Ich habe mein Problem schon in diversen anderen Foren gepostet, ich bin auch etwas weitergekommen, aber konnte es noch immer nicht ganz lösen.
Ich benutze Windows Vista.

Hier mein Problem:

Ich kann meine Laufwerke nicht mehr mit einem Doppelklick öffnen außer der Windows Partition, auch steht jetzt bei einem Rechtsklick was von "Programm installieren oder ausführen"..

Mir wurde gesagt ich hätte den Autorun Virus, also habe ich gesucht was ich machen muss--> alle autorun.inf files gelöscht und noch en paat Sachen
Meine Virenscanner finden jetzt nichts mehr, aber das Problem mit dem Aufrufen der Laufwerke besteht immer noch!

Hier ist mein Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:42:03, on 14.02.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\avmwlanstick\WLanGUI.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\MirandaFusion\miranda32.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Windows\system32\SearchFilterHost.exe
H:\*\*\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [UltraMon] "C:\Program Files\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Miranda Fusion.lnk = C:\Program Files\MirandaFusion\miranda32.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 7421 bytes

Ich habe noch gelesen das die csrss.exe infiziert sein könnte--->
ich habe die datei 3 mal gefunden
C:\Windows\System32
C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6000.16386_none_56ad21dbe72a9d78
C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_58e3e3d7e415ae4c

auch habe ich noch ähnliche dateien gefunden:
$$DeleteMe.csrss.exe.01c984adc1da64d8.0007
csrss.exe.mui

sind diese Dateien auch schädlich?

Ich hoffe ihr könnt mir helfen, aber ich möchte mein System nicht neu installieren!!!

Hallo
du klickst mal auf Arbeitsplatz
dann auf Extras---> Ordneroptionen--->Ansicht

dann müsstest du Hier sein.

Zitat:

Diese beiden Häkchen entfernen.

Ein bisschen weiter nach unten scrollen

Zitat:

Biss hier
Und hier musst du "Alle Dateien und Ordner Anzeigen" auswählen

Jetzt noch auf Übernehmen und dann OK klicken

Nun gehst du auf den Arbeitsplatz klickst auf das Laufwerk was befallen ist.
Da müsst jetzt eine Datei zu finden sein die "autorun" heißt
diese öffnest du mit dem Editor
und schreibst mir den Inhalt der Datei bitte hier rein.

Zitat:

Zitat von Alex.wenz.

Hallo
du klickst mal auf Arbeitsplatz
dann auf Extras---> Ordneroptionen--->Ansicht

dann müsstest du Hier sein.


Ein bisschen weiter nach unten scrollen



Jetzt noch auf Übernehmen und dann OK klicken

Nun gehst du auf den Arbeitsplatz klickst auf das Laufwerk was befallen ist.
Da müsst jetzt eine Datei zu finden sein die "autorun" heißt
diese öffnest du mit dem Editor
und schreibst mir den Inhalt der Datei bitte hier rein.

das hatte ich doch schon längst getan--> und diese files sind längst gelöscht
also was nun?

Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

vielen vielen Dank Andreas, mein Problem wurde nun endgültig beseitigt =)

Komisch finde ich nur, dass er meinen Wlan Stick nicht mehr erkennen wollte, aber ansonsten scheint alles ok zu sein.

Hier noch das Logfile:
(mein Logfile ist zu lange^^)

ComboFix 09-02-12.03 - **** 2009-02-14 23:24:58.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6000.0.1252.1.1031.18.3580.2328 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AVSredirect.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-14 bis 2009-02-14 ))))))))))))))))))))))))))))))
.

