TR/Crypt.ZPACK.Gen eingefangen

clubtunes · 26.04.2009, 09:19

Der Trojaner wurde durch AntiVir festgestellt und er lässt sich nicht löschen.
AntiVir meldet das der Trojaner folgendenden Dateinamen Windows\System32\ovfsthxptjwqobk.dll hat.

Er lässt sich nicht löschen und wird bei jedem Start von Vista aktiv.

Hier ist mein Logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:13:46, on 26.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\wpcumi.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\program files\antivir personaledition classic\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Trojan Remover] "C:\Program Files\Trojan Remover\RMVTRJAN.EXE" /restart2
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\windows sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - .DEFAULT User Startup: T-Online DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-1/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-1/4 (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-1/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-1/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8C25110-96F7-4823-9D22-9D343131D5E6}: NameServer = 192.168.2.1,194.25.2.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c9bba86a2306ec) (gupdate1c9bba86a2306ec) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Routing Service (Routing) - Unknown owner - (no file)
O23 - Service: Roxio UPnP Renderer 9 - Unknown owner - C:\Program Files\Common Files\Sonic Shared\RoxioUPnPRenderer9.exe (file missing)
O23 - Service: Roxio Upnp Server 9 - Unknown owner - C:\Program Files\Common Files\Sonic Shared\RoxioUpnpService9.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Program Files\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Program Files\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10236 bytes

Bitte helft mir dieses Ding wieder zu entfernen.
Vielen Dank

**Sunny** · 26.04.2009, 09:26

Hallo clubtunes und

Bitte zuerst die Anleitung für neue User abarbeiten -> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erst dann wird sich jemand deinem Problem annehmen!

clubtunes · 26.04.2009, 11:14

Halloa habe nun alle Programme durchlaufen lassen (CCleaner, Anti Malware, Hijack This)

Hier ist das Logfile von Malware:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2043
Windows 6.0.6001 Service Pack 1

26.04.2009 11:59:34
mbam-log-2009-04-26 (11-59-34).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 246365
Laufzeit: 55 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Routing (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\perfmons (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\Jürgen Werner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MoviesPlay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Windows\System32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drmgs.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Hier das Logfile von Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:51, on 26.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\wpcumi.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to ALDI
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\windows sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - .DEFAULT User Startup: T-Online DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8C25110-96F7-4823-9D22-9D343131D5E6}: NameServer = 192.168.2.1,194.25.2.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c9bba86a2306ec) (gupdate1c9bba86a2306ec) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Roxio UPnP Renderer 9 - Unknown owner - C:\Program Files\Common Files\Sonic Shared\RoxioUPnPRenderer9.exe (file missing)
O23 - Service: Roxio Upnp Server 9 - Unknown owner - C:\Program Files\Common Files\Sonic Shared\RoxioUpnpService9.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Program Files\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Program Files\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9963 bytes

Und hier die Uninstall Liste:

Activation Assistant for the 2007 Microsoft Office suites
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player
ALDI Foto Manager Free Sued 3.4.0.466 (D)
ALDI Sued Foto Service 1.10.1.67 (D)
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoStudio 5.5
a-squared Free 4.0
AtomixMP3 v2.3 Trial
Avira AntiVir Personal - Free Antivirus
Bonjour
Canon MP Navigator 3.0
Canon MP510
Canon MP510 Benutzerregistrierung
Canon Utilities Easy-PhotoPrint
CCleaner (remove only)
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
DSL-Manager
Easy-WebPrint
Firebird SQL Server - MAGIX Edition 2.0.0.1 (D)
Google Earth
Google Earth
Google Update Helper
HijackThis 2.0.2
iTunes
Java 2 Runtime Environment, SE v1.4.2_10
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Logitech Audio Echo Cancellation Component
Logitech QuickCam
Logitech Video Enumerator
Logitech® Camera-Treiber
Luka und der verborgene Schatz
MakeDisc
Malwarebytes' Anti-Malware
MCE Software Encoder 1.1
MediaShow 3.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Works
MobileMe Control Panel
Mozilla Firefox (3.0.9)
MSVC80_x86
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
MVision
Nero 8
neroxml
Netto Foto 2.6
NVIDIA Drivers
PC Connectivity Solution
PhotoNow! 1.0
PowerCinema Linux 5.0
PowerDirector
PowerDVD
PowerProducer
QuickTime
Realtek High Definition Audio Driver
ScanSoft OmniPage SE 4.0
Sceneo AbsolutTV
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Skype™ 3.6
Sony USB Driver
TuneUp Utilities 2009
TV Enhance
VCRedistSetup
VIA Plattform-Geräte-Manager
Vista Codec Package
Windows Live Anmelde-Assistent
Windows Live installer
Windows Live Messenger
WinRAR
Winsol 1.18
WISO Bewerbung 2008
Yahoo! Messenger

Nachdem ich einen Neustart ausgeführt habe, hat mir AntiVir den Virus wieder gemeldet, obwohl ich wie in der Anleitung beschrieben alles entfernt habe.

**Sunny** · 26.04.2009, 11:22

Avira-AntiRootkit Tool

Folgendes Tool auf den Desktop herunterladen -> Avira AntiRootkit Tool

Das Tool entpacken und installieren über die setup.exe

Danach das Programm starten und auf "Start Scan" klicken

Nach dem Scan auf "View Report" klicken, den Text aus dem Editor kopieren (Strg+A -> Strg+C) und im Forum einfügen (Strg+V)

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

clubtunes · 26.04.2009, 12:02

Hallo,
konnte AnitRootKit Tool nicht installieren aber Combofix ist durchgelaufen

Hier das Logfile

ComboFix 09-04-25.A3 - 26.04.2009 12:51.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.1022.354 [GMT 2:00]
ausgeführt von:: c:\users\\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-26 bis 2009-4-26 ))))))))))))))))))))))))))))))
.

