XP Antispyware Trojaner

martin_w · 12.10.2008, 09:18

Hi,

hab mir auch diesen XP Antispayware Trojaner eingefangen und durch die Hilfe in anderen Beiträgen zu diesem Thema mit CCleaner und Combofix alles genau nach Anweisung abgearbeitet.

Hier nun das Combofix Logfile

ComboFix 08-10-11.02 - copyRiot 2008-10-12 9:58:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.519 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\copyRiot\Desktop\prüfung.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\copyRiot\Cookies\ezibyjik.com
C:\Dokumente und Einstellungen\copyRiot\Cookies\olada.ban
C:\Dokumente und Einstellungen\copyRiot\Cookies\uvexycocyx.dl
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\AVEngn.dll
C:\Programme\XP_AntiSpyware\comp.dat
C:\Programme\XP_AntiSpyware\data\daily.cvd
C:\Programme\XP_AntiSpyware\htmlayout.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
C:\Programme\XP_AntiSpyware\pthreadVC2.dll
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\Programme\XP_AntiSpyware\wscui.cpl
C:\Programme\XP_AntiSpyware\XP_Antispyware.cfg
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
C:\WINDOWS\brastk.exe
C:\WINDOWS\karna.dat
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\karna.dat
C:\WINDOWS\system32\sysdm.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv

((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 09:59 . 2004-08-10 21:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-10-12 09:25 . 2008-10-12 09:25 <DIR> d-------- C:\Programme\CCleaner
2008-10-12 09:03 . 2008-10-04 21:40 196,823 --a------ C:\WINDOWS\system32\_scui.cpl
2008-10-12 09:03 . 2008-10-12 09:03 19,285 --a------ C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\bixoz.pif
2008-10-12 09:03 . 2008-10-12 09:03 19,171 --a------ C:\Programme\Gemeinsame Dateien\sedezez.com
2008-10-12 09:03 . 2008-10-12 09:03 18,547 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nyxula.com
2008-10-12 09:03 . 2008-10-12 09:03 17,506 --a------ C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\iqyny.scr
2008-10-12 09:03 . 2008-10-12 09:03 16,755 --a------ C:\Programme\Gemeinsame Dateien\syjanehola.bin
2008-10-12 09:03 . 2008-10-12 09:03 16,235 --a------ C:\WINDOWS\bejul.scr
2008-10-12 09:03 . 2008-10-12 09:03 15,048 --a------ C:\WINDOWS\ymyxuro.inf
2008-10-12 09:03 . 2008-10-12 09:03 13,684 --a------ C:\WINDOWS\ujazulafe.scr
2008-10-12 09:03 . 2008-10-12 09:03 10,749 --a------ C:\WINDOWS\system32\tesu.pif
2008-10-12 09:03 . 2008-10-12 09:03 10,456 --a------ C:\WINDOWS\ofydi.exe
2008-10-12 09:02 . 2008-10-12 09:02 65,428 --a------ C:\WINDOWS\system32\wini104552663.exe
2008-10-12 08:59 . 2008-10-12 08:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izszmlgb
2008-10-12 08:59 . 2008-10-12 08:59 81,920 --a------ C:\WINDOWS\system32\uxabezqx.exe
2008-10-10 07:24 . 2008-10-11 07:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-10 07:24 . 2008-10-10 07:24 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-09 08:00 . 2008-10-09 17:15 <DIR> d-------- C:\Programme\DivX
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-08 21:32 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-07 16:13 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-09-30 04:39 . 2008-09-30 04:39 <DIR> d-------- C:\Programme\IrfanView
2008-09-23 23:08 . 2008-09-23 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Media Player Classic
2008-09-23 20:40 . 2008-09-23 20:40 <DIR> d-------- C:\Programme\Last.fm
2008-09-23 20:40 . 2008-09-23 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2008-09-16 02:12 . 2008-09-16 02:12 3,051 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-09-16 02:11 . 2008-09-16 02:11 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-12 02:59 . 2005-07-15 12:49 245,760 --a------ C:\WINDOWS\system32\aUpdateNow.ocx
2008-09-12 02:59 . 2004-03-08 18:00 132,880 --a------ C:\WINDOWS\system32\msinet.ocx
2008-09-12 02:51 . 2008-10-12 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-12 02:22 . 2008-09-26 22:04 <DIR> d-------- C:\Programme\FriendBlasterPro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 08:01 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\OpenOffice.org2
2008-10-12 08:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-12 07:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-12 07:03 17,809 ----a-w C:\Programme\Gemeinsame Dateien\yjovyva._sy
2008-10-08 20:01 --------- d-----w C:\Programme\MSN Messenger
2008-09-29 17:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-29 17:03 --------- d-----w C:\Programme\Paltalk Messenger
2008-09-29 17:03 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-29 17:03 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Paltalk
2008-09-23 21:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-09-09 17:11 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Malwarebytes
2008-09-09 17:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 00:21 --------- d-----w C:\Programme\Winamp
2008-09-08 21:14 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Winamp
2008-09-07 17:44 --------- d-----w C:\Programme\Softwin
2008-09-07 17:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Softwin
2008-09-07 16:15 --------- d-----w C:\Programme\Trend Micro
2008-09-07 12:06 --------- d-----w C:\Programme\Alwil Software
2006-12-21 17:39 0 ----a-w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\wklnhst.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"EPSON Stylus C60 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE" [2001-10-04 69632]
"srvaplapp"="C:\WINDOWS\system32\uxabezqx.exe" [2008-10-12 81920]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-11 7626752]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-11 86016]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-17 98304]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-08-04 36352]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-31 262184]
"nwiz"="nwiz.exe" [2006-07-11 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\copyRiot\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-10-09 15187]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-10-09 15571]
S3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [ ]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 402432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{647896f5-f4a4-11db-aae6-00192151c09b}]
\Shell\AutoRun\command - J:\setupSNK.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Mozilla\Firefox\Profiles\rbrdq78s.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE -
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 10:01:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.bin
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 10:04:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-12 08:04:35

Vor Suchlauf: 906.768.384 Bytes frei
Nach Suchlauf: 943,931,392 Bytes frei

218 --- E O F --- 2008-10-10 11:34:08

HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:00, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\WINDOWS\system32\uxabezqx.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\WINDOWS\system32\uxabezqx.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - HKCU\..\Run: [srvaplapp] C:\WINDOWS\system32\uxabezqx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {304171C0-65EA-4B51-B5D9-93A311E26EB1} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DD5199-DD8A-41FD-A1A6-43B30672F868}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7259 bytes

Bitte um Hilfe, was nun zu tun ist.
Vielen Dank schonmal im vorraus

Martin

XP Antispyware Trojaner

Log-Analyse und Auswertung: XP Antispyware Trojaner

XP Antispyware Trojaner

Ähnliche Themen: XP Antispyware Trojaner