2009-02-14 23:13 . 2009-02-14 23:13 <DIR> d-------- c:\program files\CCleaner
2009-02-14 19:18 . 2009-02-14 19:20 <DIR> d-------- c:\users\****\AppData\Roaming\dvdcss
2009-02-14 18:07 . 2009-02-14 18:06 102,664 --a------ c:\windows\System32\drivers\tmcomm.sys
2009-02-14 18:06 . 2009-02-14 23:09 <DIR> d-------- c:\users\****\.housecall6.6
2009-02-14 15:03 . 2009-02-14 15:03 <DIR> d-------- c:\program files\MSXML 4.0
2009-02-12 18:21 . 2009-02-12 18:21 <DIR> d-------- c:\users\****\AppData\Roaming\teamspeak2
2009-02-12 18:20 . 2009-02-12 18:21 <DIR> d-------- c:\program files\Teamspeak2_RC2
2009-02-12 18:20 . 2009-02-12 18:20 34,064 --a------ c:\windows\System32\lhacm.acm
2009-02-11 19:59 . 2009-02-11 19:59 <DIR> d-------- c:\program files\MFC8.0 Runtime
2009-02-09 22:43 . 2009-02-14 20:48 <DIR> d-------- c:\users\****\AppData\Roaming\HLSW
2009-02-09 22:43 . 2009-02-09 22:43 <DIR> d---s---- c:\program files\HLSW
2009-02-08 20:49 . 2009-02-14 22:40 69 --a------ c:\windows\NeroDigital.ini
2009-02-08 20:31 . 2009-02-14 23:15 <DIR> d-------- c:\users\All Users\Spybot - Search & Destroy
2009-02-08 20:31 . 2009-02-14 23:15 <DIR> d-------- c:\programdata\Spybot - Search & Destroy
2009-02-08 20:31 . 2009-02-08 20:31 <DIR> d-------- c:\program files\Spybot - Search & Destroy
2009-02-08 19:14 . 2009-02-08 19:14 <DIR> d-------- c:\program files\Far
2009-02-08 18:40 . 2009-02-08 18:40 <DIR> d--hs---- C:\$RECYCLE.BIN
2009-02-08 18:34 . 2009-02-08 18:34 <DIR> d-------- c:\users\****\AppData\Roaming\Malwarebytes
2009-02-08 18:34 . 2009-02-08 18:34 <DIR> d-------- c:\users\All Users\Malwarebytes
2009-02-08 18:34 . 2009-02-08 18:34 <DIR> d-------- c:\programdata\Malwarebytes
2009-02-08 18:34 . 2009-02-08 18:34 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-08 18:34 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-02-08 18:34 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-02-08 15:09 . 2009-02-08 15:13 <DIR> d-------- c:\users\****\AppData\Roaming\Ahead
2009-02-08 15:09 . 2009-02-08 15:09 <DIR> d-------- c:\users\All Users\Nero
2009-02-08 15:09 . 2009-02-08 15:09 <DIR> d-------- c:\users\All Users\Ahead
2009-02-08 15:09 . 2009-02-08 15:09 <DIR> d-------- c:\programdata\Nero
2009-02-08 15:09 . 2009-02-08 15:09 <DIR> d-------- c:\programdata\Ahead
2009-02-08 15:09 . 2009-02-08 15:09 <DIR> d-------- c:\program files\Nero
2009-02-08 15:09 . 2009-02-08 15:09 <DIR> d-------- c:\program files\Common Files\Ahead
2009-02-08 11:55 . 2009-02-08 11:55 410,984 --a------ c:\windows\System32\deploytk.dll
2009-02-07 14:48 . 2009-02-07 16:57 <DIR> d-------- c:\users\****\AppData\Roaming\FileZilla
2009-02-07 14:48 . 2009-02-07 14:48 <DIR> d-------- c:\program files\FileZilla FTP Client
2009-02-06 17:41 . 2009-02-09 20:16 <DIR> d-------- C:\Downloads
2009-02-06 17:38 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\System32\d3dx9_26.dll
2009-02-06 17:19 . 2009-02-06 17:19 <DIR> d-------- c:\program files\Universal Extractor
2009-02-05 22:48 . 2009-02-05 22:48 <DIR> d-------- c:\users\****\.borland
2009-02-05 18:09 . 2009-02-14 23:18 <DIR> d-------- c:\users\****\AppData\Roaming\Free Download Manager
2009-02-05 18:09 . 2009-02-05 18:09 <DIR> d-------- c:\users\All Users\FreeDownloadManager.ORG
2009-02-05 18:09 . 2009-02-05 18:09 <DIR> d-------- c:\programdata\FreeDownloadManager.ORG
2009-02-05 18:09 . 2009-02-05 18:09 <DIR> d-------- c:\program files\Free Download Manager
2009-02-04 20:20 . 2009-02-04 20:20 <DIR> d-------- c:\program files\eRightSoft
2009-02-04 20:20 . 2009-02-04 20:20 <DIR> d-------- c:\program files\AviSynth 2.5
2009-02-04 19:34 . 2009-02-04 19:35 <DIR> d-------- c:\program files\Elecard
2009-02-04 19:34 . 2009-02-04 19:35 <DIR> d-------- c:\program files\Common Files\Elecard
2009-02-04 18:56 . 2009-02-11 19:58 <DIR> d-------- c:\program files\ProgDVB 6.04
2009-02-03 20:12 . 2009-02-03 20:12 <DIR> d-------- c:\users\****\AppData\Roaming\Avira
