Falsche Weiterleitung bei Google

gleni25 · 10.03.2009, 20:09

Log.txt Teil2

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{140BD8E3-C167-11D4-B4A3-080000180323}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-03 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]
PDFCreator Toolbar Helper - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-01-25 806912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-03 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-03 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - PDFCreator Toolbar - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll [2008-01-25 806912]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2004-02-10 155648]
"HotKeysCmds"=C:\WINDOWS\System32\hkcmd.exe [2004-02-10 118784]
"PRONoMgr.exe"=c:\Programme\Intel\NCS\PROSet\PRONoMgr.exe [2002-10-23 86016]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-09 153136]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-03 136600]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MsnMsgr"=C:\Programme\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [2007-03-12 153136]
"spyprodetector"=C:\Programme\Spyware Process Detector\spydetector.exe TRAY []
"Arcor Online"=C:\PROGRA~1\ARCORO~1\Arcor.exe [2007-04-12 535544]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]
C:\Programme\BitComet\BitComet.exe /tray []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Programme\DAEMON Tools Lite\daemon.exe [2008-04-01 486856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Programme\ICQ6\ICQ.exe silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2008-02-15 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Steam\Steam.exe -silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre6\bin\jusched.exe [2009-01-03 136600]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
C:\Programme\Norton Internet Security\UrlLstCk.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE -quiet []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
C:\PROGRA~1\OPENOF~1.3\program\QUICKS~1.EXE []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3
"Boonty Games"=3

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE
Wireless Connection Manager.lnk - C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-09-29 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2004-02-10 339968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=91000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"E:\fsetup.exe"="E:\fsetup.exe:*:Enabled:AVM FSetup Application"
"C:\Programme\uTorrent\utorrent.exe"="C:\Programme\uTorrent\utorrent.exe:*:Enabled:µTorrent"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}]
shell\AutoRun\command - F:\pushinst.exe

======List of files/folders created in the last 1 months======

2009-03-10 19:58:51 ----D---- C:\rsit
2009-03-10 18:16:21 ----D---- C:\Programme\Trend Micro
2009-03-10 18:06:30 ----D---- C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Malwarebytes
2009-03-10 18:06:22 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-03-10 18:06:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-10 10:46:28 ----A---- C:\WINDOWS\system32\kmsvc32.dll
2009-02-25 10:53:47 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-02-19 17:20:58 ----D---- C:\WINDOWS\SxsCaPendDel
2009-02-19 15:23:44 ----D---- C:\Programme\Paint.NET
2009-02-19 15:22:34 ----N---- C:\WINDOWS\system32\spmsg2.dll
2009-02-19 15:22:26 ----HDC---- C:\WINDOWS\$NtUninstallXPSEPSCLP$
2009-02-19 15:15:30 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2009-02-19 15:15:30 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2009-02-19 15:15:30 ----N---- C:\WINDOWS\system32\prntvpt.dll
2009-02-19 15:14:00 ----RSD---- C:\WINDOWS\assembly
2009-02-19 15:12:36 ----D---- C:\WINDOWS\Microsoft.NET
2009-02-19 14:01:59 ----A---- C:\WINDOWS\system32\ESFinish.exe
2009-02-19 13:49:15 ----D---- C:\Programme\MeeSoft
2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\pywintypes25.dll
2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\pythoncom25.dll
2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\python25.dll
2009-02-14 09:00:49 ----HDC---- C:\WINDOWS\$NtUninstallKB960715$

