Hallo... Ich bin ziemlich verzweifelt gerade, seit vorgestern habe ich den Trojaner Renos.DZ auf meinem Vista Laptop, zumindest wurde mir das am Anfang noch von dem Windows Defender so mitgeteilt. Dieser hat ihn angeblich auch entfernt, aber dann doch immer wieder neu gefunden.

Daraufhin habe ich den neuesten Antivir heruntergeladen, der konnte aber keine vollständige Systemprüfung durchführen sondern ist immer bei ca 20 abgestürzt (Bluescreen).

Wie sich der Trojaner sonst bemerkbar gemacht hat:

1) Das Brennprogramm Nero erkennt das Brennlaufwerk nicht mehr
2) Einige Downloadlinks im Internet funktionieren nicht mehr
3) Google Ergebnisse leiten weiter zu Ebay Seiten, Youtube Seiten, ...
4) Exe Dateien lassen sich nicht ausführen (so auch leider Spybot und alle neuen Antivirprogramme die ich heruntergeladen habe)
5) Alle weiteren Antivirenprogramme (Pareto, SUPER Antispyware) die ich seit gestern neu heruntergeladen habe, konnte ich nicht installieren, da diese online Updates benötigen auf die sie keinen Zugriff bekommen und dann abbrechen.
6) Der Online-Test von Kaspersky konnte ebenfalls nicht durchgeführt werden, da das Update nicht ausgeführt werden kann.
7) Norman-Malware-Cleaner konnte ich zwar im abgesicherten Modus ausführen und der hat auch was gefunden und entfernt, nicht aber den Renos Virus denke ich... die Probleme bestehen weiterhin. Danach habe ich auch Antivir nochmal im abgesicherten Modus laufen lassen, as erfolgreich war, wobei aber nichts gefunden wurde.


Nun habe ich als erstes den CCleaner ausgeführt. Das verlief wie bei der Anleitung hier im Forum ohne Probleme, ausser, dass bei der Bereinigung der Registrierung auch nach mehrmaligen klicken von Fehler suchen und Fehler beheben am ende immer wieder folgender Eintrag übrigblieb:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}


Danach wollte ich wie im Forum beschrieben Malwarebytes' AntiMalware installieren aber wenn ich das Programm starten soll kommt gleich die Windows Fehlermeldung "das Programm funktioniert nicht mehr" (dies erscheint auch bei allen anderen Antispy Programmen die ich in den letzten Tagen ausprobiert habe)

Anschließend wollte ich das HJTInstall ausführen und HijackThis installieren aber sobald ich auf den Button "Install" klicke kommt ein BlueScreen, auch im Abgesicherten Modus.



Leider weiß ich jetzt echt nicht mehr was ich machen soll... Ich weiß auch nicht ob diese ganzen Fehler von dem Virus kommen oder ob dieser vielleicht doch schon entfernt ist (der Windows Defender meldet ihn nicht mehr) er aber vorher so viel zerstört hat, dass jetzt nichts mehr geht...

Ich bin um jede Hilfe dankbar... Und sollte ich alles platt machen müssen würde mich interessieren wie ich herausfinden kann ob meine externe Festplatte mit meiner Datensicherung, die ich leider seit Auftauchen des Viruses auch verwendet habe, den Virus auch enthält.

Hallo und

hört sich nicht so gut an das ganze...

Versuchen wir es mal so:
Benutze diese umbenannte Combofix.exe
File-Upload.net - CF.exe
nach dieser Anleitung

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

poste bitte das entstandene Log hierher.
Benenne HijackThis um in z.B. ABC.com und versuche erneut es laufen zu lassen, poste auch dieses Log hierher, dann sehen wir weiter.

MFG

Vielen vielen Dank für deine Hilfe so weit!

In der Zwischenzeit haben ich den Antivir nocheinmal laufen lassen, im normalen Modus und es kam keine Fehlermeldung, auch wenn der Renos.dz laut Herstellerangaben erkannt werden sollte...

