Redirect auf Pornoseiten, Wurm ?? Hilfe !!

keeponrockin · 06.04.2009, 22:22

http://www.materialordner.de/f1kYAD9cHe5EeWvczXlmYY8V8WaaCg.html

john.doe · 06.04.2009, 22:27

Welche Dateigröße wird dir angezeigt, wenn du die Datei im Windowsexplorer anzeigen lässt?

ciao, andreas

keeponrockin · 06.04.2009, 22:29

1 kb

gruß und vielen Dank für Deine Hilfe !!!

Michael

Computers · 06.04.2009, 22:31

ne frage bin habe keine anung wie mach ich mein eigenen eintrag habe nemlich ein problem!

Computers · 06.04.2009, 22:32

also meine mein eigenes thema wo ich hilfe bzw. Antworten bekomme!

john.doe · 06.04.2009, 22:34

@Computers

Um welches Problem geht es denn?

ciao, andreas

keeponrockin · 06.04.2009, 22:48

ComboFix 09-04-04.01 - Michael Sand 2009-04-06 23:41:57.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1447 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
FW: Norton Internet Worm Protection *disabled*
* Resident AV is active

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:32 <DIR> d-------- c:\windows\LastGood
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-04-06 23:45 6,092,832 --a------ c:\windows\system32\drivers\fidbox.dat
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-04-06 20:05 75,140 --------- c:\windows\system32\drivers\fidbox.idx
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:31 . 2009-04-06 23:44 238,368 --a------ c:\windows\system32\drivers\fidbox2.dat
2009-03-27 01:31 . 2009-04-06 20:05 18,764 --------- c:\windows\system32\drivers\fidbox2.idx
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll
2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe
2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll
2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll
2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-02-04 16:34:00 194,320 ----a-w c:\windows\LastGood\system32\DRIVERS\klif.sys
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:37:05 16,384 ----atw c:\windows\temp\Perflib_Perfdata_180.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - JAVAQUICKSTARTERSERVICE
*NewlyCreated* - WMIAPSRV
*Deregistered* - ProcObsrves

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-06 23:45:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-04-06 23:46:49
ComboFix-quarantined-files.txt 2009-04-06 21:46:47
ComboFix2.txt 2009-04-06 18:14:01

Vor Suchlauf: 7.187.730.432 Bytes frei
Nach Suchlauf: 7,262,691,328 Bytes frei

288 --- E O F --- 2009-03-18 06:13:36

keeponrockin · 06.04.2009, 22:51

wobei Avira im Hintegrund lief und er eine Datei gefunden hat die verdächtig ist.

AV-test.txt

enthält Code des Eica Test Signature Virus

Eicar-Test-Signature - Malware Siehe auch
Kurzfassung Vollständig Statistik

Wie würden Sie diese Information bewerten?
Wertlos Hervorragend

Name: Eicar-Test-Signature
Art: Testdatei
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Ja
Dateigröße: 68 Bytes
MD5 Prüfsumme: 44d88612fea8a8f36de82e1278abb02

Wichtige Information Der Zweck dieses Programms ist es Antivirensoftware zu testen und um eine korrekte Installation sicherzustellen. Das Programm selbst ist daher kein Virus. Der Name dieses Testprogramms kommt von der EICAR (European Institute for Computer Anti-Virus Research) Organisation. Weitere Informationen sind auf deren Webseite www.eicar.com verfügbar.

Bitte beachten Sie, dass das EICAR Testprogramm größer als 68 Bytes sein könnte. Die korrekte Dateigröße ist jedoch 68 Bytes und Funktionstests sollten nur damit durchgeführt werden.
General Aliases:
• Symantec: EICAR Test String
• Mcafee: EICAR test file
• Kaspersky: EICAR-Test-File
• TrendMicro: Eicar_test_file
• F-Secure: EICAR-Test-File
• Sophos: EICAR-AV-Test
• Panda: EICAR-AV-TEST-FILE
• Eset: EICAR_test_file
• Bitdefender: EICAR-Test-File

Weitere Details finden Sie hier .