======List of files/folders modified in the last 1 months======

2009-03-10 19:21:59 ----D---- C:\Programme\Mozilla Firefox
2009-03-10 19:21:11 ----D---- C:\WINDOWS\Temp
2009-03-10 19:19:15 ----D---- C:\WINDOWS\system32\drivers
2009-03-10 19:19:15 ----D---- C:\WINDOWS\system32
2009-03-10 19:19:15 ----D---- C:\WINDOWS
2009-03-10 19:18:36 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-03-10 19:18:10 ----D---- C:\WINDOWS\Prefetch
2009-03-10 19:17:45 ----RD---- C:\Programme
2009-03-10 19:14:50 ----A---- C:\WINDOWS\NeroDigital.ini
2009-03-10 15:45:00 ----HD---- C:\Programme\InstallShield Installation Information
2009-03-10 15:43:48 ----A---- C:\WINDOWS\win.ini
2009-03-10 12:54:01 ----D---- C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Azureus
2009-03-09 18:22:39 ----HD---- C:\WINDOWS\inf
2009-03-09 18:22:39 ----D---- C:\Programme\Windows Live Safety Center
2009-03-09 17:01:42 ----D---- C:\WINDOWS\system32\CatRoot2
2009-03-05 14:11:18 ----D---- C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Macromedia
2009-03-03 18:21:59 ----SHD---- C:\WINDOWS\Installer
2009-03-03 18:17:43 ----D---- C:\WINDOWS\system32\DirectX
2009-02-25 10:53:50 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-02-25 10:51:27 ----HD---- C:\WINDOWS\$hf_mig$
2009-02-20 21:06:04 ----D---- C:\WINDOWS\network diagnostic
2009-02-19 17:20:08 ----D---- C:\WINDOWS\system32\mui
2009-02-19 17:19:47 ----D---- C:\WINDOWS\WinSxS
2009-02-19 16:24:14 ----A---- C:\WINDOWS\imsins.BAK
2009-02-19 16:23:27 ----RSD---- C:\WINDOWS\Fonts
2009-02-19 16:22:14 ----D---- C:\WINDOWS\system32\de-de
2009-02-19 15:19:04 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-02-19 15:16:28 ----D---- C:\WINDOWS\system32\spool
2009-02-19 14:01:58 ----D---- C:\Program Files
2009-02-16 19:22:59 ----D---- C:\Programme\MSN Messenger
2009-02-16 15:34:50 ----A---- C:\WINDOWS\system32\msvcr71.dll
2009-02-15 17:45:44 ----D---- C:\Programme\a-squared Anti-Malware
2009-02-14 09:00:35 ----D---- C:\WINDOWS\system32\CatRoot
2009-02-14 09:00:02 ----D---- C:\Programme\Internet Explorer
2009-02-12 05:56:17 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2007-03-22 43584]
R1 hwinterface;hwinterface; C:\WINDOWS\System32\Drivers\hwinterface.sys [2008-03-06 3026]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 mchInjDrv;madCodeHook DLL injection driver; \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-03-05 28352]
R2 acedrv10;acedrv10; \??\C:\WINDOWS\system32\drivers\acedrv10.sys []
R2 acedrv11;acedrv11; \??\C:\WINDOWS\system32\drivers\acedrv11.sys []
R2 acehlp10;acehlp10; \??\C:\WINDOWS\system32\drivers\acehlp10.sys []
R3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256]
R3 Afc;PPdus ASPI Shell; C:\WINDOWS\system32\drivers\Afc.sys [2006-11-10 18688]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-09-29 2456064]
R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2002-09-25 140800]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB Root Hub (usbport); C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 WSIMD;wsimd Service; C:\WINDOWS\system32\DRIVERS\wsimd.sys [2006-07-20 54432]
S2 spydetector;spydetector; \??\C:\Programme\Spyware Process Detector\spydetector.sys []
S3 AR5416;D-Link RangeBooster N Service; C:\WINDOWS\system32\DRIVERS\ar5416.sys [2006-09-25 1037088]
S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 4352]
S3 azb1pmk8;azb1pmk8; C:\WINDOWS\system32\drivers\azb1pmk8.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 265088]
S3 ialm;ialm; C:\WINDOWS\System32\DRIVERS\ialmnt5.sys [2004-02-10 681469]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber; C:\WINDOWS\System32\DRIVERS\n100325.sys [2001-08-18 130048]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NAL;Nal Service ; \??\C:\WINDOWS\System32\Drivers\iqvw32.sys []
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber; C:\WINDOWS\System32\DRIVERS\NetWlan5.sys [2004-08-03 132695]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
S3 PAC207;SoC PC-Camera; C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-04-08 162176]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 StkAMini;Syntek STK1160; C:\WINDOWS\System32\Drivers\StkAMini.sys [2006-11-15 242139]
S3 StkScan;Syntek STK1160 Still Image; C:\WINDOWS\System32\Drivers\StkScan.sys [2006-06-27 4772]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 ACS;Atheros Configuration Service; C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe [2006-08-25 360532]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-09-29 483328]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-03 152984]
R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-02-25 303104]
R2 StkASSrv;Syntek STK1160 Service; C:\WINDOWS\System32\StkASv2K.exe [2006-05-24 24576]
R3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-09-28 593920]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe []
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824]
S3 NetSvc;Intel NCS NetService; c:\Programme\Intel\NCS\Sync\NetSvc.exe [2002-09-27 139264]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 Boonty Games;Boonty Games; C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe [2008-04-23 69120]
S4 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe []

-----------------EOF-----------------

gleni25 · 10.03.2009, 20:10

info.txt

info.txt logfile of random's system information tool 1.05 2009-03-10 19:59:00

======Uninstall list======

-->C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
ANSTOSS 2-->C:\WINDOWS\unin0407.exe -fd:\Anstoss\DeIsL1.isu -cd:\Anstoss\_ISREG32.DLL
ArtMoney SE v7.27-->"C:\Programme\ArtMoney\Uninstall\unins000.exe"
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class

ISPLAY -clean
Avira RootKit Detection-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FD25FCD-6F39-4686-AFBB-7056EBAE5E68}\setup.exe" -l0x9
Azureus-->C:\Programme\Azureus\Uninstall.exe
Compaq Monitor Driver (INF) Software 3.00-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F3B007A-2393-11D5-8F18-00D0B740B228}\Setup.exe" -l0x9
Deinstallation der Arcor Online Software-->"C:\Programme\ArcorOnline\unins000.exe"
D-Link RangeBooster N 650 DWA-547-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F6F39E3-D24D-4EEE-9AEA-DEDAF991385D}\setup.exe" -l0x7 -removeonly
Emu64 3.40-->"C:\Programme\Emu64\unins000.exe"
Euro Truck Simulator 1.00-->D:\Euro Truck Simulator\uninst.exe
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Handball Manager 2008 1.1 -->C:\WINDOWS\uninstall\Handball Manager 2008\setup.exe
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HotelmanagerV20-->C:\WINDOWS\ST5UNST.EXE -n "C:\Programme\HotelmanagerV20\ST5UNST.LOG"
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ImgBurn-->"C:\Programme\ImgBurn\uninstall.exe"
Intel(R) Extreme Graphics Driver-->RUNDLL32.EXE C:\WINDOWS\System32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2562
Intel(R) PRO Network Adapters and Drivers-->Prounstl.exe
Intel(R) PROSet-->MsiExec.exe /I{EF4EF65F-4D62-44D7-82C9-1AECCBA74C50}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Lexmark Z600 Series-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXBCUN5C.EXE -dLexmark Z600 Series
LiveReg (Symantec Corporation)-->C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VcSetup.exe /REMOVE
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 7 Ultra Edition-->MsiExec.exe /I{43FFE159-3199-4188-A1CD-629166AD1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Norton AntiSpam-->MsiExec.exe /I{3B29A786-5803-4e9e-9B58-3014A5B4E519}
Norton AntiSpam-->MsiExec.exe /I{5677563D-0CB1-485f-9E18-C5025306BB3F}
Norton Internet Security-->MsiExec.exe /I{449F3A9E-9903-4a0d-A209-08030D45A935}
Norton Internet Security-->MsiExec.exe /I{A93C9E60-29B6-49da-BA21-F70AC6AADE20}
PC Camera E-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{5ACAFB32-6336-4304-9766-B233ACEC0A8F}
PDC World Championship Darts 2008-->MsiExec.exe /X{5116EA76-6BBC-4450-B810-AFA8C7982003}
PDFCreator Toolbar-->"C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_4500.exe" _?=C:\Programme\PDFCreator Toolbar
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
ProtectDisc Driver, Version 11-->C:\Programme\ProtectDisc Driver Installer\uninstall_v11.exe
ProtectDisc Helper Driver 10-->C:\Programme\ProtectDisc Driver Installer\uninstall_v10.exe
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Encoder (KB954156)-->"C:\WINDOWS\$NtUninstallKB954156_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
SmartSound Quicktracks Plugin-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6c-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Live Messenger-->MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Media Encoder 9-Reihe-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Encoder 9-Reihe-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Hosts File======