Daraufhin habe ich deine Ratschläge befolgt:

--------------------------------------------------------------------------
Hier die Ausgabe von Combofix:

ComboFix 09-05-23.04 - Janina 24.05.2009 13:13.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.1789.1142 [GMT 2:00]
ausgeführt von:: c:\users\Janina\Desktop\CF.exe
SP: Avira AntiVir PersonalEdition *enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - Windows: deleted 72 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\gxvxctvjrddimxvtrwfciibsymwwmrpxvufme.sys
c:\windows\system32\gxvxcepvfouoqtdotriapgmeextcqpyybbpan.dll
c:\windows\system32\gxvxcryvtqsrgrdifeymkxvqfuxvwowmcauxh.dll
c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
D:\desktop.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_GXVXCSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2009-04-24 bis 2009-05-24 ))))))))))))))))))))))))))))))
.

2009-05-24 11:18 . 2009-05-24 11:18 -------- d-----w c:\users\Janina\AppData\Local\temp
2009-05-24 11:18 . 2009-05-24 11:18 -------- d-----w c:\users\Test\AppData\Local\temp
2009-05-24 08:38 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-24 08:38 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-24 08:38 . 2009-05-24 08:38 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-24 08:38 . 2009-05-24 08:38 -------- d-----w c:\programdata\Malwarebytes
2009-05-24 08:22 . 2009-05-24 08:22 -------- d-----w c:\program files\CCleaner
2009-05-23 23:14 . 2009-05-23 23:14 -------- d-----w c:\users\Janina\AppData\Local\Adobe
2009-05-23 23:14 . 2009-05-23 23:14 -------- d-----w c:\users\Janina\AppData\Local\Ahead
2009-05-23 15:19 . 2009-05-23 15:19 -------- d-----w c:\windows\system32\Kaspersky Lab
2009-05-23 15:03 . 2009-05-23 23:11 32 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-23 15:01 . 2009-05-23 23:19 -------- d-----w c:\programdata\Kaspersky Lab
2009-05-23 14:49 . 2009-05-23 23:11 172064 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-23 14:42 . 2009-05-23 14:42 -------- d-----w c:\programdata\Kaspersky Lab Setup Files
2009-05-23 14:26 . 2009-05-23 14:26 -------- d-----w c:\programdata\ParetoLogic Anti-Virus PLUS
2009-05-23 14:26 . 2009-05-23 14:26 -------- d-----w c:\program files\ParetoLogic
2009-05-23 14:26 . 2009-05-23 14:26 -------- d-----w c:\program files\Common Files\ParetoLogic
2009-05-23 14:26 . 2009-05-23 14:26 -------- d-----w c:\programdata\ParetoLogic
2009-05-23 14:25 . 2009-05-23 14:25 -------- d-----w c:\users\Janina\AppData\Local\Downloaded Installations
2009-05-23 13:50 . 2009-05-23 22:57 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-05-23 13:50 . 2009-05-23 22:57 -------- d-----w c:\programdata\Spybot - Search & Destroy
2009-05-23 07:52 . 2009-05-23 11:42 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-23 07:52 . 2009-05-23 11:42 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-23 07:52 . 2009-05-23 07:52 -------- d-----w c:\programdata\Avira
2009-05-23 07:52 . 2009-05-23 07:52 -------- d-----w c:\program files\Avira
2009-05-22 07:23 . 2009-05-06 18:06 4784464 ----a-w c:\programdata\Microsoft\Windows Defender\Definition Updates\{20A02908-B554-4705-A1AE-EC2ACCE42E68}\mpengine.dll
2009-05-17 20:28 . 2009-05-17 20:28 1404280 ----a-w c:\users\Janina\setup_dm_Fotowelt.exe
2009-05-07 13:44 . 2009-05-07 13:44 64565 ----a-w c:\users\Janina\AppData\Roaming\Yuuguu\Uninstall.exe
2009-05-07 13:44 . 2009-05-07 14:56 -------- d-----w c:\users\Janina\AppData\Roaming\Yuuguu

