Trojaner-Vermutung

geissi · 14.04.2009, 19:00

Auf der Seite war eben mein Virus oder?
Ich habe mal eine Frage und zwar, was soll ich denn grundsätzlich machen, wenn ich von AntiVir eine Meldung von einem Virus bekomme?
Soll ich ihn in die Quarantäne verschieben, ihn löschen oder was ganz anderes?

Hier der Bericht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:54, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Moilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Markus\Markus.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Markus] C:\Dokumente und Einstellungen\Markus\Markus.exe /i
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmhcvei.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5553 bytes

undoreal · 14.04.2009, 19:03

Trenne den Rechner vom Netz und setze ihn neu auf!

Zitat:

Ich habe mal eine Frage und zwar, was soll ich denn grundsätzlich machen, wenn ich von AntiVir eine Meldung von einem Virus bekomme?

Wenn du von AntiVir die Meldung bekommst ist es eh zu spät. Dazu sollte es also erst garnicht kommen!
Quarantäne ist nie verkehrt.

john.doe · 14.04.2009, 19:09

Starte HJT => Do a system scan only => Markiere:

Zitat:

O4 - HKCU\..\Run: [Markus] C:\Dokumente und Einstellungen\Markus\Markus.exe /i
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmhcvei.dll

=> Fix checked => Neustart => Neues HJT posten.

ciao, andreas

geissi · 14.04.2009, 19:21

Habe das eben gemacht.
Hier das Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:49, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Moilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5237 bytes

john.doe · 14.04.2009, 19:27

1.) Deinstalliere Spybot und SuperAntiSpyware.

2.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

geissi · 14.04.2009, 19:33

Ich habe eine Frage zu 2.
Muss ich da denn alles anstecken, wenn ich externe Festplatten oder USB-Sticks habe?
Was bringt es mir denn dann?
Daten habe ich größtenteils schon runtergesichert.

john.doe · 14.04.2009, 19:37

Zitat:

Muss ich da denn alles anstecken, wenn ich externe Festplatten oder USB-Sticks habe?

Nein, das ist ein Textbaustein, der für autorun.inf-Teile gedacht ist. Es schadet allerdings auch nicht. Die Daten auf den Externen werden nicht gescannt, nur das Hauptverzeichnis.

Zitat:

Was bringt es mir denn dann?

Falls da noch mehr sein sollte, dann kannst du sicher sein, nicht von deinen externen Laufwerken infiziert zu werden.

Zitat:

Daten habe ich größtenteils schon runtergesichert.

Um deine Daten mache dir keine Sorgen, die werden nicht angetastet, nicht einmal gescannt.

ciao, andreas

geissi · 15.04.2009, 13:25

Ich habe mit CCleaner das System bereinigt.
Nur eine Datei in der Registry lässt sich einfach nicht löschen:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Und ich wollte sagen, dass sich heute mein AntiVir mal wieder geupdatet hat.
Das ging ja die ganze Zeit nicht.

geissi · 15.04.2009, 13:39

Ich habe ComboFix durchlaufen lassen und muss sagen, dass es wirklich sehr zügig ging. Nun warte ich auf weitere Anweisungen.
Hier nun das Log von ComboFix:

ComboFix 09-04-15.08 - Markus 15.04.2009 14:33.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.293 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Markus\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Markus\Markus.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-15 bis 2009-04-15 ))))))))))))))))))))))))))))))
.