127.0.0.1 localhost

System event log

Computer Name: DIANA
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.

Record Number: 38808
Source Name: Service Control Manager
Time Written: 20090219162222.000000+060
Event Type: Fehler
User:

Computer Name: DIANA
Event Code: 7036
Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet".

Record Number: 38807
Source Name: Service Control Manager
Time Written: 20090219162222.000000+060
Event Type: Informationen
User:

Computer Name: DIANA
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet.

Record Number: 38806
Source Name: Service Control Manager
Time Written: 20090219162222.000000+060
Event Type: Informationen
User: DIANA\Baby

Computer Name: DIANA
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.

Record Number: 38805
Source Name: Service Control Manager
Time Written: 20090219162222.000000+060
Event Type: Fehler
User:

Computer Name: DIANA
Event Code: 7036
Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet".

Record Number: 38804
Source Name: Service Control Manager
Time Written: 20090219162222.000000+060
Event Type: Informationen
User:

Application event log

Computer Name: DIANA
Event Code: 100
Message: MsnMsgr (1268) Das Datenbankmodul 5.01.2600.5512 ist gestartet.

Record Number: 11859
Source Name: ESENT
Time Written: 20090116170611.000000+060
Event Type: Informationen
User:

Computer Name: DIANA
Event Code: 101
Message: MsnMsgr (1268) Das Datenbankmodul wurde beendet.

Record Number: 11858
Source Name: ESENT
Time Written: 20090116170555.000000+060
Event Type: Informationen
User:

Computer Name: DIANA
Event Code: 103
Message: MsnMsgr (1268) \\.\C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\kleene.blume@hotmail.de\SharingMetadata\Working\database_C4_FFA4_C4FF_99DC\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet.

Record Number: 11857
Source Name: ESENT
Time Written: 20090116170555.000000+060
Event Type: Informationen
User:

Computer Name: DIANA
Event Code: 102
Message: MsnMsgr (1268) \\.\C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\kleene.blume@hotmail.de\SharingMetadata\Working\database_C4_FFA4_C4FF_99DC\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 11856
Source Name: ESENT
Time Written: 20090116142335.000000+060
Event Type: Informationen
User:

Computer Name: DIANA
Event Code: 100
Message: MsnMsgr (1268) Das Datenbankmodul 5.01.2600.5512 ist gestartet.

Record Number: 11855
Source Name: ESENT
Time Written: 20090116142335.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0207
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

schrauber · 10.03.2009, 20:11

Zitat:

Zitat von a5cl3p1o5

@schrauber: lass den Mist!

oh mann, noch keine 20 posts voll und schon wieder beliebt gemacht

. ich will doch nur was schauen

.

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

a5cl3p1o5 · 10.03.2009, 20:12

Nur mal so ein Vorgeschmack, was überprüft werden müsste:

z.B wo können Programme automatisch geladen werden?

Win.ini
Winboot.ini
Autostart-Ordner
System.ini
autoexec.bat
Msdos.sys
Config.sys
Winboot.ini
Winstart.bat
Wininit.ini
Registry
und, und, und ....

Dazu sämtlich Netzwerkeinstellungen, Firewall, Internetprotokolle ...
Oder wurde eine Datei, welche sonst ausgeführt wird, manipuliert ...