2009-04-26 10:42 . 2009-04-26 10:42 -------- d-----w c:\program files\Avira GmbH
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\users\\AppData\Roaming\Malwarebytes
2009-04-26 08:56 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 08:56 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\users\All Users\Malwarebytes
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\programdata\Malwarebytes
2009-04-26 08:38 . 2009-04-26 08:38 -------- d-----w c:\program files\CCleaner
2009-04-26 07:44 . 2009-04-26 07:44 -------- d-----w c:\users\All Users\Kaspersky Lab Setup Files
2009-04-26 07:44 . 2009-04-26 07:44 -------- d-----w c:\programdata\Kaspersky Lab Setup Files
2009-04-25 14:28 . 2009-04-25 17:09 -------- d-----w c:\program files\a-squared Free
2009-04-24 15:46 . 2009-04-24 16:00 -------- d-----w c:\users\\AppData\Local\Microsoft Games
2009-04-21 16:36 . 2009-04-26 07:10 -------- d---a-w c:\users\All Users\TEMP
2009-04-21 16:36 . 2009-04-26 07:10 -------- d---a-w c:\programdata\TEMP
2009-04-21 16:32 . 2003-02-02 18:06 153088 ----a-w c:\windows\system32\UNRAR3.dll
2009-04-21 16:32 . 2009-04-21 16:32 -------- d-----w c:\users\All Users\Simply Super Software
2009-04-21 16:32 . 2009-04-21 16:32 -------- d-----w c:\programdata\Simply Super Software
2009-04-21 15:16 . 2009-04-21 15:16 -------- d-----w c:\program files\Trend Micro
2009-04-18 16:27 . 2009-04-18 16:29 -------- d-----w c:\program files\Luka und der verborgene Schatz
2009-04-17 18:14 . 2008-12-06 04:42 376832 ----a-w c:\windows\system32\winhttp.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-26 10:44 . 2008-09-03 05:54 -------- d-----w c:\users\\AppData\Roaming\uTorrent
2009-04-26 10:42 . 2007-02-09 13:24 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-26 10:10 . 2006-11-02 15:33 628210 ----a-w c:\windows\System32\perfh007.dat
2009-04-26 10:10 . 2006-11-02 15:33 126850 ----a-w c:\windows\System32\perfc007.dat
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\users\\AppData\Roaming\Malwarebytes
2009-04-25 18:06 . 2007-04-20 17:32 -------- d-----w c:\programdata\AntiVir PersonalEdition Classic
2009-04-18 16:17 . 2007-04-13 18:33 680 ----a-w c:\users\Jürgen Werner\AppData\Local\d3d9caps.dat
2009-04-18 04:58 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-04-13 12:10 . 2007-07-24 14:56 -------- d-----w c:\program files\Java
2009-04-12 19:53 . 2007-02-27 05:19 -------- d-----w c:\program files\Google
2009-03-25 18:13 . 2009-03-11 20:14 22579 ----a-w c:\users\\AppData\Roaming\mdbu.bin
2009-03-24 16:58 . 2009-03-24 16:58 0 ----a-w c:\users\\AppData\Roaming\wklnhst.dat
2009-03-24 16:58 . 2009-03-24 16:58 -------- d-----w c:\users\\AppData\Roaming\Template
2009-03-17 03:38 . 2009-04-17 18:14 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-17 18:14 13824 ----a-w c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-17 18:14 24064 ----a-w c:\windows\System32\amxread.dll
2009-03-11 20:12 . 2009-03-11 20:12 -------- d-----w c:\programdata\FujiColor
2009-03-11 20:12 . 2009-03-11 20:12 -------- d-----w c:\program files\FujiColor
2009-03-10 13:48 . 2007-04-14 21:41 360308 ----a-w c:\users\\AppData\Roaming\mdb.bin
2009-03-09 03:19 . 2008-12-15 09:08 410984 ----a-w c:\windows\System32\deploytk.dll
2009-03-03 04:46 . 2009-04-17 18:14 3599328 ----a-w c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-17 18:14 3547632 ----a-w c:\windows\System32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-17 18:13 827392 ----a-w c:\windows\System32\wininet.dll
2009-03-03 04:39 . 2009-04-17 18:14 183296 ----a-w c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-17 18:14 551424 ----a-w c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-17 18:14 26112 ----a-w c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-17 18:13 78336 ----a-w c:\windows\System32\ieencode.dll
2009-03-03 04:37 . 2009-04-17 18:14 98304 ----a-w c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-17 18:14 54784 ----a-w c:\windows\System32\iasads.dll
2009-03-03 04:37 . 2009-04-17 18:14 44032 ----a-w c:\windows\System32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-17 18:14 666624 ----a-w c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-17 18:14 17408 ----a-w c:\windows\System32\iashost.exe
2009-03-03 02:28 . 2009-04-17 18:13 26624 ----a-w c:\windows\System32\ieUnatt.exe
2009-02-27 05:59 . 2008-10-10 08:29 -------- d-----w c:\program files\Microsoft Silverlight
2009-02-13 08:49 . 2009-04-17 18:14 72704 ----a-w c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-17 18:14 1255936 ----a-w c:\windows\System32\lsasrv.dll
2009-02-09 03:10 . 2009-03-11 09:27 2033152 ----a-w c:\windows\System32\win32k.sys
2008-05-19 17:52 . 2007-03-28 06:47 99880 ----a-w c:\users\Sabine Werner\AppData\Local\GDIPFONTCACHEV1.DAT
2008-05-18 11:56 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
2008-05-14 10:48 . 2007-03-28 06:45 99880 ----a-w c:\users\\AppData\Local\GDIPFONTCACHEV1.DAT
2008-05-13 17:30 . 2007-03-25 04:28 99880 ----a-w c:\users\\AppData\Local\GDIPFONTCACHEV1.DAT
2008-05-13 15:22 . 2007-03-24 17:15 99880 ----a-w c:\users\\AppData\Local\GDIPFONTCACHEV1.DAT
2008-03-24 05:59 . 2008-03-24 05:59 101 ----a-w c:\users\\AppData\Local\fusioncache.dat
2008-01-04 11:51 . 2008-01-04 11:51 9 ----a-w c:\users\\AppData\Roaming\mdb.bin
2007-12-31 14:53 . 2007-12-31 14:53 32 ----a-w c:\users\All Users\ezsid.dat
2007-12-31 14:53 . 2007-12-31 14:53 32 ----a-w c:\programdata\ezsid.dat
2008-03-17 08:42 . 2007-04-13 17:16 16384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-03-17 08:42 . 2007-04-13 17:16 32768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-03-17 08:42 . 2007-04-13 17:16 16384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"Sidebar"="c:\program files\windows sidebar\sidebar.exe" [2008-01-19 1233920]
"Yahoo! Pager"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-12-01 4186112]