2009-02-03 20:06 . 2009-02-03 20:06 <DIR> d-------- c:\users\****\AppData\Roaming\GlarySoft
2009-02-03 18:57 . 2009-02-03 18:57 <DIR> d-------- c:\users\****\AppData\Roaming\Real Desktop
2009-02-03 18:55 . 2009-02-03 18:55 <DIR> d-------- c:\users\All Users\Avira
2009-02-03 18:55 . 2009-02-03 18:55 <DIR> d-------- c:\programdata\Avira
2009-02-03 18:55 . 2009-02-03 18:55 <DIR> d-------- c:\program files\Avira
2009-02-03 18:13 . 2008-02-15 14:52 4,244,744 --a------ c:\windows\System32\qtp-mt334.dll
2009-02-03 18:13 . 2008-02-15 14:52 247,560 --a------ c:\windows\System32\prgiso.dll
2009-02-03 18:13 . 2008-02-15 14:52 39,472 --a------ c:\windows\System32\drivers\hotcore3.sys
2009-02-03 18:13 . 2008-02-15 14:52 13,576 --a------ c:\windows\System32\wnaspi32.dll
2009-02-03 18:12 . 2009-02-03 18:13 <DIR> d-------- c:\program files\Partition Manager 9.0 Professional
2009-02-03 15:46 . 2009-02-03 15:46 <DIR> d-------- c:\windows\Sun
2009-02-03 15:32 . 2009-02-11 19:59 <DIR> d--h----- c:\program files\InstallShield Installation Information
2009-02-03 15:31 . 2009-02-03 15:55 <DIR> d-------- c:\program files\Norton PartitionMagic 8.0
2009-02-03 14:53 . 2009-02-03 14:53 <DIR> d-------- c:\program files\Java
2009-02-02 23:48 . 2007-08-31 02:20 224,768 --a------ c:\windows\System32\drivers\usbport.sys
2009-02-02 23:48 . 2007-08-31 02:20 192,000 --a------ c:\windows\System32\drivers\usbhub.sys
2009-02-02 23:48 . 2007-08-31 02:20 73,216 --a------ c:\windows\System32\drivers\usbccgp.sys
2009-02-02 23:48 . 2007-08-31 02:19 38,400 --a------ c:\windows\System32\drivers\usbehci.sys
2009-02-02 23:48 . 2007-08-31 02:19 23,040 --a------ c:\windows\System32\drivers\usbuhci.sys
2009-02-02 23:48 . 2007-08-31 03:16 8,704 --a------ c:\windows\System32\hcrstco.dll
2009-02-02 23:48 . 2007-08-31 02:19 5,888 --a------ c:\windows\System32\drivers\usbd.sys
2009-02-02 21:38 . 2009-02-02 21:38 1,905 --a------ c:\windows\diagwrn.xml
2009-02-02 21:38 . 2009-02-02 21:38 1,905 --a------ c:\windows\diagerr.xml
2009-02-01 23:29 . 2008-04-17 02:36 171,136 -rahs---- C:\grldr
2009-02-01 18:55 . 2009-02-01 18:55 <DIR> d-------- c:\users\****\AppData\Roaming\Realtime Soft
2009-02-01 18:55 . 2009-02-01 18:55 <DIR> d-------- c:\users\All Users\Realtime Soft
2009-02-01 18:55 . 2009-02-01 18:55 <DIR> d-------- c:\programdata\Realtime Soft
2009-02-01 18:55 . 2009-02-01 18:55 <DIR> d-------- c:\program files\UltraMon
2009-02-01 18:54 . 1998-10-02 19:00 327,168 --a------ c:\windows\IsUninst.exe
2009-02-01 18:48 . 2009-02-01 18:51 <DIR> d-------- c:\program files\Common Files\Borland Shared
2009-02-01 18:48 . 2009-02-05 23:00 <DIR> d-------- c:\program files\Borland
2009-02-01 18:38 . 2009-02-08 15:06 <DIR> d-------- C:\Temp
2009-02-01 18:36 . 2009-02-01 23:20 <DIR> d-------- c:\users\****\AppData\Roaming\ICQLite
2009-02-01 18:36 . 2009-02-01 23:20 <DIR> d-------- c:\program files\ICQLite
2009-02-01 16:11 . 2009-02-01 16:12 <DIR> d-------- c:\users\All Users\RapidSolution
2009-02-01 16:11 . 2009-02-01 16:12 <DIR> d-------- c:\programdata\RapidSolution
2009-02-01 16:11 . 2009-02-01 16:11 <DIR> d-------- c:\program files\RapidSolution
2009-02-01 16:07 . 2009-02-01 16:07 <DIR> d-------- c:\users\****\AppData\Roaming\Thinstall
2009-02-01 15:23 . 2009-02-01 15:23 <DIR> d-------- c:\program files\RivaTuner v2.22
2009-02-01 12:44 . 2006-10-26 19:56 32,592 --a------ c:\windows\System32\msonpmon.dll
2009-02-01 12:43 . 2009-02-01 12:43 <DIR> d-------- c:\program files\Microsoft Works
2009-02-01 12:41 . 2009-02-01 12:41 <DIR> d-------- c:\windows\PCHEALTH
2009-02-01 12:41 . 2009-02-01 12:41 <DIR> d-------- c:\program files\Microsoft.NET
2009-02-01 12:40 . 2009-02-01 12:40 <DIR> d-------- c:\program files\Microsoft Visual Studio 8
2009-02-01 12:25 . 2009-02-14 15:04 <DIR> d-------- c:\users\All Users\Microsoft Help
2009-02-01 12:25 . 2009-02-14 15:04 <DIR> d-------- c:\programdata\Microsoft Help