Wie soll das je sicher werden?

gleni25 · 10.03.2009, 20:32

ComboFix 09-03-06.02 - Baby 2009-03-10 20:22:21.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.602 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games

((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 ))))))))))))))))))))))))))))))
.

2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner
2009-03-10 19:58 . 2009-03-10 19:59 <DIR> d-------- C:\rsit
2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro
2009-03-10 18:06 . 2009-03-10 18:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-10 18:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-03-10 15:03 . 2009-03-10 15:03 0 --a------ c:\windows\system32\nfr.gpref
2009-03-10 15:02 . 2009-03-10 15:02 0 --a------ c:\windows\system32\nfr.assembly
2009-03-10 12:51 . 2009-03-10 12:51 1 ---h----- c:\windows\t55ft3518f44.dat
2009-03-10 12:51 . 2009-03-10 12:51 1 --a------ c:\windows\9gdfgjf23
2009-03-10 10:46 . 2009-03-10 10:46 44,032 --a------ c:\windows\system32\inform.dat
2009-03-10 10:46 . 2009-03-10 10:46 33,280 --a------ c:\windows\system32\kmsvc32.dll
2009-03-10 10:46 . 2009-03-10 10:46 102 --a------ c:\windows\system32\wh
2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for
2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET
2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe
2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft
2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi
2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll
2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip
2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll
2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-10 14:45 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus
2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center
2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger
2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware
2009-02-15 06:30 2,560 ----a-w c:\windows\system32\drivers\mchInjDrv.sys
2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline
2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney
2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3 (0x3)
"Boonty Games"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13197:TCP"= 13197:TCP:BitComet 13197 TCP
"13197:UDP"= 13197:UDP:BitComet 13197 UDP
"80:TCP"= 80:TCP:dll32
"7171:TCP"= 7171:TCP:dll32

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026]
R1 mchInjDrv;madCodeHook DLL injection driver;c:\windows\system32\drivers\mchInjDrv.sys [2008-08-30 2560]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432]
S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088]
S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048]
S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695]
S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}]
\Shell\AutoRun\command - F:\pushinst.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
MSConfigStartUp-BitComet - c:\programme\BitComet\BitComet.exe
MSConfigStartUp-ICQ - c:\programme\ICQ6\ICQ.exe
MSConfigStartUp-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-Steam - c:\programme\Steam\Steam.exe
MSConfigStartUp-URLLSTCK - c:\programme\Norton Internet Security\UrlLstCk.exe
MSConfigStartUp-Yahoo! Pager - c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\
FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=
FF - prefs.js: network.proxy.type - 1

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: browser.history_expire_days - 5
FF - user.js: browser.history_expire_days_min - 5
FF - user.js: browser.history_expire_sites - 40000
FF - user.js: dom.storage.enabled - true
FF - user.js: privacy.sanitize.sanitizeOnShutdown - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: privacy.item.offlineApps - true
FF - user.js: browser.safebrowsing.malware.enabled - true
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: network.http.pipelining - true
FF - user.js: network.prefetch-next - true
FF - user.js: config.trim_on_minimize - false
FF - user.js: browser.sessionhistory.max_total_viewers - -1
FF - user.js: browser.cache.memory.capacity - 18432
FF - user.js: browser.cache.disk.capacity - 10000
FF - user.js: browser.cache.offline.capacity - 25000
FF - user.js: browser.sessionstore.interval - 10000000
FF - user.js: browser.sessionstore.max_tabs_undo - 10
FF - user.js: browser.urlbar.maxRichResults - 12
FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.fixup.alternate.suffix - .de
FF - user.js: browser.urlbar.doubleClickSelectsAll - true
FF - user.js: browser.urlbar.clickSelectsAll - false
FF - user.js: browser.zoom.siteSpecific - true
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.loadDivertedInBackground - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.download.manager.useWindow - true
FF - user.js: browser.download.manager.retention - 1
FF - user.js: browser.download.manager.closeWhenDone - true
FF - user.js: extensions.checkCompatibility - true
FF - user.js: extensions.hideInstallButton - false
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-10 20:27:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(448)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe
c:\windows\system32\LEXPPS.EXE
c:\progra~1\ARCORO~1\AOButler.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\StkASv2K.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-10 20:30:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-10 19:30:43