c:\users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
WISO Bewerbung-Reminder.lnk - c:\program files\Buhl\Bewerbung 2008\KCReminder.exe [2007-11-29 1236480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="c:\program files\Skype\Phone\Skype.exe" /nosplash /minimized
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" /background
"Yahoo! Pager"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"Google Update"="c:\users\\AppData\Local\Google\Update\GoogleUpdate.exe" /c
"MSServer"=rundll32.exe c:\users\JRGENW~1\AppData\Local\Temp\fccaWmKC.dll,#1
"ehTray.exe"=c:\windows\ehome\ehTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LanguageShortcut"="c:\program files\Home Cinema\PowerDVD\Language\Language.exe"
"RemoteControl"="c:\program files\Home Cinema\PowerDVD\PDVDServ.exe"
"TVEService"="c:\program files\Home Cinema\TV Enhance\TVEService.exe"
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" /hide
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"WPCUMI"=c:\windows\system32\WpcUmi.exe
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"TVBroadcast"=c:\program files\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
"Realtime Audio Engine"="mmrtkrnl.exe" /i
"NeroFilterCheck"=c:\program files\Common Files\Nero\Lib\NeroCheck.exe
"AppleSyncNotifier"=c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{11E99C04-B017-438E-ABA3-D1700862C423}"= c:\program files\Home Cinema\MakeDisc\MakeDisc.exe:MakeDisc
"{6F31C600-719B-48DC-8D2E-AB3F317FECAE}"= c:\program files\Home Cinema\TV Enhance\TVEnhance.exe:CyberLink TVEnhance
"{29DA5EAC-E00B-473C-B77F-757E5EF88BBF}"= c:\program files\Home Cinema\TV Enhance\TVEService.exe:CyberLink TVEnhance Resident Program
"TCP Query User{0744A54D-006D-4068-9F86-2B2D5DAF7D03}c:\\program files\\windows sidebar\\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"UDP Query User{99E79456-6010-42EE-AC6D-A380D0BC6407}c:\\program files\\windows sidebar\\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"{847EAAF3-D319-4852-A723-B8A51126D90E}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{B5BD3406-6441-40A3-BA35-9C948336C45E}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"TCP Query User{47B38C88-B936-4C8C-9FA7-B31E626FF64A}c:\\program files\\java\\j2re1.4.2_10\\bin\\java.exe"= UDP:c:\program files\java\j2re1.4.2_10\bin\java.exe:java
"UDP Query User{13E37818-A8E3-4240-B0CF-305F531C4B45}c:\\program files\\java\\j2re1.4.2_10\\bin\\java.exe"= TCP:c:\program files\java\j2re1.4.2_10\bin\java.exe:java
"{B3902306-3606-4ABB-9BCD-BE45B3B139FF}"= UDP:c:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{54F44306-D527-4D7E-8FFE-6853A5FDC1E4}"= TCP:c:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{073F693C-5771-4827-8939-B3EFA01E740E}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{C0F3FE3A-8E3D-4810-A395-7CBB1F336CFB}c:\\program files\\common files\\nero\\nero web\\setupx.exe"= UDP:c:\program files\common files\nero\nero web\setupx.exe:Nero Installer
"UDP Query User{72C7E6D3-4C59-434D-AE91-9E879C2428F5}c:\\program files\\common files\\nero\\nero web\\setupx.exe"= TCP:c:\program files\common files\nero\nero web\setupx.exe:Nero Installer
"TCP Query User{9752C36F-2A36-4719-9F5A-7CDCE7D72A00}c:\\program files\\nero\\nero8\\nero home\\nerohome.exe"= UDP:c:\program files\nero\nero8\nero home\nerohome.exe:Nero Home
"UDP Query User{1750DB80-E08D-4581-A9FF-227CF69E14B0}c:\\program files\\nero\\nero8\\nero home\\nerohome.exe"= TCP:c:\program files\nero\nero8\nero home\nerohome.exe:Nero Home
"{352D961C-76D0-43B1-8A18-9ED8385CF882}"= UDP:c:\program files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{D6948726-C2D0-4FE3-93E7-E994AED9C39E}"= TCP:c:\program files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"TCP Query User{B1E74453-2DA2-4EE2-BB86-93BD12B0BE3B}c:\\program files\\skype\\phone\\skype.exe"= UDP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{AB9E5D3D-52FC-447C-B218-735B74978200}c:\\program files\\skype\\phone\\skype.exe"= TCP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"TCP Query User{077FB0BB-F234-49F6-9727-9F152511F573}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{BDCCC30E-4975-4C7D-9417-C5B94AE4F102}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"{141ED849-B43F-4BBD-866C-A3B1D1FEBD55}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{54D6FAC9-E817-4EC4-8EE9-A7C048625638}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{4FBD4DAB-3DEC-4492-9CB3-CB3459B2CF51}c:\\program files\\nero\\nero8\\nero showtime\\showtime.exe"= UDP:c:\program files\nero\nero8\nero showtime\showtime.exe:Nero ShowTime
"UDP Query User{ECCEE8F8-1ACE-4FBD-8AD2-FDB805DBE5D3}c:\\program files\\nero\\nero8\\nero showtime\\showtime.exe"= TCP:c:\program files\nero\nero8\nero showtime\showtime.exe:Nero ShowTime
"{A336BF80-CC01-4B42-B2A2-BA18B64B87F6}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{77F06785-0561-404C-9AD7-291AE4A1B1D0}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{C616BEC5-10D2-4B5F-899B-27E77E3DF079}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{75ACA957-0B03-4802-B820-0277CD06020D}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R2 gupdate1c9bba86a2306ec;Google Update Service (gupdate1c9bba86a2306ec);c:\program files\Google\Update\GoogleUpdate.exe [2009-04-12 133104]
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-01-08 1136600]
R3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys [2007-09-12 26816]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2006-10-18 17920]
S1 DslMNLwf;DSL-Manager NDIS LightWeight Filter;c:\windows\system32\DRIVERS\dslmnlwf.sys [2007-08-01 16448]
S2 srvcPVR;Sceneo PVR Service;c:\program files\Sceneo\Bonavista\Services\PVR\PVRService.exe [2007-02-23 1509888]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-01-21 603904]
S2 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\program files\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2007-02-08 299093]
S2 TVESched;TVEnhance Task Scheduler (TTS));c:\program files\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2007-02-08 127059]
S3 netr73;RT73 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2007-05-11 329728]
S3 Ph3xIB32;Philips 713x Inbox PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB32.sys [2007-04-03 1131136]
S3 TDslMgrService;DSL-Manager;c:\program files\T-Online\DSL-Manager\DslMgrSvc.exe [2007-11-26 294912]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - g:\wd_windows_tools\WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\shell\AutoRun\command - h:\wd_windows_tools\WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{941d5da3-da27-11db-b5bb-806e6f6e6963}]
\shell\AutoRun\command - F:\SetupStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95e4c90a-c50b-11dd-aff9-c5f79f850d20}]
\shell\AutoRun\command - h:\wd_windows_tools\WDSetup.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-26 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 18:07]

