"windowsclick" - iexplorer, firefox, google spinnen

sikitoni · 12.03.2009, 16:28

Hallo liebes Team,

ich habe auch das bekannte Problem mit "windowsclick". Meine Browser (firefox, iexplorer) spinnen, etc.
Habe versucht einen gaengigen Prozess fuer neue Beitraege durchzugehen (malwarebytes, combofix, hijack, etc.), aber mein PC verhindert eine Installation dieser Programme. Lediglich hat HijackThis funktioniert und mir eine Logfile ausgespuckt (siehe unten).
DrWeb Live CD habe ich durchlaufen (5 Probleme entdeckt)...was er mit denen gemacht hat, weiss ich nicht. Kaspersky hat "multi.packed" entdeckt, geloescht, aber das Problem besteht weiterhin...

Kann mir jmd. helfen? Vielen Dank im Voraus...

Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:04, on 12.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\msg32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
C:\Programme\Tenda\TWL541U\Mrv8000x.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\ANTI VIRUS\hijack\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Neteller Shared Browser Helper Object - {EBCCB1E4-D1A3-449D-AB04-35427860563D} - C:\Programme\NETELLER Desktop\BhoNet+.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [QUAD Windows service] C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe -h
O4 - HKCU\..\Run: [QUAD Scheduler] C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Tenda TWL541U.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: An vorhandenes PDF anf¸gen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verkn¸pfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8778 bytes

Chris4You · 13.03.2009, 15:20

Hi,

da hast Du Dir ja was nettes angelacht...

Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherhei...s/news/149200/

-oder-

G Data, Größe ca. 110 MB:
http://www.gdata.de/typo3conf/ext/da....php?docID=826
Runterladen und dann auf CD brennen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA)....

chris
Ps.: By the way, bitte folgendes prüfen:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.
Das gleiche für den Treiber UACd.sys (z. B.: UACjkrpwvvu.dll etc.)
Bitte melden ob gefunden und was gefunden (jaja, die netten kleinen Rootkits...)

sikitoni · 14.03.2009, 09:21

Das Problem scheint nach Anwendung saemtlicher Virusprogramme behoben zu sein:

Dr. Web
Combofix (erst nach Umbennung der Datei installierbar)
Malwarebytes (erst nach Umbennung der Datei installierbar)
Knoppix
Antivir
AVG
SDFix
AdAware
Spybot
Super Anti Spyware (erst nach Umbennung der Datei installierbar)
HiJackThis

Zumindest funktionieren die Browser wieder. Wie kann ich mir sicher sein, dass das Problem wirklich geloest ist?

Vielen Dank!

sikitoni · 14.03.2009, 10:54

Zitat:

Zitat von sikitoni

Das Problem scheint nach Anwendung saemtlicher Virusprogramme behoben zu sein:

Dr. Web
Combofix (erst nach Umbennung der Datei installierbar)
Malwarebytes (erst nach Umbennung der Datei installierbar)
Knoppix
Antivir
AVG
SDFix
AdAware
Spybot
Super Anti Spyware (erst nach Umbennung der Datei installierbar)
HiJackThis

Zumindest funktionieren die Browser wieder. Wie kann ich mir sicher sein, dass das Problem wirklich geloest ist?

Vielen Dank!

Habe hier nochmal den Combofix-Report. Ich bin mir leider nicht 100%ig sicher, dass ich das Problem geloest habe. Vielleicht gibt der Report Aufschluss?:

ComboFix 09-03-13.02 - Administrator 2009-03-14 10:39:59.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1539 [GMT 1:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\Administrator\Desktop\ANTI VIRUS\ComboFixumb.exe
AV: AVG 7.5.557 *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-13 23:05 . 2009-03-13 23:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-03-13 22:49 . 2009-03-13 22:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-13 22:48 . 2009-03-13 22:49 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-13 22:48 . 2009-03-13 22:48 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-13 22:48 . 2009-03-13 22:48 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-13 22:16 . 2009-03-13 22:16 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-13 22:16 . 2009-03-13 22:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-13 22:16 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-13 22:16 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-13 21:45 . 2009-03-13 21:45 <DIR> d-------- c:\windows\ERUNT
2009-03-13 03:13 . 2009-03-13 03:13 <DIR> d-------- c:\programme\Avira
2009-03-13 03:13 . 2009-03-13 03:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-12 20:01 . 2009-03-12 18:39 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-03-12 18:39 . 2009-03-12 18:39 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-03-12 18:38 . 2009-03-14 09:00 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-12 18:38 . 2009-03-13 23:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-12 18:36 . 2009-03-12 18:36 <DIR> d-------- c:\programme\Lavasoft
2009-03-12 18:36 . 2009-03-12 18:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-12 18:36 . 2009-03-12 18:36 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-03-11 16:25 . 2009-03-11 16:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-08 20:22 . 2001-08-18 11:00 4,224 --a------ c:\windows\system32\drivers\beep.sys
2009-03-08 20:22 . 2001-08-18 11:00 4,224 --a--c--- c:\windows\system32\dllcache\beep.sys
2009-03-08 20:20 . 2009-03-13 22:03 1,896,749 --a------ c:\windows\system32\uactmp.db
2009-03-08 04:32 . 2009-03-08 04:32 <DIR> d-------- c:\programme\S.A.D
2009-03-08 04:32 . 2008-01-30 01:41 25,216 --a------ c:\windows\system32\drivers\tap0901.sys
2009-03-08 04:23 . 2009-03-08 04:23 <DIR> d-------- c:\windows\system32\XPSViewer
2009-03-08 04:23 . 2009-03-08 04:23 <DIR> d-------- c:\programme\MSBuild
2009-03-08 04:22 . 2009-03-08 04:22 <DIR> d-------- c:\programme\Reference Assemblies
2009-03-08 04:22 . 2009-03-08 04:28 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GrabPro
2009-03-08 04:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-03-08 04:20 . 2009-03-08 04:20 <DIR> d-------- c:\programme\MSXML 6.0
2009-02-26 15:10 . 2009-02-26 15:10 <DIR> d-------- c:\programme\DivX
2009-02-26 15:02 . 2009-02-26 15:02 <DIR> d-------- c:\programme\Veoh Networks
2009-02-25 20:54 . 2009-02-25 20:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-02-25 20:54 . 2009-02-25 20:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-02-25 20:54 . 2009-02-25 20:54 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PACE Anti-Piracy
2009-02-23 20:16 . 2009-02-23 20:16 <DIR> d-------- c:\programme\Antares Audio Technologies
2009-02-23 20:12 . 2009-02-23 20:12 <DIR> d-------- c:\programme\AnalogX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 22:27 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-13 18:45 --------- d-----w c:\programme\StarMoney 5.0 S-Edition
2009-03-12 14:51 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AVG7
2009-03-11 13:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg7
2009-03-11 13:39 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Orbit
2009-03-11 13:09 --------- d-----w c:\programme\PokerStars
2009-03-09 01:47 --------- d-----w c:\programme\Orbitdownloader
2009-02-25 07:25 --------- d-----w c:\programme\Steinberg
2009-02-12 19:18 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-02-12 19:12 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-08 18:28 --------- d-----w c:\programme\Sonicism Digital Audio Solutions
2009-02-08 18:28 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Smartelectronix
2009-02-02 00:23 --------- d-----w c:\programme\Gemeinsame Dateien\AVSMedia
2009-02-02 00:23 --------- d-----w c:\programme\AVS4YOU
2009-02-02 00:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-02-02 00:18 --------- d-----w c:\programme\FusionSoft DVD Player XP
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-04-23 11:17 38,080 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-27 16:50 6,736,452 ----a-w c:\programme\think cell setup.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-03-13_22.41.50.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-13 21:49:01 18,944 ----a-r c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
+ 2009-03-13 21:49:01 65,024 ----a-r c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
- 2009-03-13 21:38:48 92,560 ----a-w c:\windows\system32\perfc007.dat
+ 2009-03-14 09:38:37 92,560 ----a-w c:\windows\system32\perfc007.dat
- 2009-03-13 21:38:48 79,070 ----a-w c:\windows\system32\perfc009.dat
+ 2009-03-14 09:38:37 79,070 ----a-w c:\windows\system32\perfc009.dat
- 2009-03-13 21:38:48 477,084 ----a-w c:\windows\system32\perfh007.dat
+ 2009-03-14 09:38:37 477,084 ----a-w c:\windows\system32\perfh007.dat
- 2009-03-13 21:38:48 66,318 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-14 09:38:37 66,318 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-11-11 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2009-02-25 590848]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-12 515416]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"EW Message Server"="msg32.exe" [2006-12-10 c:\windows\system32\msg32.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2002-01-09 219136]