Vor Suchlauf: 5.550.862.336 Bytes frei
Nach Suchlauf: 9,224,093,696 Bytes frei

226 --- E O F --- 2009-02-25 09:53:54

a5cl3p1o5 · 10.03.2009, 20:41

Code:

ATTFilter

2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner
2009-03-10 19:58 . 2009-03-10 19:59 <DIR> d-------- C:\rsit
2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro
2009-03-10 18:06 . 2009-03-10 18:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-10 18:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-03-10 15:03 . 2009-03-10 15:03 0 --a------ c:\windows\system32\nfr.gpref
2009-03-10 15:02 . 2009-03-10 15:02 0 --a------ c:\windows\system32\nfr.assembly
2009-03-10 12:51 . 2009-03-10 12:51 1 ---h----- c:\windows\t55ft3518f44.dat
2009-03-10 12:51 . 2009-03-10 12:51 1 --a------ c:\windows\9gdfgjf23
2009-03-10 10:46 . 2009-03-10 10:46 44,032 --a------ c:\windows\system32\inform.dat

In dem kurzen Abschnitt sind schon min. zwei verschiedene Viren. Das macht doch kein Sinn!

schrauber · 10.03.2009, 20:45

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

KILLALL::

File::
c:\windows\system32\nfr.gpref
c:\windows\system32\nfr.assembly
c:\windows\t55ft3518f44.dat
c:\windows\9gdfgjf23
c:\windows\system32\drivers\mchInjDrv.sys
Driver::
mchInjDrv

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

======

malwarebytes nochmal laufen lassen, komplettscan, log posten.

a5cl3p1o5 · 10.03.2009, 20:56

Was ist mit dem Virus, welcher diese Dateien erstellt?

Code:

ATTFilter

c:\windows\system32\wh
c:\windows\system32\kmsvc32.dll

gleni25 · 10.03.2009, 20:56

ComboFix 09-03-06.02 - Baby 2009-03-10 20:48:19.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.661 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Baby\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\9gdfgjf23
c:\windows\system32\drivers\mchInjDrv.sys
c:\windows\system32\nfr.assembly
c:\windows\system32\nfr.gpref
c:\windows\t55ft3518f44.dat
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\9gdfgjf23
c:\windows\system32\drivers\mchInjDrv.sys
c:\windows\system32\nfr.assembly
c:\windows\system32\nfr.gpref
c:\windows\t55ft3518f44.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MCHINJDRV
-------\Service_mchInjDrv

((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 ))))))))))))))))))))))))))))))
.

2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner
2009-03-10 19:58 . 2009-03-10 19:59 <DIR> d-------- C:\rsit
2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro
2009-03-10 18:06 . 2009-03-10 18:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-10 18:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-03-10 10:46 . 2009-03-10 10:46 44,032 --a------ c:\windows\system32\inform.dat
2009-03-10 10:46 . 2009-03-10 10:46 33,280 --a------ c:\windows\system32\kmsvc32.dll
2009-03-10 10:46 . 2009-03-10 10:46 102 --a------ c:\windows\system32\wh
2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for
2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET
2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe
2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft
2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi
2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll
2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip
2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll
2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-10 14:45 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus
2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center
2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger
2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware
2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline
2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney
2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-10_20.29.28.60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-10 19:52:18 16,384 ----atw c:\windows\temp\Perflib_Perfdata_74c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3 (0x3)
"Boonty Games"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13197:TCP"= 13197:TCP:BitComet 13197 TCP
"13197:UDP"= 13197:UDP:BitComet 13197 UDP
"80:TCP"= 80:TCP:dll32
"7171:TCP"= 7171:TCP:dll32

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432]
S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088]
S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048]
S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695]
S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}]
\Shell\AutoRun\command - F:\pushinst.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\
FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=
FF - prefs.js: network.proxy.type - 1

