Internet langsam, Viren Update Gdata geht nicht

Elb · 29.03.2009, 11:57

Hallo Zusammen !

kann leider fast nix machen , wenn ichNachrichten lesen will oder Youtube mal was schauen will kann ich mal die seite eingeben und dann paar minuten was andres machen

*heul*

Viren Update von Gdata geht auch nicht

--------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:24, on 29.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Octoshape Streaming Services\Elb\OctoshapeClient.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O1 - Hosts: ::1 localhost
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Creative\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Elb\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56354966-9523-4F03-81EE-BAA6087C2756}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 10435 bytes

john.doe · 29.03.2009, 12:01

Hallo, Gruß nach Österreich und

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Elb · 29.03.2009, 13:13

Hallo Andreas !

Anbei wie gewünscht , und danke schon mal vorab für die schnelle Hilfe !
Ojeje 80800 Zeichen.

link anbei zu dem file

http://www.materialordner.de/GZwFgHm...frPJrk1pR.html
bis später

gruß Elb

john.doe · 29.03.2009, 13:36

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann die Systemwiederherstellung wieder aktiviert werden.

2.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Elb · 29.03.2009, 17:43

Mal eine Frage. (besser fragen als später blöd in den Monitior schauen)

Bevor ich die Firewall und virenwächter ausschalte sollte ich lieber den PC vom Internet nehmen oder ??

Gruß Elb

john.doe · 29.03.2009, 17:54

Nein. Internetzugang ist zwingend notwendig für ComboFix. Keine Angst. Die Schädlinge warten nicht darauf, dass du Firewall ausschaltest und Antivirenprogramm deaktivierst. 98% der Schädlinge verbreiten sich aktiv über Aktionen des Benutzers.

ciao, andreas

Elb · 29.03.2009, 18:42

ComboFix 09-03-28.06 - Elb 2009-03-29 19:37:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1319 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Elb\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Elb\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: G DATA InternetSecurity 2008 *On-access scanning disabled* (Outdated)
FW: G DATA Personal Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-29 ))))))))))))))))))))))))))))))
.

2009-03-29 19:20 . 2009-03-29 19:20 <DIR> d-------- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 21:47 --------- d-----w c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus
2009-03-27 17:31 --------- d-----w c:\programme\Bonjour
2009-03-26 22:56 --------- d-----w c:\dokumente und einstellungen\Elb\Anwendungsdaten\Skype
2009-03-21 18:57 --------- d-----w c:\programme\Steam
2009-03-11 09:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-04 06:14 --------- d-----w c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire
2009-02-27 21:07 --------- d-----w c:\programme\Azureus
2009-02-12 20:31 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-12 20:31 --------- d-----w c:\programme\Thrustmaster
2009-02-12 19:09 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-02-12 19:09 --------- d-----w c:\programme\Java
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2008-05-25 20:24 0 ---h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbz.DAT
2008-03-31 21:04 21 ----a-w c:\programme\Gemeinsame Dateien\appop.log
2006-11-29 10:04 57,472 ----a-w c:\dokumente und einstellungen\Elb\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-12-16 94208]
"Octoshape Streaming Services"="c:\programme\Octoshape Streaming Services\Elb\OctoshapeClient.exe" [2006-02-13 214648]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"Jet Detection"="c:\treiber\Creative\PROGRAM\ADGJDet.exe" [2001-11-29 28672]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-12 136600]
"GDFirewallTray"="c:\programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2008-02-07 1193648]
"AVKTray"="c:\programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2008-02-11 603720]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 c:\windows\system32\CTHELPER.EXE]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
G DATA Firewall Tray.lnk - c:\programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe [2008-03-31 1193648]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Spiele\\LoTR 2\\game.dat"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\HLSW\\hlsw.exe"=
"c:\\Programme\\Steam\\SteamApps\\elb\\counter-strike\\hl.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Spiele\\Warcraft III\\Warcraft III.exe"=
"c:\\Spiele\\WTV\\wtvClient.exe"=
"c:\\Spiele\\LoTR 2\\patchget.dat"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\Elb\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Octoshape Streaming Services\\Elb\\OctoshapeClient.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Spiele\\LoTR 2\\EP1\\game.dat"=
"c:\\Programme\\Steam\\steam.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-03-31 19328]
R0 prohlp01;StarForce Protection Helper Driver v1;c:\windows\system32\drivers\prohlp01.sys [2002-12-10 80704]
R1 prodrv05;StarForce Protection Environment Driver v5;c:\windows\system32\drivers\prodrv05.sys [2002-12-10 78176]
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [2006-07-10 99840]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-03-31 718408]
R2 AVKService;AVK Service;c:\programme\G DATA InternetSecurity\AVK\avkservice.exe [2008-03-31 427592]
R2 AVKWCtl;AVK Wächter;c:\programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2008-03-31 1127816]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2008-03-31 41928]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2008-03-31 1496648]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2008-03-31 46536]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2008-03-31 32200]
S2 vvdsvc;VJVodServices;c:\windows\System32\svchost.exe -k vvdsvc [2001-08-23 14336]
S3 ovt530;TM507A USB Camera;c:\windows\system32\drivers\ov530vid.sys [2009-02-12 161792]
S3 Parncm;Parncm; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a253620-5a5a-11db-a6b6-0015f2da0276}]
\Shell\AutoRun\command - setup.exe
.
Inhalt des "geplante Tasks" Ordners

