOWS\system32\SSubTmr6.dll
2008-09-18 23:42 . 2008-01-13 20:59 36,864 --a------ C:\WINDOWS\system32\dxinputdll.dll
2008-09-17 19:24 . 2008-09-30 10:14 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-09-17 19:22 . 2008-09-17 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-17 19:20 . 2008-10-07 21:27 190,661 --a------ C:\WINDOWS\system32\nvapps.xml
2008-09-17 19:19 . 2008-09-17 19:19 <DIR> d-------- C:\WINDOWS\nview
2008-09-17 19:19 . 2008-09-17 19:19 <DIR> d-------- C:\NVIDIA
2008-09-17 19:19 . 2008-05-16 11:48 446,464 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-09-17 19:19 . 2008-05-16 14:01 446,464 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-09-17 19:19 . 2008-05-16 14:01 18,070 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-09-17 18:53 . 2008-09-18 22:44 <DIR> d-------- C:\WINDOWS\system32\unknown
2008-09-17 18:52 . 2008-09-17 18:52 <DIR> d-------- C:\Programme\VID_1a34&PID_0801
2008-09-17 18:52 . 2006-08-28 14:48 4,352 --a------ C:\WINDOWS\system32\drivers\TF0801.sys
2008-09-17 14:53 . 2008-09-17 14:53 <DIR> dr-h----- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\SecuROM
2008-09-17 14:45 . 2008-09-17 14:45 <DIR> d-------- C:\Programme\Atari
2008-09-17 14:45 . 2008-09-17 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\gnupg
2008-09-17 10:10 . 2008-10-07 13:28 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-17 09:56 . 2008-09-17 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\MSNInstaller
2008-09-17 09:43 . 2008-09-17 09:43 872 --a------ C:\WINDOWS\uninst.ini
2008-09-15 19:16 . 2008-10-07 21:20 <DIR> d-------- C:\mix
2008-09-10 20:35 . 2008-10-02 18:23 <DIR> d-------- C:\Programme\jDownloader
2008-09-10 19:13 . 2008-10-03 15:43 <DIR> d-------- C:\Programme\CAPCOM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 19:23 --------- d-----w C:\Programme\QuickTime
2008-10-07 19:23 --------- d-----w C:\Programme\Medion Info Display
2008-10-07 19:23 --------- d-----w C:\Programme\CloneCD
2008-10-07 10:43 --------- d-----w C:\Programme\downloads
2008-10-07 10:40 --------- d-----w C:\Programme\AudioJack 2
2008-10-07 10:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-06 22:15 --------- d-----w C:\Programme\eMule
2008-10-03 17:53 34,014 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\wklnhst.dat
2008-09-30 12:49 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-30 11:39 --------- d-----w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Orbit
2008-09-29 12:03 --------- d-----w C:\Programme\Microsoft Digital Image 2006
2008-09-28 10:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-27 17:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-09-27 17:15 --------- d-----w C:\Programme\Ubisoft
2008-09-24 08:05 --------- d-----w C:\Programme\SlySoft
2008-09-21 17:06 --------- d-----w C:\Programme\C-Media USB2.0 Card Reader
2008-09-18 18:23 --------- d-----w C:\Programme\Logitech
2008-09-18 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-09-17 12:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-17 12:00 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-09-17 11:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-17 07:47 --------- d-----w C:\Programme\Home Cinema
2008-09-16 08:26 --------- d-----w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Azureus
2008-09-11 12:06 --------- d-----w C:\Programme\Firefly Studios
2007-12-04 16:10 103,736 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-23 08:39 81,920 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\ezpinst.exe
2007-09-23 08:39 47,360 ----a-w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\pcouffin.sys
2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-10-07_20.35.09.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-10-08 09:52:32 221,184 ----a-w C:\WINDOWS\system32\LVCOMSX.EXE
+ 2001-07-09 09:50:42 155,648 ----a-w C:\WINDOWS\system32\NeroCheck.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 C:\WINDOWS\RTHDCPL.EXE]
"CHotkey"="mHotkey.exe" [2004-06-03 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2003-07-21 C:\WINDOWS\CNYHKey.exe]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\POWERC~1\Kernel\Burner\MKDMP3Enc.ACM

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2008-02-22 13:30 217544 C:\Programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 21:21 57344 C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 03:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-09-16 12:16 1833296 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak UI 1.33 deutsch]
--a------ 2006-08-29 10:30 106544 C:\WINDOWS\system32\TWEAKUI.CPL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\eMule\\eMule.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Free Music Zilla\\FMZilla.exe"=
"C:\\Programme\\Winamp\\winamp.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"C:\\Programme\\Sunflowers\\ParaWorld\\bin\\PWServer.exe"=
"C:\\Programme\\Ubisoft\\Tom Clancy's Splinter Cell Chaos Theory\\System\\SPLINTERCELL3.EXE"=
"C:\\Programme\\TmNationsForever\\TmForever.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"C:\\Programme\\Atari\\AITD\\Alone.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\CAPCOM\\LOSTPLANETCOLONIES\\LostPlanetColoniesDX9.exe"=
"C:\\Programme\\CAPCOM\\LOSTPLANETCOLONIES\\LostPlanetColoniesDX10.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JDownloader.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-12-17 730880]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-10-17 826112]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 72320]
S2 TF0801;WIRELESS USB Filter Driver;C:\WINDOWS\system32\DRIVERS\TF0801.sys [2006-08-28 4352]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-12-09 26112]
S3 zlportio;zlportio;C:\Programme\UltraStar Deluxe\zlportio.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\Power.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46512cc4-adf8-11db-a83d-0013d3b3b0e3}]
\Shell\AutoRun\command - M:\InstallTomTomHOME.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MsgAdm - C:\WINDOWS\system32\zwdmnyro.exe
SSODL-ComGen-{70AECCFE-9DEC-FA07-0DF8-070D5E0248C7} - C:\Programme\ghrwdk\ComGen.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 21:27:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-07 21:31:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-07 19:31:22

Vor Suchlauf: 5.147.553.792 Bytes frei
Nach Suchlauf: 5,148,303,360 Bytes frei

303 --- E O F --- 2007-07-05 09:28:22

myrtille · 07.10.2008, 20:45

Hi,

das sieht nicht unbedingt schlecht aus. Mach zur Absicherung bitte als nächstes Folgendes:
Kaspersky - Onlinescanner
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.
---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren
=> Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK
=> Link "Arbeitsplatz" anklicken => Scan beginnt automatisch
=> Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern
=> Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Mache außerdem einen Scan mit Malwarebytes sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

tomy2001 · 07.10.2008, 20:48

danke ....
also die pop ups kommen schon nicht mehr.
werd morgen wenn ich zeit hab die ganzen scanner noch drüberlassen.

denk mir aber es wird trotzdem das beste sein windows mal früher oder später neu zu installieren.
immerhin hab ichs jetzt schon 3 jahre....

nochmal danke für die schnelle hilfe hier!!!

myrtille · 07.10.2008, 21:09

Hi,

ja die popups sollten entfernt sein, allerdings hast du seit August noch andere Malware auf dem Rechner, die die exe-Dateien modifiziert hat.

Wenn die von mir genannten Scanner (und Antivir) nichts finden, stehen die Chancen gut, dass wir das Problem bereinigt haben. Allerdings gibt es wie gesagt keine Garantien.

lg myrtille

Wieder mal was erwischt....Bitte um Hilfe!

Log-Analyse und Auswertung: Wieder mal was erwischt....Bitte um Hilfe!