2009-04-26 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-12 19:53]

2009-04-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1003.job
- c:\users\Nicole Werner\AppData\Local\Google\Update\GoogleUpdate.exe [2008-09-05 10:49]

2009-04-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1004.job
- c:\users\Manuela Hanusch\AppData\Local\Google\Update\GoogleUpdate.exe [2008-09-07 09:23]

2009-04-25 c:\windows\Tasks\User_Feed_Synchronization-{82847C0A-AF6E-49DE-83E5-40A5FD9BBDAC}.job
- c:\windows\system32\msfeedssync.exe [2008-05-18 07:33]

2009-04-26 c:\windows\Tasks\User_Feed_Synchronization-{C4E92352-CF85-4064-A6B2-BC2A55E3CFBB}.job
- c:\windows\system32\msfeedssync.exe [2008-05-18 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen
LSP: c:\windows\system32\wpclsp.dll
TCP: {F8C25110-96F7-4823-9D22-9D343131D5E6} = 192.168.2.1,194.25.2.129
FF - ProfilePath - c:\users\Jürgen Werner\AppData\Roaming\Mozilla\Firefox\Profiles\mj06qic0.default\
FF - plugin: c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-26 12:55
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\windows\system32\drivers\ovfsthxvkntxpuf.sys 83456 bytes executable
c:\windows\system32\ovfsthxclsqonwy.dll.vir 60928 bytes executable
c:\windows\system32\ovfsthxcqjxfuit.dll.vir 60928 bytes executable
c:\windows\system32\ovfsthxidxqsfht.dll 18432 bytes executable
c:\windows\system32\ovfsthxmwpqtmim.dll 18432 bytes executable
c:\windows\system32\ovfsthxptjwqobk.dll 18432 bytes executable
c:\windows\system32\ovfsthxvjonitew.dat 43 bytes
c:\windows\system32\ovfsthxxixtweiq.dll 60928 bytes executable
c:\windows\system32\ovfsthxxujbdurw.dll 18432 bytes executable
c:\windows\system32\ovfsthxyxnoxiex.dat 1545 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 10

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthxwymtxiyp]
"imagepath"="\systemroot\system32\drivers\ovfsthxvkntxpuf.sys"
.
Zeit der Fertigstellung: 2009-04-26 12:56
ComboFix-quarantined-files.txt 2009-04-26 10:56

Vor Suchlauf: 18 Verzeichnis(se), 144.926.957.568 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 144.932.790.272 Bytes frei

257 --- E O F --- 2009-04-24 07:01

john.doe · 26.04.2009, 12:40

*kurz einspringe*

1.) Deinstalliere:

Google Updater
Bonjour
uTorrent (Virenschleuder)
Limewire (Virenschleuder)

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
ovfsthxwymtxiyp

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthxwymtxiyp]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95e4c90a-c50b-11dd-aff9-c5f79f850d20}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{941d5da3-da27-11db-b5bb-806e6f6e6963}]
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\H]
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\G]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{847EAAF3-D319-4852-A723-B8A51126D90E}"=-
"{B5BD3406-6441-40A3-BA35-9C948336C45E}"=-
"{141ED849-B43F-4BBD-866C-A3B1D1FEBD55}"=-
"{54D6FAC9-E817-4EC4-8EE9-A7C048625638}"=-
"{A336BF80-CC01-4B42-B2A2-BA18B64B87F6}"=-
"{77F06785-0561-404C-9AD7-291AE4A1B1D0}"=