2009-04-14 14:05 . 2009-04-14 14:05 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-14 14:05 . 2009-04-15 10:44 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\Malwarebytes
2009-04-13 20:43 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-13 20:43 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-13 12:01 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-13 12:01 . 2009-04-13 12:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-12 12:16 . 2009-04-15 10:40 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-10 15:25 . 2009-04-10 15:24 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-04-06 08:01 . 2009-04-10 08:43 2048 ----a-w C:\aufgaben.isl
2009-04-06 07:22 . 2009-04-06 07:22 -------- d-----w c:\windows\Downloaded Installations
2009-04-04 10:46 . 2009-04-04 10:46 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Identities
2009-04-04 10:46 . 2009-04-04 10:46 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-04-02 16:08 . 2009-04-02 16:08 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\HP
2009-04-02 12:06 . 2008-12-11 11:31 27904 ----a-w c:\windows\system32\uxtuneup.dll
2009-04-02 12:06 . 2009-04-02 12:06 360192 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-03-31 13:31 . 2009-04-02 12:06 603904 ----a-w c:\windows\system32\TUProgSt.exe
2009-03-31 13:24 . 2009-03-31 13:24 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software
2009-03-31 13:23 . 2009-03-31 13:23 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-03-31 13:22 . 2009-04-02 12:05 -------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-03-31 11:51 . 2009-04-06 20:52 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\dvdcss
2009-03-30 19:10 . 2009-03-30 19:28 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\vlc
2009-03-28 13:08 . 2009-03-28 13:08 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HFKids
2009-03-28 13:02 . 2009-03-28 13:04 -------- d-----w c:\dokumente und einstellungen\Julian\Anwendungsdaten\HFKids
2009-03-26 14:02 . 2008-12-17 18:16 481792 ----a-w c:\windows\system32\SQLite3.dll
2009-03-21 17:11 . 2009-03-21 17:11 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\AdobeUM
2009-03-21 17:10 . 2009-03-21 17:11 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-03-19 18:34 . 2009-04-10 15:09 151 ----a-w c:\windows\PhotoSnapViewer.INI
2009-03-18 19:20 . 2009-03-18 19:20 -------- d-----w c:\windows\uninstall\Zauberschule
2009-03-18 19:18 . 2009-03-18 19:19 -------- d-----w c:\windows\uninstall\Sudoku für Kids
2009-03-18 19:17 . 2009-03-18 19:17 -------- d-----w c:\windows\uninstall\QuizTime Junior
2009-03-18 19:16 . 2009-03-18 19:17 -------- d-----w c:\windows\uninstall\Wort- und Sprachspiele
2009-03-18 18:10 . 2009-03-18 18:11 -------- d-----w c:\windows\uninstall\Gedächtnis- und Intelligenzspiele
2009-03-18 18:09 . 2009-03-18 19:20 -------- d-----w c:\windows\uninstall
2009-03-18 18:09 . 2009-03-18 18:09 -------- d-----w c:\windows\uninstall\Kinder- und Lernspiele mit Fiona und Fabian
2009-03-18 18:07 . 2009-03-18 18:07 54032 ----a-w c:\windows\_BB6627C.TTF
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER5.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER4.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER3.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER2.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER1.JIM
2009-03-18 18:06 . 2009-03-18 18:06 41736 ----a-w c:\windows\macromix.dll
2009-03-18 18:06 . 2009-03-18 18:06 30544 ----a-w c:\windows\dirdib.drv
2009-03-18 18:05 . 2009-03-18 18:05 205 ----a-w c:\windows\verkehr.ini
2009-03-18 18:05 . 2009-03-18 18:05 0 ----a-w c:\windows\MTB40.INI
2009-03-18 18:05 . 1995-06-13 14:10 54272 ----a-w c:\windows\system\oshtools.dll
2009-03-18 18:05 . 2009-03-18 18:05 -------- d-----w C:\Franzis
2009-03-18 18:03 . 1998-06-17 22:00 89360 ----a-w c:\windows\system32\VB5DB.DLL
2009-03-18 17:42 . 2009-03-18 17:42 -------- d-----w c:\windows\USMPrefs
2009-03-18 17:34 . 2009-03-18 17:34 9472 ----a-w c:\windows\system32\drivers\lemsgt.sys
2009-03-18 17:34 . 2009-03-18 17:34 137344 ----a-w c:\windows\system32\drivers\hwpsgt.sys
2009-03-18 17:34 . 2008-10-16 13:06 268648 ----a-w c:\windows\system32\mucltui.dll
2009-03-18 17:34 . 2008-10-16 13:06 208744 ----a-w c:\windows\system32\muweb.dll
2009-03-18 17:34 . 2008-10-16 13:06 27496 ----a-w c:\windows\system32\mucltui.dll.mui
2009-03-18 13:28 . 2009-03-18 13:28 -------- d-s---w c:\dokumente und einstellungen\Markus\UserData
2009-03-17 18:40 . 2009-04-10 20:02 69 ----a-w c:\windows\NeroDigital.ini
2009-03-17 18:26 . 2009-04-15 10:43 -------- d-----w c:\dokumente und einstellungen\Markus\Tracing
2009-03-17 16:34 . 2009-03-17 16:34 -------- d-----w c:\windows\Sun
2009-03-17 16:33 . 2009-04-10 15:24 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-16 20:32 . 2008-08-14 13:19 2068352 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-16 20:32 . 2008-08-14 13:19 2147840 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-16 20:32 . 2008-08-14 13:19 2191488 -c----w c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-16 20:32 . 2008-08-14 13:19 2026496 -c----w c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-16 20:25 . 2009-03-16 20:25 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-03-16 20:17 . 2009-03-16 20:17 221 ----a-w c:\windows\HP_RedboxHprblog_HPSU.ini
2009-03-16 16:41 . 2008-06-14 17:32 273024 -c----w c:\windows\system32\dllcache\bthport.sys
2009-03-16 16:40 . 2008-10-16 01:00 671744 -c----w c:\windows\system32\dllcache\wininet.dll