2009-03-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 13:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {56354966-9523-4F03-81EE-BAA6087C2756} = 195.34.133.21,195.34.133.22
FF - ProfilePath - c:\dokumente und einstellungen\Elb\Anwendungsdaten\Mozilla\Firefox\Profiles\3a36t76u.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\dokumente und einstellungen\Elb\Anwendungsdaten\Mozilla\Firefox\Profiles\3a36t76u.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\dokumente und einstellungen\Elb\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npunagi2.dll
FF - plugin: c:\programme\Octoshape Streaming Services\Elb\octoprogram-L03-NMS0810164_SUA_000\npoctoshape.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 19:39:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-29 19:41:28
ComboFix-quarantined-files.txt 2009-03-29 17:41:00

Vor Suchlauf: 12 Verzeichnis(se), 16.615.759.872 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 16,761,831,424 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer

Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
163 --- E O F --- 2009-03-17 02:02:38

bitte schön

john.doe · 29.03.2009, 19:37

Deinstalliere:

Azureus (Virenschleuder)
Bonjour (Schrott)
LimeWire (Virenschleuder)

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
Parncm
vvdsvc
ACEDRV06

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Azureus\\Azureus.exe"=-
"c:\\Programme\\LimeWire\\LimeWire.exe"=-
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"=-

File::
c:\windows\Tasks\AppleSoftwareUpdate.job
c:\dokumente und einstellungen\Elb\Anwendungsdaten\GDIPFONTCACHEV1. DAT
c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbz.DAT
c:\windows\system32\deploytk.dll

Folder::
c:\programme\Bonjour
c:\programme\Azureus
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Elb · 29.03.2009, 21:02

Hi Andreas !

Wird erledigt

Womit soll ich in Zukunft torrents runterladen ??

bzw. Bonjour nicht im windows Programmzugriff enthalten , löschen kann ich es auch nicht weil es andere Programme benutzen (geht wohl nur im abgesicherten modus) werde ich gleich machen

gruß Elb

Wenn ud mal in Wien bist melde dich vorher, ein Bier gibts auf alle fälle

john.doe · 29.03.2009, 21:10

Zitat:

Womit soll ich in Zukunft torrents runterladen ??

Das ist eigentlich egal, aber sei sicher, dass du danach Schädlinge auf dem Rechner hast. Wenn du 100% sicher sein willst, dann nimm Bearshare oder LimeWire. Bei den anderen liegt die Wahrscheinlichkeit so zwischen 20-50%.