Rootkit::
c:\windows\system32\drivers\ovfsthxvkntxpuf.sys
c:\windows\system32\ovfsthxclsqonwy.dll.vir
c:\windows\system32\ovfsthxcqjxfuit.dll.vir
c:\windows\system32\ovfsthxidxqsfht.dll
c:\windows\system32\ovfsthxmwpqtmim.dll
c:\windows\system32\ovfsthxptjwqobk.dll
c:\windows\system32\ovfsthxvjonitew.dat
c:\windows\system32\ovfsthxxixtweiq.dll
c:\windows\system32\ovfsthxxujbdurw.dll
c:\windows\system32\ovfsthxyxnoxiex.dat

Folder::
c:\program files\Google\Update
c:\users\Nicole Werner\AppData\Local\Google\Update
c:\users\Manuela Hanusch\AppData\Local\Google\Update
c:\program files\LimeWire
c:\program files\uTorrent
c:\program files\Bonjour

File::
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1004.job
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1003.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

clubtunes · 26.04.2009, 13:04

Hallo,
über die Systemsteuerung Programme deinstallieren kann ich nur Bonjour und uTorrent erkennen. Google Updater und Limewire hingegen sind dort nicht gelistet.

john.doe · 26.04.2009, 13:11

Dann weiter mit der Liste. Entfernen wir die Reste mit dem Regseeker.

ciao, andreas

mischaccc · 26.04.2009, 13:26

Hallo,

Bitte schaue mal in folgenden Verzeichnissen nach. Dort müssten Ableger dieses Trojaners sein:

Beginne mit der Suche in 'D:\' <Programme>
C:\RECYCLER\S-3-3-73-100015924-100011358-100027749-5245.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-3-3-73-100015924-100011358-100027749-5245.com.VIR' umbenannt!
C:\RECYCLER\S-4-7-89-100000337-100013843-100005696-8740.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-4-7-89-100000337-100013843-100005696-8740.com.VIR' umbenannt!
C:\RECYCLER\S-5-9-38-100008250-100006669-100025632-3543.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-5-9-38-100008250-100006669-100025632-3543.com.VIR' umbenannt!
C:\RECYCLER\S-7-6-29-100016293-100014711-100002589-2573.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-7-6-29-100016293-100014711-100002589-2573.com.VIR' umbenannt!
C:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000045.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000045.com.VIR' umbenannt!
C:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000046.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000046.com.VIR' umbenannt!
C:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000047.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000047.com.VIR' umbenannt!
C:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000048.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000048.com.VIR' umbenannt!

Ich empfehle dir Antvir Free Personal runterzuladen!

Gruß,
mischaccc

clubtunes · 26.04.2009, 13:42

Hallo,
habe bis auf Limewire und Google Updater die Softwaren gelöscht und Combofix wie beschrieben durchgeführt hier ist das Logfile Teil1:

ComboFix 09-04-25.A3 - Jürgen Werner 26.04.2009 14:19.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.1022.381 [GMT 2:00]
ausgeführt von:: c:\users\Jürgen Werner\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Jürgen Werner\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1003.job
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1004.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Google\Update
c:\program files\Google\Update\1.2.141.5\GoogleUpdate.exe
c:\program files\Google\Update\1.2.141.5\GoogleUpdateHelper.msi
c:\program files\Google\Update\1.2.141.5\goopdate.dll
c:\program files\Google\Update\1.2.141.5\GoopdateBho.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ar.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_bg.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_bn.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ca.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_cs.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_da.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_de.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_el.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_en-GB.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_en.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_es-419.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_es.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_et.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_fa.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_fi.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_fil.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_fr.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_gu.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_hi.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_hr.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_hu.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_id.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_is.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_it.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_iw.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ja.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_kn.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ko.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_lt.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_lv.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ml.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_mr.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ms.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_nl.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_no.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_or.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_pl.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_pt-BR.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_pt-PT.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ro.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ru.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_sk.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_sl.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_sr.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_sv.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ta.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_te.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_th.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_tr.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_uk.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_ur.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_vi.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_zh-CN.dll
c:\program files\Google\Update\1.2.141.5\goopdateres_zh-TW.dll
c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dll
c:\program files\Google\Update\GoogleUpdate.exe
c:\users\Manuela Hanusch\AppData\Local\Google\Update
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\GoogleUpdate.exe
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\GoogleUpdateHelper.msi
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdate.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\GoopdateBho.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ar.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_bg.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_bn.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ca.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_cs.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_da.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_de.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_el.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_en-GB.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_en.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_es-419.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_es.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_et.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_fa.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_fi.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_fil.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_fr.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_gu.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_hi.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_hr.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_hu.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_id.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_is.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_it.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_iw.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ja.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_kn.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ko.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_lt.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_lv.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ml.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_mr.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ms.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_nl.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_no.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_or.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_pl.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_pt-BR.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_pt-PT.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ro.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ru.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_sk.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_sl.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_sr.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_sv.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ta.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_te.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_th.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_tr.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_uk.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_ur.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_vi.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_zh-CN.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\goopdateres_zh-TW.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\1.2.141.5\npGoogleOneClick7.dll
c:\users\Manuela Hanusch\AppData\Local\Google\Update\GoogleUpdate.exe
c:\users\Nicole Werner\AppData\Local\Google\Update
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\GoogleUpdate.exe
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\GoogleUpdateHelper.msi
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdate.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\GoopdateBho.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ar.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_bg.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_bn.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ca.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_cs.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_da.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_de.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_el.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_en-GB.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_en.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_es-419.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_es.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_et.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_fa.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_fi.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_fil.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_fr.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_gu.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_hi.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_hr.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_hu.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_id.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_is.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_it.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_iw.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ja.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_kn.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ko.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_lt.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_lv.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ml.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_mr.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ms.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_nl.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_no.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_or.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_pl.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_pt-BR.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_pt-PT.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ro.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ru.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_sk.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_sl.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_sr.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_sv.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ta.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_te.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_th.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_tr.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_uk.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_ur.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_vi.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_zh-CN.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\goopdateres_zh-TW.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\1.2.141.5\npGoogleOneClick7.dll
c:\users\Nicole Werner\AppData\Local\Google\Update\GoogleUpdate.exe
c:\windows\system32\drivers\ovfsthxvkntxpuf.sys
c:\windows\system32\ovfsthxclsqonwy.dll.vir
c:\windows\system32\ovfsthxcqjxfuit.dll.vir
c:\windows\system32\ovfsthxidxqsfht.dll
c:\windows\system32\ovfsthxmwpqtmim.dll
c:\windows\system32\ovfsthxptjwqobk.dll
c:\windows\system32\ovfsthxvjonitew.dat
c:\windows\system32\ovfsthxxixtweiq.dll
c:\windows\system32\ovfsthxxujbdurw.dll
c:\windows\system32\ovfsthxyxnoxiex.dat
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1003.job
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-922040495-3593868386-1456651636-1004.job