2009-03-16 16:40 . 2008-10-16 01:00 1499136 -c----w c:\windows\system32\dllcache\shdocvw.dll
2009-03-16 16:40 . 2008-10-16 01:00 620544 -c----w c:\windows\system32\dllcache\urlmon.dll
2009-03-16 16:40 . 2008-12-12 17:01 3088896 -c----w c:\windows\system32\dllcache\mshtml.dll
2009-03-16 16:39 . 2009-04-04 09:08 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\ICQ
2009-03-16 14:18 . 2008-10-24 11:21 455296 -c----w c:\windows\system32\dllcache\mrxsmb.sys
2009-03-16 14:17 . 2008-12-11 10:57 333952 -c----w c:\windows\system32\dllcache\srv.sys
2009-03-16 14:16 . 2008-05-01 14:34 331776 -c----w c:\windows\system32\dllcache\msadce.dll
2009-03-16 14:15 . 2008-04-11 19:04 691712 -c----w c:\windows\system32\dllcache\inetcomm.dll
2009-03-16 14:07 . 2009-03-16 14:07 0 ----a-w c:\windows\nsreg.dat
2009-03-16 14:07 . 2009-03-16 14:07 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-03-16 14:07 . 2008-10-15 16:35 337408 -c----w c:\windows\system32\dllcache\netapi32.dll
2009-03-16 14:06 . 2008-09-04 17:15 1106944 -c----w c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 12:23 . 2009-03-16 14:07 -------- d-----w c:\programme\Moilla Firefox
2009-04-15 12:15 . 2009-04-15 12:15 -------- d-----w c:\programme\CCleaner
2009-04-15 10:44 . 2009-04-14 14:05 -------- d-----w c:\programme\SUPERAntiSpyware
2009-04-15 10:42 . 2009-04-12 12:16 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-13 21:14 . 2009-04-13 21:14 -------- d-----w c:\programme\Trend Micro
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-13 12:01 . 2009-04-13 12:01 -------- d-----w c:\programme\Avira
2009-04-12 17:13 . 2009-03-20 13:47 -------- d-----w c:\programme\flatster
2009-04-12 17:08 . 2009-04-12 17:07 -------- d-----w c:\programme\BOINC
2009-04-02 12:06 . 2009-03-31 13:23 -------- d-----w c:\programme\TuneUp Utilities 2009
2009-03-31 12:52 . 2009-03-15 20:16 43904 ----a-w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-31 12:48 . 2003-04-02 12:00 70778 ----a-w c:\windows\system32\perfc007.dat
2009-03-31 12:48 . 2003-04-02 12:00 405448 ----a-w c:\windows\system32\perfh007.dat
2009-03-30 19:08 . 2009-03-30 19:08 -------- d-----w c:\programme\VideoLAN
2009-03-18 18:04 . 2009-03-15 18:02 -------- d--h--w c:\programme\InstallShield Installation Information
2009-03-18 17:34 . 2009-03-18 17:34 -------- d-----w c:\programme\Atari
2009-03-17 18:23 . 2009-03-17 18:23 -------- d-----w c:\programme\Microsoft
2009-03-17 18:23 . 2009-03-17 18:22 -------- d-----w c:\programme\Windows Live
2009-03-17 18:23 . 2009-03-17 18:23 -------- d-----w c:\programme\Windows Live SkyDrive
2009-03-17 17:55 . 2009-03-17 17:55 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-17 16:33 . 2009-03-17 16:33 -------- d-----w c:\programme\Java
2009-03-17 14:29 . 2009-03-16 16:39 -------- d-----w c:\programme\Common Files
2009-03-16 21:33 . 2009-03-16 21:33 -------- d-----w c:\programme\MSXML 4.0
2009-03-16 20:27 . 2009-03-16 20:26 502 ----a-w C:\updatedatfix.log
2009-03-16 20:27 . 2009-03-15 17:56 -------- d-----w c:\programme\HP
2009-03-15 20:01 . 2009-03-15 20:01 99840 ----a-w c:\windows\system32\drivers\ACEDRV06.sys
2009-03-15 20:00 . 2009-03-15 20:00 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 19:56 . 2009-03-15 19:56 -------- d-----w c:\programme\Baumhaus
2009-03-15 19:45 . 2009-03-15 18:02 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-15 19:43 . 2009-03-15 19:43 42944 ----a-w c:\dokumente und einstellungen\Julian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-15 19:36 . 2009-03-15 19:35 -------- d-----w c:\programme\Gemeinsame Dateien\LightScribe
2009-03-15 19:35 . 2009-03-15 19:35 -------- d-----w c:\dokumente und einstellungen\Albin\Anwendungsdaten\Ahead
2009-03-15 19:35 . 2009-03-15 19:35 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-15 19:34 . 2009-03-15 19:32 -------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-03-15 19:32 . 2009-03-15 19:32 -------- d-----w c:\programme\Nero
2009-03-15 19:32 . 2009-03-15 19:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-15 18:54 . 2009-03-15 17:55 -------- d-----w c:\dokumente und einstellungen\Albin\Anwendungsdaten\HP
2009-03-15 18:54 . 2009-03-15 17:55 42944 ----a-w c:\dokumente und einstellungen\Albin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-15 18:49 . 2009-03-15 18:49 -------- d-----w c:\programme\Microsoft.NET
2009-03-15 18:20 . 2009-03-15 17:50 76487 ----a-w c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-03-15 18:16 . 2003-04-02 12:00 251712 --sha-r C:\ntldr
2009-03-15 18:04 . 2009-03-15 18:04 -------- d-----w c:\programme\AMD
2009-03-15 18:01 . 2009-03-15 17:55 80433 ----a-w c:\windows\hpfins05.dat
2009-03-15 17:59 . 2009-03-15 17:59 -------- d-----w c:\programme\Gemeinsame Dateien\HP
2009-03-15 17:59 . 2009-03-15 17:59 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-03-15 17:50 . 2009-03-15 17:50 -------- d-----w c:\programme\microsoft frontpage
2009-03-15 17:49 . 2009-03-15 17:49 -------- d-----w c:\programme\Online-Dienste
2009-03-15 17:48 . 2009-03-15 17:48 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-15 17:48 . 2009-03-15 17:48 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-16 22:17 . 2009-03-15 18:06 453152 ----a-w c:\windows\system32\NVUNINST.EXE
2009-02-09 14:04 . 2003-04-02 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-10 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LightScribe Control Panel"=c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"SoundMan"=SOUNDMAN.EXE
"nwiz"=nwiz.exe /install