Aber wir sind noch lange nicht durch. Erstmal das Log von ComboFix, damit ich sehen kann, ob sie gekillt sind. Anschliessend klicke auf "Für alle Neuen" in meiner Signatur und arbeite alle Punkte unter 2 ab.

Zitat:

Wenn ud mal in Wien bist melde dich vorher, ein Bier gibts auf alle fälle

Wien bin ich bisher nur durchgefahren, habe aber mal in Linz bei Nestle geschult.

ciao, andreas

Elb · 29.03.2009, 21:30

Also weitergehts !!

das log.

ComboFix 09-03-28.06 - Elb 2009-03-29 22:21:57.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1399 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Elb\Desktop\ComboFix.exe
AV: G DATA InternetSecurity 2008 *On-access scanning disabled* (Outdated)
FW: G DATA Personal Firewall *disabled*
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbz.DAT
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\.certs
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\.keystore
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\.lock
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\34F51E486E34F90AE3B7207AD5B46AB89C3DB26A.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\34F51E486E34F90AE3B7207AD5B46AB89C3DB26A.dat.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\87F42C24C49D7AAC8358E59A32EE8C8B1A54FA4B.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\87F42C24C49D7AAC8358E59A32EE8C8B1A54FA4B.dat.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\cache.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\D65A29F6A95A3940385220871E75C6D0C28507C6.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\D65A29F6A95A3940385220871E75C6D0C28507C6.dat.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\F4D538A11D65F3B9C3CE5E8B40ACE329C91E15A3.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\active\F4D538A11D65F3B9C3CE5E8B40ACE329C91E15A3.dat.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\azureus.config
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\azureus.config.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\azureus.statistics
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\azureus.statistics.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\banips.config
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\banips.config.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\debug\image-0.jpg
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\dht\addresses.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\dht\contacts.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\dht\diverse.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\dht\general.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\dht\version.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\downloads.config
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\downloads.config.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\filters.config
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\friends.config
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\friends.config.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\ipfilter.cache
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\net\pm_6830.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.1.3.jar
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.1.3.zip
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.1.7.jar
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.1.7.zip
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.2.1.jar
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.2.1.zip
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.2.2.jar
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.2.2.zip
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.2.5.jar
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\azupnpav_0.2.5.zip
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\plugin.properties
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\plugin.properties_0.1.3
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\plugin.properties_0.1.7
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\plugin.properties_0.2.1
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\plugin.properties_0.2.2
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\plugins\azupnpav\plugin.properties_0.2.5
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tables.config
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tables.config.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU241759625129865053.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU3359000537269923784.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU3532307910864442238.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU5525257670949111950.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU7389382280437294841.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU7499177798796581689.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU7664584767376778507.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU78474989653096987.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU8056568686273384648.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tmp\AZU8942741375051770344.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\torrents\AZU8368.tmp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tracker.config
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\tracker.config.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\update.log
c:\dokumente und einstellungen\Elb\Anwendungsdaten\Azureus\update.properties
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\.NetworkShare\LimeWireWin4.16.6.exe
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\410splashfree.png
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\414splashfree.png
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\active.mojito
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\bugs.data