2009-01-31 15:14 . 2009-01-31 15:17 <DIR> d-------- c:\program files\mp3DirectCut
2009-01-31 15:14 . 2009-01-31 15:14 <DIR> d-------- c:\program files\lame3.98
2009-01-31 15:02 . 2009-01-31 15:02 685,816 --a------ c:\windows\System32\drivers\sptd.sys
2009-01-31 13:30 . 2009-01-31 13:30 <DIR> d-------- c:\program files\Opera
2009-01-31 13:25 . 2009-02-03 16:01 <DIR> d-------- c:\program files\RocketDock
2009-01-30 22:23 . 2009-02-11 17:37 202,000 --a------ c:\windows\System32\PnkBstrB.exe
2009-01-30 22:23 . 2009-02-11 17:37 139,280 --a------ c:\windows\System32\drivers\PnkBstrK.sys
2009-01-30 22:17 . 2009-01-30 22:17 <DIR> d-------- c:\users\****\AppData\Roaming\Thunderbird
2009-01-30 22:10 . 2009-01-30 22:10 66,872 --a------ c:\windows\System32\PnkBstrA.exe
2009-01-30 21:56 . 2009-01-30 21:56 <DIR> d-------- c:\program files\K-Lite Codec Pack
2009-01-30 20:13 . 2009-01-30 20:13 <DIR> d-------- c:\program files\BitLocker
2009-01-30 20:10 . 2009-01-30 20:10 694,784 --a------ c:\windows\System32\localspl.dll
2009-01-30 20:09 . 2009-01-30 20:09 1,655,289 --a------ c:\windows\System32\wlan.tmf
2009-01-30 20:08 . 2009-01-30 20:08 1,060,920 --a------ c:\windows\System32\drivers\ntfs.sys
2009-01-30 20:08 . 2009-01-30 20:08 41,984 --a------ c:\windows\System32\drivers\monitor.sys
2009-01-30 20:06 . 2009-01-30 20:06 337,408 --a------ c:\windows\System32\intl.cpl
2009-01-30 20:06 . 2009-01-30 20:06 229,888 --a------ c:\windows\System32\msshsq.dll
2009-01-30 20:06 . 2009-01-30 20:06 166,912 --a------ c:\windows\System32\lpksetup.exe
2009-01-30 20:06 . 2009-01-30 20:06 25,600 --a------ c:\windows\System32\LangCleanupSysprepAction.dll
2009-01-30 20:06 . 2009-01-30 20:06 23,552 --a------ c:\windows\System32\lpremove.exe
2009-01-30 20:06 . 2009-01-30 20:06 10,240 --a------ c:\windows\System32\MUILanguageCleanup.dll
2009-01-30 20:04 . 2009-01-30 20:04 2,605,568 --a------ c:\windows\System32\SLsvc.exe
2009-01-30 20:04 . 2009-01-30 20:04 712,192 --a------ c:\windows\System32\WindowsCodecs.dll
2009-01-30 20:04 . 2009-01-30 20:04 566,784 --a------ c:\windows\System32\SLCommDlg.dll
2009-01-30 20:04 . 2009-01-30 20:04 425,472 --a------ c:\windows\System32\PhotoMetadataHandler.dll
2009-01-30 20:04 . 2009-01-30 20:04 351,232 --a------ c:\windows\System32\SLUI.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 22:18 --------- d-----w c:\users\****\AppData\Roaming\Skype
2009-02-14 16:35 --------- d-----w c:\users\****\AppData\Roaming\skypePM
2009-02-06 23:57 --------- d---a-w c:\programdata\TEMP
2009-02-03 14:31 --------- d-----w c:\program files\Common Files\InstallShield
2009-02-02 19:36 --------- d-----w c:\programdata\NVIDIA
2009-02-02 19:32 174 --sha-w c:\program files\desktop.ini
2009-02-02 19:28 --------- d-----w c:\program files\Windows Sidebar
2009-02-02 19:28 --------- d-----w c:\program files\Windows Photo Gallery
2009-02-02 19:28 --------- d-----w c:\program files\Windows Mail
2009-02-02 19:28 --------- d-----w c:\program files\Windows Journal
2009-02-02 19:28 --------- d-----w c:\program files\Windows Defender
2009-02-02 19:28 --------- d-----w c:\program files\Windows Collaboration
2009-02-02 19:28 --------- d-----w c:\program files\Windows Calendar
2009-02-02 19:25 79,872 ----a-w c:\windows\System32\axaltocm.dll
2009-02-02 19:25 101,376 ----a-w c:\windows\System32\ifxcardm.dll
2009-02-01 11:42 --------- d-----w c:\program files\MSBuild
2009-01-30 19:13 --------- d-----w c:\program files\Microsoft Games
2009-01-30 19:09 704,000 ----a-w c:\windows\System32\PhotoScreensaver.scr
2009-01-30 19:09 67,584 ----a-w c:\windows\System32\wlanhlp.dll
2009-01-30 19:09 542,720 ----a-w c:\windows\System32\sysmain.dll
2009-01-30 19:09 502,784 ----a-w c:\windows\System32\wlansvc.dll
2009-01-30 19:09 47,104 ----a-w c:\windows\System32\wlanapi.dll
2009-01-30 19:09 428,032 ----a-w c:\windows\System32\EncDec.dll
2009-01-30 19:09 297,984 ----a-w c:\windows\System32\wlansec.dll