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\Programme\\TuneUp Utilities 2009\\OneClickStarter.exe"=
"c:\\Programme\\Java\\jre6\\bin\\jusched.exe"=

R2 acpi32;acpi32; [x]
R2 amd64si;amd64si; [x]
R2 ati64si;ati64si; [x]
R2 fips32cup;fips32cup; [x]
R2 i386si;i386si; [x]
R2 ksi32sk;ksi32sk; [x]
R2 netsik;netsik; [x]
R2 nicsk32;nicsk32; [x]
R2 port135sik;port135sik; [x]
S2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [2009-03-15 99840]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - SASDIFSV

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-04-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 17:07]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\kqdixtsa.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2157306&SearchSource=3&q={searchTerms}
FF - component: c:\dokumente und einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\kqdixtsa.default\extensions\{af58b183-6841-4626-bfc8-cde80a9ef051}\components\FFExternalAlert.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-15 14:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-04-15 14:36
ComboFix-quarantined-files.txt 2009-04-15 12:36

Vor Suchlauf: 13 Verzeichnis(se), 22.286.655.488 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.425.698.304 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

242 --- E O F --- 2009-03-22 21:38

john.doe · 15.04.2009, 15:59

Zitat:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Die gehört zu Avira. Man kann sie im abgesicherten Modus entfernen, ob das sinnvoll ist sei dahingestellt.