clubtunes · 26.04.2009, 13:43

Hier ist Teil 2 da zu lang:

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-26 bis 2009-4-26 ))))))))))))))))))))))))))))))
.

2009-04-26 10:42 . 2009-04-26 10:42 -------- d-----w c:\program files\Avira GmbH
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\users\Jürgen Werner\AppData\Roaming\Malwarebytes
2009-04-26 08:56 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 08:56 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\users\All Users\Malwarebytes
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\programdata\Malwarebytes
2009-04-26 08:38 . 2009-04-26 08:38 -------- d-----w c:\program files\CCleaner
2009-04-26 07:44 . 2009-04-26 07:44 -------- d-----w c:\users\All Users\Kaspersky Lab Setup Files
2009-04-26 07:44 . 2009-04-26 07:44 -------- d-----w c:\programdata\Kaspersky Lab Setup Files
2009-04-25 14:28 . 2009-04-25 17:09 -------- d-----w c:\program files\a-squared Free
2009-04-24 15:46 . 2009-04-24 16:00 -------- d-----w c:\users\Sabine Werner\AppData\Local\Microsoft Games
2009-04-21 16:36 . 2009-04-26 07:10 -------- d---a-w c:\users\All Users\TEMP
2009-04-21 16:36 . 2009-04-26 07:10 -------- d---a-w c:\programdata\TEMP
2009-04-21 16:32 . 2003-02-02 18:06 153088 ----a-w c:\windows\system32\UNRAR3.dll
2009-04-21 16:32 . 2009-04-21 16:32 -------- d-----w c:\users\All Users\Simply Super Software
2009-04-21 16:32 . 2009-04-21 16:32 -------- d-----w c:\programdata\Simply Super Software
2009-04-21 15:16 . 2009-04-21 15:16 -------- d-----w c:\program files\Trend Micro
2009-04-18 16:27 . 2009-04-18 16:29 -------- d-----w c:\program files\Luka und der verborgene Schatz
2009-04-17 18:14 . 2008-12-06 04:42 376832 ----a-w c:\windows\system32\winhttp.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-26 12:19 . 2007-02-27 05:19 -------- d-----w c:\program files\Google
2009-04-26 11:54 . 2008-09-03 05:54 -------- d-----w c:\users\Jürgen Werner\AppData\Roaming\uTorrent
2009-04-26 10:59 . 2009-04-26 10:59 21183 ----a-w C:\log.txt
2009-04-26 10:42 . 2007-02-09 13:24 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-26 10:10 . 2006-11-02 15:33 628210 ----a-w c:\windows\System32\perfh007.dat
2009-04-26 10:10 . 2006-11-02 15:33 126850 ----a-w c:\windows\System32\perfc007.dat
2009-04-26 08:56 . 2009-04-26 08:56 -------- d-----w c:\users\Jürgen Werner\AppData\Roaming\Malwarebytes
2009-04-25 18:06 . 2007-04-20 17:32 -------- d-----w c:\programdata\AntiVir PersonalEdition Classic
2009-04-18 16:17 . 2007-04-13 18:33 680 ----a-w c:\users\Jürgen Werner\AppData\Local\d3d9caps.dat
2009-04-18 04:58 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-04-13 12:10 . 2007-07-24 14:56 -------- d-----w c:\program files\Java
2009-03-25 18:13 . 2009-03-11 20:14 22579 ----a-w c:\users\Jürgen Werner\AppData\Roaming\mdbu.bin
2009-03-24 16:58 . 2009-03-24 16:58 0 ----a-w c:\users\Jürgen Werner\AppData\Roaming\wklnhst.dat
2009-03-24 16:58 . 2009-03-24 16:58 -------- d-----w c:\users\Jürgen Werner\AppData\Roaming\Template
2009-03-17 03:38 . 2009-04-17 18:14 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-17 18:14 13824 ----a-w c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-17 18:14 24064 ----a-w c:\windows\System32\amxread.dll
2009-03-11 20:12 . 2009-03-11 20:12 -------- d-----w c:\programdata\FujiColor
2009-03-11 20:12 . 2009-03-11 20:12 -------- d-----w c:\program files\FujiColor
2009-03-10 13:48 . 2007-04-14 21:41 360308 ----a-w c:\users\Jürgen Werner\AppData\Roaming\mdb.bin
2009-03-09 03:19 . 2008-12-15 09:08 410984 ----a-w c:\windows\System32\deploytk.dll
2009-03-03 04:46 . 2009-04-17 18:14 3599328 ----a-w c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-17 18:14 3547632 ----a-w c:\windows\System32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-17 18:13 827392 ----a-w c:\windows\System32\wininet.dll
2009-03-03 04:39 . 2009-04-17 18:14 183296 ----a-w c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-17 18:14 551424 ----a-w c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-17 18:14 26112 ----a-w c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-17 18:13 78336 ----a-w c:\windows\System32\ieencode.dll