2009-01-30 19:09 292,352 ----a-w c:\windows\System32\psisdecd.dll
2009-01-30 19:09 290,816 ----a-w c:\windows\System32\wlanmsm.dll
2009-01-30 19:09 258,232 ----a-w c:\windows\system32\drivers\acpi.sys
2009-01-30 19:09 24,064 ----a-w c:\windows\System32\wtsapi32.dll
2009-01-30 19:09 14,827 ----a-w c:\windows\System32\gatherWirelessInfo.vbs
2009-01-30 19:09 1,244,672 ----a-w c:\windows\System32\mcmde.dll
2009-01-30 19:08 160,872 ----a-w c:\windows\System32\halmacpi.dll
2009-01-30 19:08 134,760 ----a-w c:\windows\System32\halacpi.dll
2009-01-30 19:07 8,147,968 ----a-w c:\windows\System32\wmploc.DLL
2009-01-30 19:07 7,680 ----a-w c:\windows\System32\spwmp.dll
2009-01-30 19:07 45,112 ----a-w c:\windows\system32\drivers\pciidex.sys
2009-01-30 19:07 4,096 ----a-w c:\windows\System32\dxmasf.dll
2009-01-30 19:07 356,864 ----a-w c:\windows\System32\MediaMetadataHandler.dll
2009-01-30 19:07 268,800 ----a-w c:\windows\System32\es.dll
2009-01-30 19:07 211,000 ----a-w c:\windows\system32\drivers\volsnap.sys
2009-01-30 19:07 21,560 ----a-w c:\windows\system32\drivers\atapi.sys
2009-01-30 19:07 154,624 ----a-w c:\windows\system32\drivers\nwifi.sys
2009-01-30 19:07 15,928 ----a-w c:\windows\system32\drivers\pciide.sys
2009-01-30 19:07 109,624 ----a-w c:\windows\system32\drivers\ataport.sys
2009-01-30 19:03 88,576 ----a-w c:\windows\System32\avifil32.dll
2009-01-30 16:03 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-01-30 16:03 --------- d-----w c:\program files\AGEIA Technologies
2009-01-30 14:28 537,600 ----a-w c:\windows\AppPatch\AcLayers.dll
2009-01-30 14:28 449,536 ----a-w c:\windows\AppPatch\AcSpecfc.dll
2009-01-30 14:28 2,560 ----a-w c:\windows\AppPatch\AcRes.dll
2009-01-30 14:28 2,144,256 ----a-w c:\windows\AppPatch\AcGenral.dll
2009-01-30 14:28 173,056 ----a-w c:\windows\AppPatch\AcXtrnal.dll
2009-01-30 13:24 --------- d-----w c:\programdata\Skype
2009-01-15 07:19 958,464 ----a-w c:\windows\System32\nvsvcr.dll
2009-01-15 07:19 4,160 ----a-w c:\windows\system32\drivers\nvBridge.kmd
2009-01-15 07:19 207,392 ----a-w c:\windows\System32\nvvsvc.exe
2009-01-15 07:19 135,168 ----a-w c:\windows\System32\nvcod137.dll
2009-01-15 07:19 1,560,576 ----a-w c:\windows\System32\nvcuda.dll
2009-01-15 07:19 1,347,584 ----a-w c:\windows\System32\nvsvsr.dll
2009-01-15 07:19 1,286,144 ----a-w c:\windows\System32\nvsvs.dll
2009-01-15 04:16 826,368 ----a-w c:\windows\System32\wininet.dll
2009-01-15 04:16 56,320 ----a-w c:\windows\System32\iesetup.dll
2009-01-15 04:16 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll
2009-01-15 04:15 26,624 ----a-w c:\windows\System32\ieUnatt.exe
2008-12-28 22:48 2,330,643 ----a-w c:\windows\System32\x264vfw.dll
2008-12-11 00:33 86,016 ----a-w c:\windows\System32\dpl100.dll
2008-12-10 08:45 70,936 ----a-w c:\windows\System32\PhysXLoader.dll
2008-12-08 11:53 57,344 ----a-w c:\windows\System32\ff_vfw.dll
2008-12-07 18:08 795,648 ----a-w c:\windows\System32\xvidcore.dll
2008-12-07 18:08 130,048 ----a-w c:\windows\System32\xvidvfw.dll
2008-12-04 08:28 24,344 ----a-w c:\windows\System32\PhysXDevice.dll
2008-11-26 07:55 288,024 ----a-w c:\windows\System32\PhysXCplUI.exe
2008-11-25 07:38 288,024 ----a-w c:\windows\System32\PhysXCompatCplUI.exe
2008-04-29 20:19 32 ----a-w c:\users\All Users\ezsid.dat
2008-04-29 20:19 32 ----a-w c:\programdata\ezsid.dat
2006-05-03 10:06 163,328 --sh--r c:\windows\System32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\System32\msfDX.dll
2008-03-16 13:30 216,064 --sh--r c:\windows\System32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-01-30 1232896]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-11-12 21760296]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2006-07-31 1544192]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2008-11-03 2540800]
"UltraMon"="c:\program files\UltraMon\UltraMon.exe" [2007-04-01 299520]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]