Zitat:

Und ich wollte sagen, dass sich heute mein AntiVir mal wieder geupdatet hat.

Du hast deinen Autostart ja gut aufgeräumt.

1.) Deinstalliere:

TuneUp Utilities
SuperAntiSpyware

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
acpi32
amd64si
ati64si
fips32cup
i386si
ksi32sk
netsik
nicsk32
port135sik

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\TuneUp Utilities 2009\\OneClickStarter.exe"=-

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\Markus\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\SUPERAntiSpyware
c:\programme\Spybot - Search & Destroy
c:\programme\Online-Dienste

File::
c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
C:\updatedatfix.log
c:\dokumente und einstellungen\Julian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Albin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\Tasks\1-Klick-Wartung.job

DirLook::
c:\windows\Downloaded Installations

FileLook::
C:\aufgaben.isl
c:\windows\system32\SQLite3.dll

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

geissi · 15.04.2009, 17:30

TuneUp Utilities habe ich deinstalliert, SuperAntiSpyware habe ich schon davor deinstalliert gehabt.
War das mit dem Autostart Ironie, oder Ernst?

Hier der Log von ComboFix:
ComboFix 09-04-15.08 - Markus 15.04.2009 18:21.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.205 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Markus\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Markus\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\dokumente und einstellungen\Albin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Julian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\updatedatfix.log
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\Tasks\1-Klick-Wartung.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Albin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}\{CB46EC13-5F35-46E4-8E48-8354D5478100}.msi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}\{FB68628E-8FB9-41C2-BA55-D129249EE2AF}.msi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Configuration.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090412-1726.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090412-1741.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090412-1853.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090412-1916.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090412-1953.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090412-2009.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090413-1332.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090413-1345.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090413-1346.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090413-1346.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090413-1347.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090413-1354.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090414-1105.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090414-1120.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090414-1126.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090414-1141.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090414-1356.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090414-1510.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090414-1526.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Fixes.090412-1852.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Fixes.090412-2039.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Fixes.090413-1346.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Fixes.090414-1126.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Fixes.090414-1528.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Update downloads.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentmds.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentmds1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentmds2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentmds3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentmds4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentmds5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2\RegBHO-Global.reg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2\RegUS1-Markus.reg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2\Timestamps.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\Julian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Markus\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\programme\Online-Dienste
c:\programme\Online-Dienste\An weitere Internetdienstanbieter verweisen.lnk
c:\programme\Spybot - Search & Destroy
c:\programme\Spybot - Search & Destroy\advcheck.dll
c:\programme\Spybot - Search & Destroy\TeaTimer.exe
c:\programme\SUPERAntiSpyware
C:\updatedatfix.log
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AMD64SI
-------\Legacy_ATI64SI
-------\Legacy_NETSIK
-------\Service_acpi32
-------\Service_amd64si
-------\Service_ati64si
-------\Service_fips32cup
-------\Service_i386si
-------\Service_ksi32sk
-------\Service_netsik
-------\Service_nicsk32
-------\Service_port135sik

((((((((((((((((((((((( Dateien erstellt von 2009-03-15 bis 2009-04-15 ))))))))))))))))))))))))))))))
.