c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\
Tenda TWL541U.lnk - c:\programme\Tenda\TWL541U\Mrv8000x.exe [2008-04-21 929792]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi"= gmidi.dll
"midi1"= RDDV1053.DLL
"midi2"= RDDV1053.DLL
"MSVideo"= ucdvfw.dll
"VIDC.YV12"= xl_yv12.dll
"VIDC.XJPG"= camfc.dll
"midi4"= RDDV1053.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmen¸^Programme^Autostart^AOL5.0 Tray Icon.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmen¸\Programme\Autostart\AOL5.0 Tray Icon.lnk
backup=c:\windows\pss\AOL5.0 Tray Icon.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2006-10-22 23:24 620152 c:\programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-01 10:21 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4000 Series (Kopie 1)]
--a------ 2006-09-21 03:01 139264 c:\windows\system32\spool\drivers\w32x86\3\E_FATIBEE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 12:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X6100 Series]
--a------ 2003-09-23 02:01 57344 c:\programme\Lexmark X6100 Series\lxbfbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 c:\programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-06-28 17:43 8466432 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-06-28 17:43 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
--a------ 2009-02-24 20:44 3558136 c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-06-28 17:43 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2006-12-19 04:12 16062464 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 11:04 2879488 c:\windows\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-12 64160]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 CGVPNCliSrvc;CyberGhost VPN Client;c:\programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe [2009-03-08 1940992]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951632]
R3 EWAVE;EWAVE;c:\windows\system32\drivers\ew.sys [2008-01-11 1447040]
R3 FILESPY;FILESPY;c:\windows\system32\drivers\filespy.sys [2008-01-11 26992]
R3 mfwagsif;MOTU Audio GSIF;c:\windows\system32\drivers\mfwagsif.sys [2007-01-04 21752]
R3 mfwamidi;MOTU Audio MIDI;c:\windows\system32\drivers\MFWAMIDI.sys [2007-01-04 25336]
R3 mfwawave;MOTU Audio Wave;c:\windows\system32\drivers\mfwawave.sys [2007-01-04 58104]
R3 motubus;MOTU Audio MIDI Extension;c:\windows\system32\drivers\motubus.sys [2007-01-04 23288]
R3 MotuFWA;MotuFWA;c:\windows\system32\drivers\motufwa.sys [2007-01-04 233720]
R3 MRVW225;Tenda TWL541U Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [2008-04-21 299904]
R3 NSTATION;NSTATION;c:\windows\system32\drivers\nstation.sys [2008-01-11 18944]
R3 RDID1053;EDIROL PC-50;c:\windows\system32\drivers\RDWM1053.SYS [2002-01-08 59729]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2009-03-08 25216]
S2 Asapi;Asapi; [x]
S2 cjusb;REINER SCT cyberJack pinpad/e-com USB;c:\windows\system32\drivers\cjusb.sys [2002-01-09 13184]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-10-06 33752]
S3 MODRC;Cinergy HT USB XE IR Service;c:\windows\system32\drivers\modrc.sys [2002-01-08 13056]
S3 MRV6X32U;Vista 32-bits Native WiFi Driver - USB;c:\windows\system32\drivers\MRVW23B.sys [2008-04-21 231040]
S3 naecd;naecd;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\naecd.sys --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\naecd.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S3 XIRLINK;Veo Mobile/Advanced Web Camera;c:\windows\system32\drivers\ucdnt.sys [2003-08-19 728035]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FILESPY
.
Inhalt des "geplante Tasks" Ordners

2009-03-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-12 18:39]
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

MSConfigStartUp-NETELLER Desktop - c:\progra~1\NETELL~1\NET_~1.EXE

.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = about:blank
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: An vorhandenes PDF anf¸gen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verkn¸pfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\3hchl7kh.default\
FF - prefs.js: browser.startup.homepage -
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 10:43:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

Scanne versteckte Dateien...

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1060)
c:\windows\system32\sfc_os.dll
c:\windows\system32\RDDV1053.DLL
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(1116)
c:\windows\system32\RDDV1053.DLL
.
Zeit der Fertigstellung: 2009-03-14 10:46:51
ComboFix-quarantined-files.txt 2009-03-14 09:45:34
ComboFix2.txt 2009-03-13 21:44:33

Vor Suchlauf: 18 Verzeichnis(se), 226,738,409,472 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 226,732,982,272 Bytes frei

270 --- E O F --- 2009-03-12 19:11:16

"windowsclick" - iexplorer, firefox, google spinnen

Plagegeister aller Art und deren Bekämpfung: "windowsclick" - iexplorer, firefox, google spinnen