c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Miranda Fusion.lnk - c:\program files\MirandaFusion\miranda32.exe [2008-06-01 557652]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.i420"= i420vfw.dll
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKLM\~\startupfolder\C:^Users^****^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-05-16 09:27 153136 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 07:00 33648 c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 c:\program files\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]
-r------- 2006-10-30 13:44 36864 c:\windows\JM\JMInsIDE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-02-08 11:55 148888 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{63797927-DF58-443C-94E4-A8AB35EA6ABE}c:\\program files\\mirandafusion\\miranda32.exe"= UDP:c:\program files\mirandafusion\miranda32.exe:Miranda IM
"UDP Query User{0A4316BF-41D6-4F21-806E-1313203A5D64}c:\\program files\\mirandafusion\\miranda32.exe"= TCP:c:\program files\mirandafusion\miranda32.exe:Miranda IM
"{D0601032-6B79-4CBC-ADAE-AB090EF45093}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{BCDB0CBC-5BFA-47DB-8A63-60DE36D71693}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{E3531A3F-5724-4948-82D6-C21C2C8A7A47}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{FF2E89FA-874C-4DD6-A437-86AD6F051144}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{F16CEF1F-670B-4CBA-8E70-7512CB6E0379}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{4A4F1B19-56D9-49F5-A2A2-B60ED59EA1C8}c:\\program files\\icqlite\\icqlite.exe"= UDP:c:\program files\icqlite\icqlite.exe:ICQLite
"UDP Query User{5C2EB674-C120-45A7-BD09-04E6110B1613}c:\\program files\\icqlite\\icqlite.exe"= TCP:c:\program files\icqlite\icqlite.exe:ICQLite
"TCP Query User{F4334686-CDB3-4C0D-A1A3-B168BC9F5398}c:\\program files\\java\\jre6\\bin\\java.exe"= UDP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{B0516B46-5B98-4153-8B0D-D31966CA18D5}c:\\program files\\java\\jre6\\bin\\java.exe"= TCP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"TCP Query User{0DE27188-F0D7-4F8E-8BDA-0D6CF102E8CC}c:\\windows\\system32\\java.exe"= UDP:c:\windows\system32\java.exe:Java(TM) Platform SE binary
"UDP Query User{D9751B73-05F0-42D7-B3E7-10D438EDFE58}c:\\windows\\system32\\java.exe"= TCP:c:\windows\system32\java.exe:Java(TM) Platform SE binary
"TCP Query User{83D46E36-3083-4731-A091-3CF63D71FF2E}c:\\program files\\hlsw\\hlsw.exe"= UDP:c:\program files\hlsw\hlsw.exe:HLSW Application
"UDP Query User{EFF6570E-3F5F-4F23-9134-7C8A0DF7A262}c:\\program files\\hlsw\\hlsw.exe"= TCP:c:\program files\hlsw\hlsw.exe:HLSW Application
"TCP Query User{E04AB5D0-76C8-4192-9E0B-CB74C9BA6A19}c:\\program files\\progdvb 6.04\\progdvbnet.exe"= UDP:c:\program files\progdvb 6.04\progdvbnet.exe:ProgDvbNet
"UDP Query User{5FB134DF-A08D-4400-9487-5F0862DE72E7}c:\\program files\\progdvb 6.04\\progdvbnet.exe"= TCP:c:\program files\progdvb 6.04\progdvbnet.exe:ProgDvbNet
"{BAD0E97E-F3F3-4D63-9AD6-F6E8C4FC6997}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{2B8AA6DD-C263-4E29-8D04-14BB2C5D9BCA}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R0 hotcore3;hotcore3;c:\windows\System32\drivers\hotcore3.sys [2009-02-03 39472]
R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2009-02-03 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [2009-02-03 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2009-02-03 41217]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-01-30 603904]
S2 TimerStop;TimerStop;c:\windows\System32\TimerStop.sys [2007-02-03 4096]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\System32\drivers\fwlanusb.sys [2008-04-29 264704]