2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\Malwarebytes
2009-04-13 20:43 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-13 20:43 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-13 12:01 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-13 12:01 . 2009-04-13 12:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-10 15:25 . 2009-04-10 15:24 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-04-06 08:01 . 2009-04-10 08:43 2048 ----a-w C:\aufgaben.isl
2009-04-06 07:22 . 2009-04-06 07:22 -------- d-----w c:\windows\Downloaded Installations
2009-04-04 10:46 . 2009-04-04 10:46 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Identities
2009-04-04 10:46 . 2009-04-04 10:46 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-04-02 16:08 . 2009-04-02 16:08 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\HP
2009-03-31 13:31 . 2009-04-02 12:06 603904 ----a-w c:\windows\system32\TUProgSt.exe
2009-03-31 13:24 . 2009-03-31 13:24 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software
2009-03-31 13:23 . 2009-03-31 13:23 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-03-31 11:51 . 2009-04-06 20:52 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\dvdcss
2009-03-30 19:10 . 2009-03-30 19:28 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\vlc
2009-03-28 13:08 . 2009-03-28 13:08 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HFKids
2009-03-28 13:02 . 2009-03-28 13:04 -------- d-----w c:\dokumente und einstellungen\Julian\Anwendungsdaten\HFKids
2009-03-26 14:02 . 2008-12-17 18:16 481792 ----a-w c:\windows\system32\SQLite3.dll
2009-03-21 17:11 . 2009-03-21 17:11 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\AdobeUM
2009-03-21 17:10 . 2009-03-21 17:11 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-03-19 18:34 . 2009-04-10 15:09 151 ----a-w c:\windows\PhotoSnapViewer.INI
2009-03-18 19:20 . 2009-03-18 19:20 -------- d-----w c:\windows\uninstall\Zauberschule
2009-03-18 19:18 . 2009-03-18 19:19 -------- d-----w c:\windows\uninstall\Sudoku für Kids
2009-03-18 19:17 . 2009-03-18 19:17 -------- d-----w c:\windows\uninstall\QuizTime Junior
2009-03-18 19:16 . 2009-03-18 19:17 -------- d-----w c:\windows\uninstall\Wort- und Sprachspiele
2009-03-18 18:10 . 2009-03-18 18:11 -------- d-----w c:\windows\uninstall\Gedächtnis- und Intelligenzspiele
2009-03-18 18:09 . 2009-03-18 19:20 -------- d-----w c:\windows\uninstall
2009-03-18 18:09 . 2009-03-18 18:09 -------- d-----w c:\windows\uninstall\Kinder- und Lernspiele mit Fiona und Fabian
2009-03-18 18:07 . 2009-03-18 18:07 54032 ----a-w c:\windows\_BB6627C.TTF
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER5.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER4.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER3.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER2.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER1.JIM
2009-03-18 18:06 . 2009-03-18 18:06 41736 ----a-w c:\windows\macromix.dll
2009-03-18 18:06 . 2009-03-18 18:06 30544 ----a-w c:\windows\dirdib.drv
2009-03-18 18:05 . 2009-03-18 18:05 205 ----a-w c:\windows\verkehr.ini
2009-03-18 18:05 . 2009-03-18 18:05 0 ----a-w c:\windows\MTB40.INI
2009-03-18 18:05 . 1995-06-13 14:10 54272 ----a-w c:\windows\system\oshtools.dll
2009-03-18 18:05 . 2009-03-18 18:05 -------- d-----w C:\Franzis
2009-03-18 18:03 . 1998-06-17 22:00 89360 ----a-w c:\windows\system32\VB5DB.DLL
2009-03-18 17:42 . 2009-03-18 17:42 -------- d-----w c:\windows\USMPrefs
2009-03-18 17:34 . 2009-03-18 17:34 9472 ----a-w c:\windows\system32\drivers\lemsgt.sys
2009-03-18 17:34 . 2009-03-18 17:34 137344 ----a-w c:\windows\system32\drivers\hwpsgt.sys
2009-03-18 17:34 . 2008-10-16 13:06 268648 ----a-w c:\windows\system32\mucltui.dll
2009-03-18 17:34 . 2008-10-16 13:06 208744 ----a-w c:\windows\system32\muweb.dll
2009-03-18 17:34 . 2008-10-16 13:06 27496 ----a-w c:\windows\system32\mucltui.dll.mui
2009-03-18 13:28 . 2009-03-18 13:28 -------- d-s---w c:\dokumente und einstellungen\Markus\UserData
2009-03-17 18:40 . 2009-04-10 20:02 69 ----a-w c:\windows\NeroDigital.ini
2009-03-17 18:26 . 2009-04-15 16:24 -------- d-----w c:\dokumente und einstellungen\Markus\Tracing
2009-03-17 16:34 . 2009-03-17 16:34 -------- d-----w c:\windows\Sun
2009-03-17 16:33 . 2009-04-10 15:24 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-16 20:32 . 2008-08-14 13:19 2068352 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-16 20:32 . 2008-08-14 13:19 2147840 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-16 20:32 . 2008-08-14 13:19 2191488 -c----w c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-16 20:32 . 2008-08-14 13:19 2026496 -c----w c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-16 20:25 . 2009-03-16 20:25 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-03-16 20:17 . 2009-03-16 20:17 221 ----a-w c:\windows\HP_RedboxHprblog_HPSU.ini
2009-03-16 16:41 . 2008-06-14 17:32 273024 -c----w c:\windows\system32\dllcache\bthport.sys
2009-03-16 16:40 . 2008-10-16 01:00 671744 -c----w c:\windows\system32\dllcache\wininet.dll
2009-03-16 16:40 . 2008-10-16 01:00 1499136 -c----w c:\windows\system32\dllcache\shdocvw.dll
2009-03-16 16:40 . 2008-10-16 01:00 620544 -c----w c:\windows\system32\dllcache\urlmon.dll
2009-03-16 16:40 . 2008-12-12 17:01 3088896 -c----w c:\windows\system32\dllcache\mshtml.dll
2009-03-16 16:39 . 2009-04-04 09:08 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\ICQ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 16:14 . 2009-03-16 14:07 -------- d-----w c:\programme\Moilla Firefox
2009-04-15 12:15 . 2009-04-15 12:15 -------- d-----w c:\programme\CCleaner
2009-04-13 21:14 . 2009-04-13 21:14 -------- d-----w c:\programme\Trend Micro
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-13 12:01 . 2009-04-13 12:01 -------- d-----w c:\programme\Avira
2009-04-12 17:13 . 2009-03-20 13:47 -------- d-----w c:\programme\flatster
2009-04-12 17:08 . 2009-04-12 17:07 -------- d-----w c:\programme\BOINC
2009-03-30 19:08 . 2009-03-30 19:08 -------- d-----w c:\programme\VideoLAN
2009-03-18 18:04 . 2009-03-15 18:02 -------- d--h--w c:\programme\InstallShield Installation Information
2009-03-18 17:34 . 2009-03-18 17:34 -------- d-----w c:\programme\Atari
2009-03-17 18:23 . 2009-03-17 18:23 -------- d-----w c:\programme\Microsoft
2009-03-17 18:23 . 2009-03-17 18:22 -------- d-----w c:\programme\Windows Live
2009-03-17 18:23 . 2009-03-17 18:23 -------- d-----w c:\programme\Windows Live SkyDrive
2009-03-17 17:55 . 2009-03-17 17:55 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-17 16:33 . 2009-03-17 16:33 -------- d-----w c:\programme\Java
2009-03-17 14:29 . 2009-03-16 16:39 -------- d-----w c:\programme\Common Files
2009-03-16 21:33 . 2009-03-16 21:33 -------- d-----w c:\programme\MSXML 4.0
2009-03-16 20:27 . 2009-03-15 17:56 -------- d-----w c:\programme\HP
2009-03-15 20:01 . 2009-03-15 20:01 99840 ----a-w c:\windows\system32\drivers\ACEDRV06.sys
2009-03-15 20:00 . 2009-03-15 20:00 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 19:56 . 2009-03-15 19:56 -------- d-----w c:\programme\Baumhaus
2009-03-15 19:45 . 2009-03-15 18:02 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-15 19:36 . 2009-03-15 19:35 -------- d-----w c:\programme\Gemeinsame Dateien\LightScribe
2009-03-15 19:35 . 2009-03-15 19:35 -------- d-----w c:\dokumente und einstellungen\Albin\Anwendungsdaten\Ahead
2009-03-15 19:35 . 2009-03-15 19:35 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-15 19:34 . 2009-03-15 19:32 -------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-03-15 19:32 . 2009-03-15 19:32 -------- d-----w c:\programme\Nero
2009-03-15 19:32 . 2009-03-15 19:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-15 18:54 . 2009-03-15 17:55 -------- d-----w c:\dokumente und einstellungen\Albin\Anwendungsdaten\HP
2009-03-15 18:49 . 2009-03-15 18:49 -------- d-----w c:\programme\Microsoft.NET
2009-03-15 18:20 . 2009-03-15 17:50 76487 ----a-w c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-03-15 18:16 . 2003-04-02 12:00 251712 --sha-r C:\ntldr
2009-03-15 18:04 . 2009-03-15 18:04 -------- d-----w c:\programme\AMD
2009-03-15 18:01 . 2009-03-15 17:55 80433 ----a-w c:\windows\hpfins05.dat
2009-03-15 17:59 . 2009-03-15 17:59 -------- d-----w c:\programme\Gemeinsame Dateien\HP
2009-03-15 17:59 . 2009-03-15 17:59 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-03-15 17:50 . 2009-03-15 17:50 -------- d-----w c:\programme\microsoft frontpage
2009-03-15 17:48 . 2009-03-15 17:48 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-15 17:48 . 2009-03-15 17:48 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-16 22:17 . 2009-03-15 18:06 453152 ----a-w c:\windows\system32\NVUNINST.EXE
2009-02-09 14:04 . 2003-04-02 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\aufgaben.isl -- Not a PE file.
File Size: 2048
Created Time: 2009-04-06 08:01
Modified Time: 2009-04-10 08:43
Accessed Time: 2009-04-15 16:21
MD5: 6949EA5BDE6CD2413658CA658FDE551E
SHA: 084F1EC5C7DF56C1F34C5D74FF40F1CE0F1F2A5B