2009-03-03 04:37 . 2009-04-17 18:14 98304 ----a-w c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-17 18:14 54784 ----a-w c:\windows\System32\iasads.dll
2009-03-03 04:37 . 2009-04-17 18:14 44032 ----a-w c:\windows\System32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-17 18:14 666624 ----a-w c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-17 18:14 17408 ----a-w c:\windows\System32\iashost.exe
2009-03-03 02:28 . 2009-04-17 18:13 26624 ----a-w c:\windows\System32\ieUnatt.exe
2009-02-27 05:59 . 2008-10-10 08:29 -------- d-----w c:\program files\Microsoft Silverlight
2009-02-13 08:49 . 2009-04-17 18:14 72704 ----a-w c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-17 18:14 1255936 ----a-w c:\windows\System32\lsasrv.dll
2009-02-09 03:10 . 2009-03-11 09:27 2033152 ----a-w c:\windows\System32\win32k.sys
2008-05-19 17:52 . 2007-03-28 06:47 99880 ----a-w c:\users\Sabine Werner\AppData\Local\GDIPFONTCACHEV1.DAT
2008-05-18 11:56 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
2008-05-14 10:48 . 2007-03-28 06:45 99880 ----a-w c:\users\Manuela Hanusch\AppData\Local\GDIPFONTCACHEV1.DAT
2008-05-13 17:30 . 2007-03-25 04:28 99880 ----a-w c:\users\Nicole Werner\AppData\Local\GDIPFONTCACHEV1.DAT
2008-05-13 15:22 . 2007-03-24 17:15 99880 ----a-w c:\users\Jürgen Werner\AppData\Local\GDIPFONTCACHEV1.DAT
2008-03-24 05:59 . 2008-03-24 05:59 101 ----a-w c:\users\Jürgen Werner\AppData\Local\fusioncache.dat
2008-01-04 11:51 . 2008-01-04 11:51 9 ----a-w c:\users\Nicole Werner\AppData\Roaming\mdb.bin
2007-12-31 14:53 . 2007-12-31 14:53 32 ----a-w c:\users\All Users\ezsid.dat
2007-12-31 14:53 . 2007-12-31 14:53 32 ----a-w c:\programdata\ezsid.dat
2008-03-17 08:42 . 2007-04-13 17:16 16384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-03-17 08:42 . 2007-04-13 17:16 32768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-03-17 08:42 . 2007-04-13 17:16 16384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-04-26_10.55.04 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-02-26 15:58 . 2009-04-26 10:03 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2007-02-26 15:58 . 2009-04-26 12:23 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2007-02-26 15:58 . 2009-04-26 12:23 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2007-02-26 15:58 . 2009-04-26 10:03 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-04-26 12:23 . 2009-04-26 12:23 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-04-26 10:03 . 2009-04-26 10:03 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-04-26 12:23 . 2009-04-26 12:23 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-04-26 10:03 . 2009-04-26 10:03 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2007-02-26 15:58 . 2009-04-26 12:23 229376 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2007-02-26 15:58 . 2009-04-26 10:03 229376 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-02 12:47 . 2009-04-26 12:26 245760 c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2006-11-02 12:47 . 2009-04-26 10:04 245760 c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2006-11-02 12:47 . 2009-04-26 10:04 225280 c:\windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2006-11-02 12:47 . 2009-04-26 12:26 225280 c:\windows\ServiceProfiles\LocalService\NTUSER.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"Sidebar"="c:\program files\windows sidebar\sidebar.exe" [2008-01-19 1233920]
"Yahoo! Pager"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-12-01 4186112]

c:\users\Manuela Hanusch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\Nicole Werner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\Sabine Werner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\Jrgen Werner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\T-Online\DSL-Manager\DslMgr.exe [2007-12-2 1085440]