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\createtimes.cache
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\fileurns.bak
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\fileurns.cache
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\filters.props
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\gnutella.net
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\installation.props
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\library.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\limewire.props
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\mojito.props
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\passive.mojito
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\pub1.key
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\public.key
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\questions.props
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\responses.cache
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\simpp.xml
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\spam.dat
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\tables.props
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme.lwtp
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\01_star.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\02_star.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\03_star.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\04_star.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\05_star.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\chat.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\forward_dn.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\forward_up.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\kill.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\kill_on.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\logo.png
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\notsearching.png
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\pause_dn.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\pause_up.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\play_dn.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\play_up.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\question.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\rewind_dn.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\rewind_up.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\searching.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\stop_dn.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\stop_up.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\theme.txt
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\version.txt
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\themes\windows_theme\warning.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\ttree.cache
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\ttrees.cache
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\ttroot.cache
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\update.xml
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\version.key
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\version.xml
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\data\audio.sxml
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\data\delete_me
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\data\video.sxml
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\misc\application.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\misc\audio.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\misc\document.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\misc\image.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\misc\video.gif
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\schemas\application.xsd
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\schemas\audio.xsd
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\schemas\document.xsd
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\schemas\image.xsd
c:\dokumente und einstellungen\Elb\Anwendungsdaten\LimeWire\xml\schemas\video.xsd
c:\programme\Azureus
c:\programme\Azureus\AzureusUpdater.exe
c:\programme\Azureus\msvcr71.dll
c:\programme\Azureus\plugins\azplugins\azplugins_1.9.1.jar
c:\programme\Azureus\plugins\azplugins\azplugins_2.0.jar
c:\programme\Azureus\plugins\azplugins\azplugins_2.1.1.jar
c:\programme\Azureus\plugins\azplugins\azplugins_2.1.4.jar
c:\programme\Azureus\plugins\azrating\azrating_1.3.1.jar
c:\programme\Azureus\plugins\azrating\azrating_1.3.jar
c:\programme\Azureus\plugins\azupdater\azupdater_1.8.5.zip
c:\programme\Azureus\plugins\azupdater\azupdater_1.8.8.zip
c:\programme\Azureus\plugins\azupdater\azupdaterpatcher_1.8.3.jar
c:\programme\Azureus\plugins\azupdater\azupdaterpatcher_1.8.5.jar
c:\programme\Azureus\plugins\azupdater\azupdaterpatcher_1.8.8.jar
c:\programme\Azureus\plugins\azupdater\plugin.properties
c:\programme\Azureus\plugins\azupdater\plugin.properties_1.8.5
c:\programme\Azureus\plugins\azupdater\plugin.properties_1.8.8
c:\programme\Azureus\plugins\azupdater\Updater.jar
c:\programme\Azureus\plugins\azupdater\Updater.jar.bak
c:\programme\Azureus\swt-awt-win32-3232.dll
c:\programme\Azureus\swt-awt-win32-3318.dll
c:\programme\Azureus\swt-gdip-win32-3232.dll
c:\programme\Azureus\swt-gdip-win32-3318.dll
c:\programme\Azureus\swt-wgl-win32-3232.dll
c:\programme\Azureus\swt-wgl-win32-3318.dll
c:\programme\Azureus\swt-win32-3232.dll
c:\programme\Azureus\swt-win32-3318.dll
c:\programme\Azureus\Uninstall.exe
c:\programme\Bonjour
c:\programme\Bonjour\mdnsNSP.dll
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\deploytk.dll
c:\windows\Tasks\AppleSoftwareUpdate.job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACEDRV06
-------\Legacy_VVDSVC
-------\Service_ACEDRV06
-------\Service_Parncm
-------\Service_vvdsvc