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: browser.history_expire_days - 5
FF - user.js: browser.history_expire_days_min - 5
FF - user.js: browser.history_expire_sites - 40000
FF - user.js: dom.storage.enabled - true
FF - user.js: privacy.sanitize.sanitizeOnShutdown - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: privacy.item.offlineApps - true
FF - user.js: browser.safebrowsing.malware.enabled - true
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: network.http.pipelining - true
FF - user.js: network.prefetch-next - true
FF - user.js: config.trim_on_minimize - false
FF - user.js: browser.sessionhistory.max_total_viewers - -1
FF - user.js: browser.cache.memory.capacity - 18432
FF - user.js: browser.cache.disk.capacity - 10000
FF - user.js: browser.cache.offline.capacity - 25000
FF - user.js: browser.sessionstore.interval - 10000000
FF - user.js: browser.sessionstore.max_tabs_undo - 10
FF - user.js: browser.urlbar.maxRichResults - 12
FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.fixup.alternate.suffix - .de
FF - user.js: browser.urlbar.doubleClickSelectsAll - true
FF - user.js: browser.urlbar.clickSelectsAll - false
FF - user.js: browser.zoom.siteSpecific - true
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.loadDivertedInBackground - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.download.manager.useWindow - true
FF - user.js: browser.download.manager.retention - 1
FF - user.js: browser.download.manager.closeWhenDone - true
FF - user.js: extensions.checkCompatibility - true
FF - user.js: extensions.hideInstallButton - false
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-10 20:52:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe
c:\windows\system32\LEXPPS.EXE
c:\progra~1\ARCORO~1\AOButler.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\StkASv2K.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-10 20:55:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-10 19:55:34
ComboFix2.txt 2009-03-10 19:30:51

Vor Suchlauf: 9.196.396.544 Bytes frei
Nach Suchlauf: 9,185,079,296 Bytes frei

229 --- E O F --- 2009-02-25 09:53:54

a5cl3p1o5 · 10.03.2009, 21:01

Die sollte auch noch weg

Code:

ATTFilter

c:\windows\system32\inform.dat

schrauber · 10.03.2009, 21:08

ich weiß

.

die könnten sich auch mal abgewöhnen alles zur selben uhrzeit zu erstellen, das fällt auf

gleni25 · 10.03.2009, 21:10

Danke für deine supi hilfe was muß ich jetzt noch tun????

Lg

schrauber · 10.03.2009, 21:19

hatte doch noch was dabeigeschrieben, aber wenn das noch nicht läuft dann mach das zuerst:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

File::
c:\windows\system32\inform.dat
c:\windows\system32\wh
c:\windows\system32\kmsvc32.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

==============

Malwarebytes updaten, komplettscan machen, log posten

==============

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

a5cl3p1o5 · 10.03.2009, 21:30

noch eine Unterstützung

Zitat:

c:\windows\system32\dllcache\printfilterpipelinesv c.exe

und deswegen sollte auch nach Kaspersky (falls dabei nichts gefunden wird) die c:\windows\svchost.exe überprüft werden (evtl. über Hash).

schrauber · 10.03.2009, 21:32

bis jetzt bin ich mit Neuaufsetzen mit dir einer meinung, ich erwarte alllerdings nen ganz anderen fund, will nur was kontrollieren

10.03.2009, 21:08	#26
schrauber /// the machine /// TB-Ausbilder	Falsche Weiterleitung bei Google ich weiß . die könnten sich auch mal abgewöhnen alles zur selben uhrzeit zu erstellen, das fällt auf

10.03.2009, 21:32	#30
schrauber /// the machine /// TB-Ausbilder	Falsche Weiterleitung bei Google bis jetzt bin ich mit Neuaufsetzen mit dir einer meinung, ich erwarte alllerdings nen ganz anderen fund, will nur was kontrollieren

Falsche Weiterleitung bei Google

Log-Analyse und Auswertung: Falsche Weiterleitung bei Google