Beschreibung erstellt von Oliver Auerbach am Tue, 13 Dec 2005 15:20 (GMT+1)

ich hab die Datei in Quarantäne gepackt

keeponrockin · 06.04.2009, 23:06

so hab jetzt nach dem ganzen löschen und installieren noch mal einen Neustart gemacht und nochmal einen neuen Combofix:

ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:00:10.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1509 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
FW: Norton Internet Worm Protection *disabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\programme\AskBarDis
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll
2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe
2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll
2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll
2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:55:37 16,384 ----atw c:\windows\temp\Perflib_Perfdata_578.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 12:58 333192 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MESSENGER

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 00:02:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 0:04:20
ComboFix-quarantined-files.txt 2009-04-06 22:04:19
ComboFix2.txt 2009-04-06 21:46:51
ComboFix3.txt 2009-04-06 18:14:01

Vor Suchlauf: 7.292.051.456 Bytes frei
Nach Suchlauf: 7,269,343,232 Bytes frei

284 --- E O F --- 2009-03-18 06:13:36

john.doe · 06.04.2009, 23:22

Zitat:

ich hab die Datei in Quarantäne gepackt

Die ist ungefährlich.

EICAR-Testdatei ? Wikipedia

1.) Download und Ausführung des Norton-Entfernungsprogramms

2.) Was hab ich nochmal geschrieben?

Zitat:

Installiere (Toolbars immer abwählen, Haken weg):

So, du schreibst jetzt 100mal an die Tafel: Ich soll keine Toolbars mitinstallieren!

Danach deinstallierst du die Ask-/Foxit-Toolbar.

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"=-
"QuickTime Task"=-
"iTunesHelper"=-
"SunJavaUpdateSched"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\BitTorrent\\bittorrent.exe"=-
"c:\\Programme\\DNA\\btdna.exe"=-
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]

Folder::
c:\programme\AskBarDis
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

File::
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox.idx
c:\windows\system32\drivers\fidbox2.dat
c:\windows\system32\drivers\fidbox2.idx
C:\23990098.$$$
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT

DirLook::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
C:\PUB
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

keeponrockin · 06.04.2009, 23:25

was bist Du eigentlich für ne Hammer Maschine ?!??? ... danke.

FoxIt hat es selber installiert ... wirklich !!!

dann werd ich das mal alles machen. gruss

m

keeponrockin · 06.04.2009, 23:54

ComboFix 09-04-04.01 - Michael Sand 2009-04-07 0:40:21.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 22:45:42 16,384 ----atw c:\windows\temp\Perflib_Perfdata_458.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 00:46:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\windows\system32\ThpSrv.exe
c:\windows\system32\TPSBattM.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Apoint2K\ApntEx.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\ThpSrv.exe
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 0:53:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-06 22:52:58
ComboFix2.txt 2009-04-06 22:04:21
ComboFix3.txt 2009-04-06 21:46:51
ComboFix4.txt 2009-04-06 18:14:01

Vor Suchlauf: 7.214.071.808 Bytes frei
Nach Suchlauf: 7,231,037,440 Bytes frei

285 --- E O F --- 2009-03-18 06:13:36

john.doe · 07.04.2009, 17:07

Irgendetwas hat da nicht funktioniert. Lösche die cfscript.txt und erstelle sie nocheinmal.

Deinstalliere Escan.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"=-
"QuickTime Task"=-
"iTunesHelper"=-
"SunJavaUpdateSched"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\BitTorrent\\bittorrent.exe"=-
"c:\\Programme\\DNA\\btdna.exe"=-
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]

Folder::
c:\windows\system32\FLCSS.EXE
c:\programme\AskBarDis
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software

File::
c:\windows\system32\mwnsp.dll
c:\windows\system32\mwtsp.dll
c:\windows\system32\contfilt.dll
C:\bootini.ins
c:\windows\winsbak.reg
c:\windows\system32\T.COM
c:\windows\R.COM
c:\windows\winsbak2.reg
c:\windows\REGBK00.ZIP
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox.idx
c:\windows\system32\drivers\fidbox2.dat
c:\windows\system32\drivers\fidbox2.idx
C:\23990098.$$$
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT

DirLook::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
C:\PUB
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

keeponrockin · 07.04.2009, 17:27

ComboFix 09-04-04.01 - Michael Sand 2009-04-07 18:13:15.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1467 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 ))))))))))))))))))))))))))))))
.