---- c:\windows\system32\SQLite3.dll ----
Company: SQLite Development Team
File Description: SQLite Dynamic Link Library (No TCL)
File Version: 3, 6, 7, 0
Product Name: SQLite Dynamic Link Library (No TCL)
Copyright: 2000-2008 Public Domain
Original file name: SQLite3.dll
File Size: 481792
Created Time: 2009-03-26 14:02
Modified Time: 2008-12-17 18:16
Accessed Time: 2009-04-15 16:21
MD5: D59C5FD7F59F864A7F9C5CA52C99FBE7
SHA: 0BD9473185A1ED1C299FAB3ACA77823388B860E3

---- Directory of c:\windows\Downloaded Installations ----

2009-04-06 07:22 . 2009-04-06 07:53 6026752 ----a-w c:\windows\Downloaded Installations\{7215C1C4-C8EB-4522-AE70-91C7DD8A11C0}\BOINC.msi

((((((((((((((((((((((((((((( SnapShot@2009-04-15_12.35.10 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-15 16:24 . 2009-04-15 16:24 16384 c:\windows\temp\Perflib_Perfdata_600.dat
+ 2009-04-15 16:23 . 2005-10-20 18:02 163328 c:\windows\ERDNT\subs\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\Programme\\Java\\jre6\\bin\\jusched.exe"=

R2 securentm;securentm; [x]
R2 systemntmi;systemntmi; [x]
R2 ws2_32sik;ws2_32sik; [x]
S2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [2009-03-15 99840]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\kqdixtsa.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2157306&SearchSource=3&q={searchTerms}
FF - component: c:\dokumente und einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\kqdixtsa.default\extensions\{af58b183-6841-4626-bfc8-cde80a9ef051}\components\FFExternalAlert.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-15 18:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\sirenacm.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\HP\Digital Imaging\bin\hpqtra08.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wdfmgr.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-15 18:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-15 16:27
ComboFix2.txt 2009-04-15 12:36

Vor Suchlauf: 13 Verzeichnis(se), 22.405.193.728 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.294.962.176 Bytes frei

320 --- E O F --- 2009-03-22 21:38

john.doe · 15.04.2009, 17:42

Zitat:

War das mit dem Autostart Ironie, oder Ernst?

Ernst.

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"LightScribe Control Panel"=c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"SoundMan"=SOUNDMAN.EXE
"nwiz"=nwiz.exe /install

Alles Einträge, die du mit msconfig gekillt hast.

Im ComboFix-Log tauchen ja ständig neue auf.

Egal, löschen wir dir auch noch den Rest der Festplatte weg.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
securentm
systemntmi
ws2_32sik

Folder::
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
c:\programme\TuneUp Software

File::
c:\windows\system32\TUProgSt.exe
c:\windows\Downloaded Installations\{7215C1C4-C8EB-4522-AE70-91C7DD8A11C0}\BOINC.msi

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

geissi · 15.04.2009, 17:58

ComboFix 09-04-15.08 - Markus 15.04.2009 18:48.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.243 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Markus\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Markus\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\Downloaded Installations\{7215C1C4-C8EB-4522-AE70-91C7DD8A11C0}\BOINC.msi
c:\windows\system32\TUProgSt.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Adobe Reader - Schnellstart.lnk
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000001.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000002.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000003.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000004.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000005.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000006.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000007.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000008.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000009.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000010.rcb
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Dashboard\IntegratorStates.bin
c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\PreviousEntries.dat
c:\windows\Downloaded Installations\{7215C1C4-C8EB-4522-AE70-91C7DD8A11C0}\BOINC.msi
c:\windows\system32\TUProgSt.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SECURENTM
-------\Service_securentm
-------\Service_systemntmi
-------\Service_ws2_32sik

((((((((((((((((((((((( Dateien erstellt von 2009-03-15 bis 2009-04-15 ))))))))))))))))))))))))))))))
.