((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-29 ))))))))))))))))))))))))))))))
.

2009-03-29 22:15 . 2009-03-29 22:15 3,374,149 --a------ c:\windows\{00000005-00000000-00000006-00001102-00000002-80651102}.BAK
2009-03-29 19:20 . 2009-03-29 19:20 <DIR> d-------- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 19:58 --------- d-----w c:\programme\HLSW
2009-03-26 22:56 --------- d-----w c:\dokumente und einstellungen\Elb\Anwendungsdaten\Skype
2009-03-21 18:57 --------- d-----w c:\programme\Steam
2009-03-11 09:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-12 20:31 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-12 20:31 --------- d-----w c:\programme\Thrustmaster
2009-02-12 19:09 --------- d-----w c:\programme\Java
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2008-03-31 21:04 21 ----a-w c:\programme\Gemeinsame Dateien\appop.log
2006-11-29 10:04 57,472 ----a-w c:\dokumente und einstellungen\Elb\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( SnapShot@2009-03-29_19.40.08,51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2009-03-29 20:13:38 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_e8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-12-16 94208]
"Octoshape Streaming Services"="c:\programme\Octoshape Streaming Services\Elb\OctoshapeClient.exe" [2006-02-13 214648]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jet Detection"="c:\treiber\Creative\PROGRAM\ADGJDet.exe" [2001-11-29 28672]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"GDFirewallTray"="c:\programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2008-02-07 1193648]
"AVKTray"="c:\programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2008-02-11 603720]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 c:\windows\system32\CTHELPER.EXE]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
G DATA Firewall Tray.lnk - c:\programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe [2008-03-31 1193648]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Spiele\\LoTR 2\\game.dat"=
"c:\\Programme\\Steam\\SteamApps\\elb\\counter-strike\\hl.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Spiele\\Warcraft III\\Warcraft III.exe"=
"c:\\Spiele\\WTV\\wtvClient.exe"=
"c:\\Spiele\\LoTR 2\\patchget.dat"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\Elb\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Octoshape Streaming Services\\Elb\\OctoshapeClient.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Spiele\\LoTR 2\\EP1\\game.dat"=
"c:\\Programme\\Steam\\steam.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-03-31 19328]
R0 prohlp01;StarForce Protection Helper Driver v1;c:\windows\system32\drivers\prohlp01.sys [2002-12-10 80704]
R1 prodrv05;StarForce Protection Environment Driver v5;c:\windows\system32\drivers\prodrv05.sys [2002-12-10 78176]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-03-31 718408]
R2 AVKService;AVK Service;c:\programme\G DATA InternetSecurity\AVK\avkservice.exe [2008-03-31 427592]
R2 AVKWCtl;AVK Wächter;c:\programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2008-03-31 1127816]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2008-03-31 41928]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2008-03-31 1496648]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2008-03-31 46536]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2008-03-31 32200]
S3 ovt530;TM507A USB Camera;c:\windows\system32\drivers\ov530vid.sys [2009-02-12 161792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a253620-5a5a-11db-a6b6-0015f2da0276}]
\Shell\AutoRun\command - setup.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {56354966-9523-4F03-81EE-BAA6087C2756} = 195.34.133.21,195.34.133.22
FF - ProfilePath - c:\dokumente und einstellungen\Elb\Anwendungsdaten\Mozilla\Firefox\Profiles\3a36t76u.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:blank
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 22:24:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-29 22:26:56
ComboFix-quarantined-files.txt 2009-03-29 20:26:12
ComboFix2.txt 2009-03-29 17:41:29

Vor Suchlauf: 12 Verzeichnis(se), 16,671,600,640 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 16,648,982,528 Bytes frei

Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
315 --- E O F --- 2009-03-17 02:02:38

john.doe · 29.03.2009, 21:36

Gibt es eine Besserung?

ciao, andreas

Elb · 29.03.2009, 21:39

Hi Andreas !

Ja läuft alles Super wie geschmiert und geölt

So macht auf dem Rechner surfen wieder Spaß, werde nun für meiner verlobte mal ein eigenes Konto anlegen (keien Adminrechte)

THX

gruß
Tom

Elb · 29.03.2009, 23:06

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1916
Windows 5.1.2600 Service Pack 2

30.03.2009 00:03:05
mbam-log-2009-03-30 (00-03-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 254419
Laufzeit: 45 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

--------------------------------------------------------------------------und hijack

--------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:05:07, on 30.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Octoshape Streaming Services\Elb\OctoshapeClient.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Creative\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Elb\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56354966-9523-4F03-81EE-BAA6087C2756}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 9664 bytes

john.doe · 30.03.2009, 18:28

Log ist sauber. Dem Rechner scheint es ja wieder gut zu gehen.

1.) Start => Ausführen => combofix /u => OK

2.) http://www.microsoft.com/downloads/d...displaylang=de

ciao, andreas

Internet langsam, Viren Update Gdata geht nicht

Log-Analyse und Auswertung: Internet langsam, Viren Update Gdata geht nicht