2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-06 20:32 . 2009-04-06 20:33 6,915,218 --a------ c:\windows\REGBK00.ZIP
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-31 19:28 . 2009-04-02 22:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:11 . 2009-04-06 20:32 0 --a------ C:\23990098.$$$
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 178,436 --a------ c:\windows\winsbak2.reg
2009-03-27 01:10 . 2004-08-04 14:00 153,600 --a------ c:\windows\R.COM
2009-03-27 01:10 . 2004-08-04 14:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-27 01:10 . 2009-03-27 01:10 22,546 --a------ c:\windows\winsbak.reg
2009-03-27 01:10 . 2006-10-20 00:33 226 --a------ C:\bootini.ins
2009-03-27 01:09 . 2009-03-27 01:09 <DIR> d-------- c:\windows\system32\FLCSS.EXE
2009-03-27 01:09 . 2008-07-16 18:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-27 01:09 . 2008-07-16 18:03 425,984 --a------ c:\windows\system32\mwtsp.dll
2009-03-27 01:09 . 2008-07-16 17:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-02-26 12:50 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-26 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-07-26 16:58 71,968 ----a-w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-07 16:18:22 16,384 ----atw c:\windows\temp\Perflib_Perfdata_430.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="thpsrv" [X]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux8"= c:\windows\system32\..\qjqea.uwe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"TOSCDSPD"=c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CFSServ.exe"=CFSServ.exe -NoClient
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"TPSODDCtl"=TPSODDCtl.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"igfxhkcmd"=c:\windows\system32\hkcmd.exe
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"igfxtray"=c:\windows\system32\igfxtray.exe
"igfxpers"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TMESRV.EXE"=c:\programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TMERzCtl.EXE"=c:\programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SmoothView"=c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"NDSTray.exe"=NDSTray.exe
"TOSDCR"=TOSDCR.EXE
"TouchED"=c:\programme\TOSHIBA\TouchED\TouchED.Exe
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"eScan Updater"=c:\progra~1\eScan\TRAYICOS.EXE /App

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Desktop\\uTorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ded037c-904b-11dd-b9d0-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7519e841-d720-11dd-b9ff-0013029e56e2}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61d81d-8fc6-11dd-b9cf-000e7b09b6f0}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cae9b2bd-0e25-11dd-b961-000e7b09b6f0}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 18:19:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\windows\system32\TPSBattM.exe
c:\windows\system32\ThpSrv.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Apoint2K\ApntEx.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\ThpSrv.exe
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 18:25:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-07 16:25:31
ComboFix2.txt 2009-04-06 22:53:02
ComboFix3.txt 2009-04-06 22:04:21
ComboFix4.txt 2009-04-06 21:46:51
ComboFix5.txt 2009-04-07 16:12:21

Vor Suchlauf: 7.155.499.008 Bytes frei
Nach Suchlauf: 7,263,866,880 Bytes frei

285 --- E O F --- 2009-03-18 06:13:36

keeponrockin · 07.04.2009, 17:30

hi !

zwei Sachen:

1) wenn ich das Script im Editor in eine txt datei packe geht die Formatierung verloren, sprich der gesamte Text ist in einer Zeile. Ist das ok ?

2) ich kann die Textdatei nur mit der linken Maustaste auf das Combofix Icon ziehen, nach dem Combofix gelaufen ist ist die Datei nicht mehr auf dem Desktop ?! richtig ?

danke, gruss...

M

Redirect auf Pornoseiten, Wurm ?? Hilfe !!

Plagegeister aller Art und deren Bekämpfung: Redirect auf Pornoseiten, Wurm ?? Hilfe !!