c:\users\Jrgen Werner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
WISO Bewerbung-Reminder.lnk - c:\program files\Buhl\Bewerbung 2008\KCReminder.exe [2007-11-29 1236480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{11E99C04-B017-438E-ABA3-D1700862C423}"= c:\program files\Home Cinema\MakeDisc\MakeDisc.exe:MakeDisc
"{6F31C600-719B-48DC-8D2E-AB3F317FECAE}"= c:\program files\Home Cinema\TV Enhance\TVEnhance.exe:CyberLink TVEnhance
"{29DA5EAC-E00B-473C-B77F-757E5EF88BBF}"= c:\program files\Home Cinema\TV Enhance\TVEService.exe:CyberLink TVEnhance Resident Program
"TCP Query User{0744A54D-006D-4068-9F86-2B2D5DAF7D03}c:\\program files\\windows sidebar\\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"UDP Query User{99E79456-6010-42EE-AC6D-A380D0BC6407}c:\\program files\\windows sidebar\\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"TCP Query User{47B38C88-B936-4C8C-9FA7-B31E626FF64A}c:\\program files\\java\\j2re1.4.2_10\\bin\\java.exe"= UDP:c:\program files\java\j2re1.4.2_10\bin\java.exe:java
"UDP Query User{13E37818-A8E3-4240-B0CF-305F531C4B45}c:\\program files\\java\\j2re1.4.2_10\\bin\\java.exe"= TCP:c:\program files\java\j2re1.4.2_10\bin\java.exe:java
"{B3902306-3606-4ABB-9BCD-BE45B3B139FF}"= UDP:c:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{54F44306-D527-4D7E-8FFE-6853A5FDC1E4}"= TCP:c:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{073F693C-5771-4827-8939-B3EFA01E740E}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{C0F3FE3A-8E3D-4810-A395-7CBB1F336CFB}c:\\program files\\common files\\nero\\nero web\\setupx.exe"= UDP:c:\program files\common files\nero\nero web\setupx.exe:Nero Installer
"UDP Query User{72C7E6D3-4C59-434D-AE91-9E879C2428F5}c:\\program files\\common files\\nero\\nero web\\setupx.exe"= TCP:c:\program files\common files\nero\nero web\setupx.exe:Nero Installer
"TCP Query User{9752C36F-2A36-4719-9F5A-7CDCE7D72A00}c:\\program files\\nero\\nero8\\nero home\\nerohome.exe"= UDP:c:\program files\nero\nero8\nero home\nerohome.exe:Nero Home
"UDP Query User{1750DB80-E08D-4581-A9FF-227CF69E14B0}c:\\program files\\nero\\nero8\\nero home\\nerohome.exe"= TCP:c:\program files\nero\nero8\nero home\nerohome.exe:Nero Home
"{352D961C-76D0-43B1-8A18-9ED8385CF882}"= UDP:c:\program files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{D6948726-C2D0-4FE3-93E7-E994AED9C39E}"= TCP:c:\program files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"TCP Query User{B1E74453-2DA2-4EE2-BB86-93BD12B0BE3B}c:\\program files\\skype\\phone\\skype.exe"= UDP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{AB9E5D3D-52FC-447C-B218-735B74978200}c:\\program files\\skype\\phone\\skype.exe"= TCP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"TCP Query User{077FB0BB-F234-49F6-9727-9F152511F573}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{BDCCC30E-4975-4C7D-9417-C5B94AE4F102}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{4FBD4DAB-3DEC-4492-9CB3-CB3459B2CF51}c:\\program files\\nero\\nero8\\nero showtime\\showtime.exe"= UDP:c:\program files\nero\nero8\nero showtime\showtime.exe:Nero ShowTime
"UDP Query User{ECCEE8F8-1ACE-4FBD-8AD2-FDB805DBE5D3}c:\\program files\\nero\\nero8\\nero showtime\\showtime.exe"= TCP:c:\program files\nero\nero8\nero showtime\showtime.exe:Nero ShowTime
"{C616BEC5-10D2-4B5F-899B-27E77E3DF079}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{75ACA957-0B03-4802-B820-0277CD06020D}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

R2 gupdate1c9bba86a2306ec;Google Update Service (gupdate1c9bba86a2306ec); [x]
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-01-08 1136600]
R3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys [2007-09-12 26816]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2006-10-18 17920]
S1 DslMNLwf;DSL-Manager NDIS LightWeight Filter;c:\windows\system32\DRIVERS\dslmnlwf.sys [2007-08-01 16448]
S2 srvcPVR;Sceneo PVR Service;c:\program files\Sceneo\Bonavista\Services\PVR\PVRService.exe [2007-02-23 1509888]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-01-21 603904]
S2 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\program files\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2007-02-08 299093]
S2 TVESched;TVEnhance Task Scheduler (TTS));c:\program files\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2007-02-08 127059]
S3 netr73;RT73 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2007-05-11 329728]
S3 Ph3xIB32;Philips 713x Inbox PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB32.sys [2007-04-03 1131136]
S3 TDslMgrService;DSL-Manager;c:\program files\T-Online\DSL-Manager\DslMgrSvc.exe [2007-11-26 294912]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - g:\wd_windows_tools\WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\shell\AutoRun\command - h:\wd_windows_tools\WDSetup.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-26 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 18:07]

2009-04-25 c:\windows\Tasks\User_Feed_Synchronization-{82847C0A-AF6E-49DE-83E5-40A5FD9BBDAC}.job
- c:\windows\system32\msfeedssync.exe [2008-05-18 07:33]

2009-04-26 c:\windows\Tasks\User_Feed_Synchronization-{C4E92352-CF85-4064-A6B2-BC2A55E3CFBB}.job
- c:\windows\system32\msfeedssync.exe [2008-05-18 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen
LSP: c:\windows\system32\wpclsp.dll
TCP: {F8C25110-96F7-4823-9D22-9D343131D5E6} = 192.168.2.1,194.25.2.129
FF - ProfilePath - c:\users\Jürgen Werner\AppData\Roaming\Mozilla\Firefox\Profiles\mj06qic0.default\
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-26 14:26
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\windows\system32\drivers\ovfsthxvkntxpuf.sys 83456 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthxwymtxiyp]
"imagepath"="\systemroot\system32\drivers\ovfsthxvkntxpuf.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthxwymtxiyp]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\ovfsthxvkntxpuf.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(8768)
c:\program files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\System32\audiodg.exe
c:\program files\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\a-squared Free\a2service.exe
c:\program files\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Yahoo!\Messenger\Ymsgr_tray.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-26 14:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-26 12:32
ComboFix2.txt 2009-04-26 10:56

Vor Suchlauf: 19 Verzeichnis(se), 137.398.542.336 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 137.570.934.784 Bytes frei

459 --- E O F --- 2009-04-24 07:01

john.doe · 26.04.2009, 14:07

1.) Deinstalliere (falls möglich):

Apple Software Update
a-squared Free 4.0
Google Update Helper
Java 2 Runtime Environment, SE v1.4.2_10
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1