Hier Teil2 meines Logfiles:

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-9-7-81-100016564-100010002-100030442-7835.com m:\
\shell\Open\command - RECYCLER\S-9-7-81-100016564-100010002-100030442-7835.com m:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-9-7-81-100016564-100010002-100030442-7835.com e:\
\shell\Open\command - RECYCLER\S-9-7-81-100016564-100010002-100030442-7835.com e:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01dd082a-3319-11dd-9258-00040efcaf1a}]
\shell\AutoRun\command - k:\.\Programme\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8bff3c8-f15f-11dd-a6a2-001a4d530b84}]
\shell\AutoRun\command - M:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f4c9dbbd-f468-11dd-a7e3-00040efcaf1a}]
\shell\AutoRun\command - k:\.\Programme\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
%SystemRoot%\system32\soundschemes2.exe /AddRegistration
.
Inhalt des "geplante Tasks" Ordners

2009-02-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]

2009-02-14 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-01-10 17:02]

2009-02-14 c:\windows\Tasks\User_Feed_Synchronization-{5EC298BD-EE80-4CB8-A5AB-C4AC964331E4}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 10:45]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService


.
------- Zusätzlicher Suchlauf -------
.
IE: Alles mit FDM herunterladen - file://c:\program files\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\program files\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\program files\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\program files\Free Download Manager\dlfvideo.htm
LSP: avsda.dll
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\czcwwom2.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\czcwwom2.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\program files\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 23:26:00
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-14 23:27:05
ComboFix-quarantined-files.txt 2009-02-14 22:27:04

Vor Suchlauf: 2.464.174.080 Bytes frei
Nach Suchlauf: 2,106,986,496 Bytes frei

377 --- E O F --- 2009-02-14 14:06:15

Dann teile es auf in 2 Hälften.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\System32\TimerStop.sys
         

Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

Alles andere machen wir morgen, bin jetzt zu müde.

Zitat:

Komisch finde ich nur, dass er meinen Wlan Stick nicht mehr erkennen wollte,

Was meinst du mit nicht erkennen? Funktioniert er nicht mehr?

ciao, andreas

Mit dem Wlanstick musste ich etwas rumbasteln bis er wieder funktioniert hat.