2009-04-15 16:45 . 2009-04-15 16:45 -------- d-----w c:\windows\SxsCaPendDel
2009-04-15 16:44 . 2009-04-15 16:44 43904 ----a-w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\Malwarebytes
2009-04-13 20:43 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-13 20:43 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-13 12:01 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-13 12:01 . 2009-04-13 12:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-10 15:25 . 2009-04-10 15:24 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-04-06 08:01 . 2009-04-10 08:43 2048 ----a-w C:\aufgaben.isl
2009-04-06 07:22 . 2009-04-06 07:22 -------- d-----w c:\windows\Downloaded Installations
2009-04-04 10:46 . 2009-04-04 10:46 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Identities
2009-04-04 10:46 . 2009-04-04 10:46 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-04-02 16:08 . 2009-04-02 16:08 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\HP
2009-03-31 11:51 . 2009-04-06 20:52 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\dvdcss
2009-03-30 19:10 . 2009-03-30 19:28 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\vlc
2009-03-28 13:08 . 2009-03-28 13:08 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HFKids
2009-03-28 13:02 . 2009-03-28 13:04 -------- d-----w c:\dokumente und einstellungen\Julian\Anwendungsdaten\HFKids
2009-03-26 14:02 . 2008-12-17 18:16 481792 ----a-w c:\windows\system32\SQLite3.dll
2009-03-21 17:11 . 2009-03-21 17:11 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\AdobeUM
2009-03-21 17:10 . 2009-03-21 17:11 -------- d-----w c:\dokumente und einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-03-19 18:34 . 2009-04-10 15:09 151 ----a-w c:\windows\PhotoSnapViewer.INI
2009-03-18 19:20 . 2009-03-18 19:20 -------- d-----w c:\windows\uninstall\Zauberschule
2009-03-18 19:18 . 2009-03-18 19:19 -------- d-----w c:\windows\uninstall\Sudoku für Kids
2009-03-18 19:17 . 2009-03-18 19:17 -------- d-----w c:\windows\uninstall\QuizTime Junior
2009-03-18 19:16 . 2009-03-18 19:17 -------- d-----w c:\windows\uninstall\Wort- und Sprachspiele
2009-03-18 18:10 . 2009-03-18 18:11 -------- d-----w c:\windows\uninstall\Gedächtnis- und Intelligenzspiele
2009-03-18 18:09 . 2009-03-18 19:20 -------- d-----w c:\windows\uninstall
2009-03-18 18:09 . 2009-03-18 18:09 -------- d-----w c:\windows\uninstall\Kinder- und Lernspiele mit Fiona und Fabian
2009-03-18 18:07 . 2009-03-18 18:07 54032 ----a-w c:\windows\_BB6627C.TTF
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER5.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER4.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER3.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER2.JIM
2009-03-18 18:06 . 2009-03-18 18:06 126 ----a-w C:\LERNER1.JIM
2009-03-18 18:06 . 2009-03-18 18:06 41736 ----a-w c:\windows\macromix.dll
2009-03-18 18:06 . 2009-03-18 18:06 30544 ----a-w c:\windows\dirdib.drv
2009-03-18 18:05 . 2009-03-18 18:05 205 ----a-w c:\windows\verkehr.ini
2009-03-18 18:05 . 2009-03-18 18:05 0 ----a-w c:\windows\MTB40.INI
2009-03-18 18:05 . 1995-06-13 14:10 54272 ----a-w c:\windows\system\oshtools.dll
2009-03-18 18:05 . 2009-03-18 18:05 -------- d-----w C:\Franzis
2009-03-18 18:03 . 1998-06-17 22:00 89360 ----a-w c:\windows\system32\VB5DB.DLL
2009-03-18 17:42 . 2009-03-18 17:42 -------- d-----w c:\windows\USMPrefs
2009-03-18 17:34 . 2009-03-18 17:34 9472 ----a-w c:\windows\system32\drivers\lemsgt.sys
2009-03-18 17:34 . 2009-03-18 17:34 137344 ----a-w c:\windows\system32\drivers\hwpsgt.sys
2009-03-18 17:34 . 2008-10-16 13:06 268648 ----a-w c:\windows\system32\mucltui.dll
2009-03-18 17:34 . 2008-10-16 13:06 208744 ----a-w c:\windows\system32\muweb.dll
2009-03-18 17:34 . 2008-10-16 13:06 27496 ----a-w c:\windows\system32\mucltui.dll.mui
2009-03-18 13:28 . 2009-03-18 13:28 -------- d-s---w c:\dokumente und einstellungen\Markus\UserData
2009-03-17 18:40 . 2009-04-10 20:02 69 ----a-w c:\windows\NeroDigital.ini
2009-03-17 18:26 . 2009-04-15 16:24 -------- d-----w c:\dokumente und einstellungen\Markus\Tracing
2009-03-17 16:34 . 2009-03-17 16:34 -------- d-----w c:\windows\Sun
2009-03-17 16:33 . 2009-04-10 15:24 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-16 20:32 . 2008-08-14 13:19 2068352 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-16 20:32 . 2008-08-14 13:19 2147840 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-16 20:32 . 2008-08-14 13:19 2191488 -c----w c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-16 20:32 . 2008-08-14 13:19 2026496 -c----w c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-16 20:25 . 2009-03-16 20:25 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-03-16 20:17 . 2009-03-16 20:17 221 ----a-w c:\windows\HP_RedboxHprblog_HPSU.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 16:27 . 2009-03-16 14:07 -------- d-----w c:\programme\Moilla Firefox
2009-04-15 12:15 . 2009-04-15 12:15 -------- d-----w c:\programme\CCleaner
2009-04-13 21:14 . 2009-04-13 21:14 -------- d-----w c:\programme\Trend Micro
2009-04-13 20:43 . 2009-04-13 20:43 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-13 12:01 . 2009-04-13 12:01 -------- d-----w c:\programme\Avira
2009-04-12 17:13 . 2009-03-20 13:47 -------- d-----w c:\programme\flatster
2009-04-12 17:08 . 2009-04-12 17:07 -------- d-----w c:\programme\BOINC
2009-04-04 09:08 . 2009-03-16 16:39 -------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\ICQ
2009-03-30 19:08 . 2009-03-30 19:08 -------- d-----w c:\programme\VideoLAN
2009-03-18 18:04 . 2009-03-15 18:02 -------- d--h--w c:\programme\InstallShield Installation Information
2009-03-18 17:34 . 2009-03-18 17:34 -------- d-----w c:\programme\Atari
2009-03-17 18:23 . 2009-03-17 18:23 -------- d-----w c:\programme\Windows Live SkyDrive
2009-03-17 17:55 . 2009-03-17 17:55 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-17 16:33 . 2009-03-17 16:33 -------- d-----w c:\programme\Java
2009-03-17 14:29 . 2009-03-16 16:39 -------- d-----w c:\programme\Common Files
2009-03-16 21:33 . 2009-03-16 21:33 -------- d-----w c:\programme\MSXML 4.0
2009-03-16 20:27 . 2009-03-15 17:56 -------- d-----w c:\programme\HP
2009-03-15 20:01 . 2009-03-15 20:01 99840 ----a-w c:\windows\system32\drivers\ACEDRV06.sys
2009-03-15 20:00 . 2009-03-15 20:00 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 19:56 . 2009-03-15 19:56 -------- d-----w c:\programme\Baumhaus
2009-03-15 19:45 . 2009-03-15 18:02 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-15 19:36 . 2009-03-15 19:35 -------- d-----w c:\programme\Gemeinsame Dateien\LightScribe
2009-03-15 19:35 . 2009-03-15 19:35 -------- d-----w c:\dokumente und einstellungen\Albin\Anwendungsdaten\Ahead
2009-03-15 19:35 . 2009-03-15 19:35 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-15 19:34 . 2009-03-15 19:32 -------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-03-15 19:32 . 2009-03-15 19:32 -------- d-----w c:\programme\Nero
2009-03-15 19:32 . 2009-03-15 19:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-15 18:54 . 2009-03-15 17:55 -------- d-----w c:\dokumente und einstellungen\Albin\Anwendungsdaten\HP
2009-03-15 18:49 . 2009-03-15 18:49 -------- d-----w c:\programme\Microsoft.NET
2009-03-15 18:20 . 2009-03-15 17:50 76487 ----a-w c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-03-15 18:16 . 2003-04-02 12:00 251712 --sha-r C:\ntldr
2009-03-15 18:04 . 2009-03-15 18:04 -------- d-----w c:\programme\AMD
2009-03-15 18:01 . 2009-03-15 17:55 80433 ----a-w c:\windows\hpfins05.dat
2009-03-15 17:59 . 2009-03-15 17:59 -------- d-----w c:\programme\Gemeinsame Dateien\HP
2009-03-15 17:59 . 2009-03-15 17:59 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-03-15 17:50 . 2009-03-15 17:50 -------- d-----w c:\programme\microsoft frontpage
2009-03-15 17:48 . 2009-03-15 17:48 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-15 17:48 . 2009-03-15 17:48 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-16 22:17 . 2009-03-15 18:06 453152 ----a-w c:\windows\system32\NVUNINST.EXE
2009-02-09 14:04 . 2003-04-02 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-04-15_12.35.10 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-15 16:50 . 2009-04-15 16:50 16384 c:\windows\temp\Perflib_Perfdata_e0.dat
+ 2009-04-15 16:49 . 2005-10-20 18:02 163328 c:\windows\ERDNT\subs\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\Programme\\Java\\jre6\\bin\\jusched.exe"=

S2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [2009-03-15 99840]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-msnmsgr - c:\programme\Windows Live\Messenger\msnmsgr.exe

.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\kqdixtsa.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2157306&SearchSource=3&q={searchTerms}
FF - component: c:\dokumente und einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\kqdixtsa.default\extensions\{af58b183-6841-4626-bfc8-cde80a9ef051}\components\FFExternalAlert.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-15 18:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wdfmgr.exe
c:\programme\HP\Digital Imaging\bin\hpqtra08.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-15 18:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-15 16:56
ComboFix2.txt 2009-04-15 16:27
ComboFix3.txt 2009-04-15 12:36

Vor Suchlauf: 13 Verzeichnis(se), 22.215.368.704 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.232.444.928 Bytes frei

218 --- E O F --- 2009-03-22 21:38

john.doe · 15.04.2009, 18:02

Wie geht es dem Rechner? Kommen noch Meldungen von Avira?

ciao, andreas

geissi · 15.04.2009, 18:04

Ich würde sagen, dem Rechner geht es gut.
Meldungen vom AVP kamen keine mehr, wenn du AntiVir meinst

Denkst du, der Trojaner ist soweit im Griff?

Trojaner-Vermutung

Log-Analyse und Auswertung: Trojaner-Vermutung