Hier der Virustotalbericht:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.14 -
AhnLab-V3 5.0.0.2 2009.02.14 -
AntiVir 7.9.0.79 2009.02.13 -
Authentium 5.1.0.4 2009.02.14 -
Avast 4.8.1335.0 2009.02.14 -
AVG 8.0.0.237 2009.02.14 -
BitDefender 7.2 2009.02.14 -
CAT-QuickHeal 10.00 2009.02.13 -
ClamAV 0.94.1 2009.02.14 -
Comodo 977 2009.02.14 -
DrWeb 4.44.0.09170 2009.02.14 -
eSafe 7.0.17.0 2009.02.12 -
eTrust-Vet 31.6.6358 2009.02.14 -
F-Prot 4.4.4.56 2009.02.14 -
Fortinet 3.117.0.0 2009.02.14 -
GData 19 2009.02.14 -
Ikarus T3.1.1.45.0 2009.02.14 -
K7AntiVirus 7.10.630 2009.02.14 -
Kaspersky 7.0.0.125 2009.02.14 -
McAfee 5526 2009.02.14 -
McAfee+Artemis 5526 2009.02.14 -
Microsoft 1.4306 2009.02.14 -
NOD32 3853 2009.02.14 -
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.14 -
Panda 10.0.0.10 2009.02.14 -
PCTools 4.4.2.0 2009.02.14 -
Prevx1 V2 2009.02.15 -
Rising 21.16.52.00 2009.02.14 -
SecureWeb-Gateway 6.7.6 2009.02.14 -
Sophos 4.38.0 2009.02.14 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.15 -
TheHacker 6.3.2.1.256 2009.02.14 -
TrendMicro 8.700.0.1004 2009.02.14 -
VBA32 3.12.8.12 2009.02.14 -
ViRobot 2009.2.14.1607 2009.02.14 -
VirusBuster 4.5.11.0 2009.02.14 -
weitere Informationen
File size: 4096 bytes
MD5...: f20f2452f48c6df26ea997cb1e4cfe9f
SHA1..: 85af41179e4798484300e149c6cc1add46f6ff04
SHA256: 8cac77e34090cd400e66c6fd54abdda19fdba6833eff4ac57d0cde4640dca7f1
SHA512: aed976695c9612fb1752e4060db63d424ec6ff2a6844ed4d7b9425c8fb5eca39
51c36a030de30438e173b6efde59d94a9dfff77785d21befb754a7c263d6b5aa
ssdeep: 24:etGSuhuGZuaSFyOIlLWxpVOyyIGO/xyqvwW4JALJWhhSuQC+uouhhK9dWvYa0
iyl:63GZu/uLDyyIRvwfuLJ+VQ0K/3a0ikS
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4005
timedatestamp.....: 0x4586fb6c (Mon Dec 18 20:34:52 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b3 0x400 4.76 5a603f0242343be9b98ea843f6aef025
.rdata 0x2000 0xa3 0x200 1.82 bf9c23d7dc1c4d284df917b08e6c5da1
.data 0x3000 0x8 0x200 0.16 0b2e7741e0c0fc65af1542e370d89f53
INIT 0x4000 0x192 0x200 4.24 5ffe6f9fb287dd96b5ac6969144e4dbe
.reloc 0x5000 0x62 0x200 0.79 615731734248454297490d02de86b996

( 2 imports )
> ntoskrnl.exe: DbgPrint, ExFreePoolWithTag, _stricmp, KeInitializeTimer, NtQuerySystemInformation, memset, KeTickCount, KeSetTimer, ExAllocatePool, KeCancelTimer
> HAL.dll: KfLowerIrql, KfRaiseIrql

( 0 exports )

Da sind noch einige Sachen, die mit Script geradegebüget werden müssen, aber du solltest wieder auf alle Laufwerke zugreifen können. Den Rest machen wir morgen.

Gute Nacht, andreas

Noch einige Sachen? Da lass ich mich mal überraschen^^
Dann bis morgen und danke für die schnelle Hilfe.

Hast du mehr als ein Betriebssystem auf dem Rechner installiert?

1.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Die **** durch deinen Anmeldenamen ersetzen und in ComboFix-Logs bitte nichts ändern, nur in HJT-Logs.
***
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

2.) Lies aufmerksam alles durch und arbeite die Liste ab:
http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Dämliche Software. Benutze nicht das obige Script, sondern dieses hier:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

Dirlook::
C:\$RECYCLE.BIN
C:\Downloads
c:\users\****\.borland
C:\Temp

Filelook::
C:\grldr
         

Sorry, die Forensoftware haut immer Leerzeichen rein.

ciao, andreas

Zitat:

Zitat von john.doe

Hast du mehr als ein Betriebssystem auf dem Rechner installiert?

Ja hab ich. Den Virus hatte ich schon unter XP deswegen hatte ich zu Vista gewechselt. Anfangs war alles ok, bis ich dann die Laufwerksbuchstaben geändert hatte...

Soll ich das Skript trotzdem ausführen?

Und ich hab meine Bedenken mit der grldr datei(->wichtige bootdatei?) un dem .Borland Ordner(-> is von Delphi), müssen die unbedingt gelöscht werden oder heißt der Befehl "killall" was anderes?!

Zitat:

Soll ich das Skript trotzdem ausführen?

Ja. Allerdings das zweite.

Zitat:

Und ich hab meine Bedenken mit der grldr datei(->wichtige bootdatei?)

Keine Angst, auch wenn jemand vom Kompetenzteam das Gegenteilige behauptet, noch habe ich keinen Rechner geschrottet.

Mit dem Befehl Dirlook lasse ich mir bestimmte Ordner anzeigen, mit dem Befehl Filelook bekomme ich mehr Informationen zu bestimmten Dateien. Schau hier: combofix scripts

Tatsächlich gelöscht werden nur zwei Einträge in der Registry, die vom Schädling erzeugt wurden.

ciao, andreas

p.s.: Die Datei grldr deutet auf Grub hin, die wird üblicherweise bei Linux benutzt, könnte aber auch ein Schädling sein, deshalb lasse ich mir die Infos anzeigen.