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-24 11:18 . 2007-02-28 17:48 973226 ----a-w c:\windows\system32\perfc007.dat
2009-05-24 11:18 . 2007-02-28 17:48 3198662 ----a-w c:\windows\system32\perfh007.dat
2009-05-24 11:09 . 2007-02-28 18:13 12 ----a-w c:\windows\bthservsdp.dat
2009-05-24 09:25 . 2008-11-02 09:23 -------- d-----w c:\programdata\Google Updater
2009-05-23 23:11 . 2009-05-23 15:03 32 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-23 23:11 . 2009-05-23 14:49 2468 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-23 17:25 . 2008-03-01 20:07 -------- d-----w c:\program files\Tunebite
2009-05-23 16:03 . 2009-05-23 15:55 -------- d-----w c:\programdata\SecTaskMan
2009-05-23 13:37 . 2008-12-04 21:03 -------- d-----w c:\program files\Aptana
2009-05-23 12:47 . 2008-04-24 13:22 -------- d-----w c:\users\Janina\AppData\Roaming\FileZilla
2009-05-23 11:23 . 2007-07-02 18:17 -------- d-----w c:\users\Janina\AppData\Roaming\Skype
2009-05-23 10:09 . 2008-03-01 13:55 -------- d-----w c:\users\Janina\AppData\Roaming\skypePM
2009-05-22 08:35 . 2009-05-23 15:35 16217734 ----a-w c:\program files\PROCESSLIST.DB
2009-05-22 08:35 . 2009-05-23 15:35 1164478 ----a-w c:\program files\PROCESSLISTRELATED.DB
2009-05-17 20:29 . 2008-01-13 15:57 -------- d-----w c:\program files\dm Fotowelt
2009-05-13 22:39 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-05-06 13:45 . 2008-08-02 16:26 -------- d-----w c:\users\Janina\AppData\Roaming\MyPhoneExplorer
2009-05-03 14:55 . 2008-03-01 20:09 -------- d-----w c:\users\Janina\AppData\Roaming\tunebite
2009-04-21 13:32 . 2009-04-21 13:32 126836 ---ha-w c:\windows\system32\mlfcache.dat
2009-04-11 21:07 . 2009-04-11 21:07 -------- d-----w c:\program files\SD Karten Reperatur
2009-04-06 21:11 . 2009-04-06 21:07 -------- d-----w c:\program files\Miranda
2009-04-06 19:48 . 2009-04-06 19:48 -------- d-----w c:\program files\Common Files\PX Storage Engine
2009-04-06 19:48 . 2009-04-06 19:47 -------- d-----w c:\program files\Picasa3
2009-04-04 21:31 . 2009-04-04 21:31 -------- d-----w c:\program files\ZattooTV
2009-04-02 10:24 . 2009-04-02 10:24 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-04-02 10:23 . 2009-04-02 10:23 -------- d-----w c:\program files\Common Files\Skype
2009-04-02 10:23 . 2009-04-02 10:23 -------- d-----r c:\program files\Skype
2009-04-02 10:23 . 2008-03-01 13:54 -------- d-----w c:\programdata\Skype
2009-03-20 18:50 . 2009-03-20 18:50 3358720 ----a-w c:\windows\system32\GPhotos.scr
2009-03-17 03:38 . 2009-04-17 08:14 13824 ----a-w c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-17 08:14 24064 ----a-w c:\windows\system32\amxread.dll
2009-03-03 04:46 . 2009-04-17 08:14 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-17 08:14 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-17 08:14 827392 ----a-w c:\windows\system32\wininet.dll
2009-03-03 04:39 . 2009-04-17 08:14 183296 ----a-w c:\windows\system32\sdohlp.dll
2009-03-03 04:39 . 2009-04-17 08:14 551424 ----a-w c:\windows\system32\rpcss.dll
2009-03-03 04:39 . 2009-04-17 08:14 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-17 08:14 78336 ----a-w c:\windows\system32\ieencode.dll
2009-03-03 04:37 . 2009-04-17 08:14 98304 ----a-w c:\windows\system32\iasrecst.dll
2009-03-03 04:37 . 2009-04-17 08:14 54784 ----a-w c:\windows\system32\iasads.dll
2009-03-03 04:37 . 2009-04-17 08:14 44032 ----a-w c:\windows\system32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-17 08:14 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-17 08:14 17408 ----a-w c:\windows\system32\iashost.exe
2009-03-03 02:28 . 2009-04-17 08:14 26624 ----a-w c:\windows\system32\ieUnatt.exe
2008-05-02 09:29 . 2008-06-04 14:04 147456 ----a-w c:\program files\ScreenShooter.exe
2008-04-14 21:24 . 2008-06-04 14:04 57344 ----a-w c:\program files\EasyShutdown.exe
2007-01-06 13:23 . 2007-07-02 18:07 28672 ----a-r c:\program files\Dateien Umbenennen.exe
2009-03-05 14:15 . 2007-07-02 18:09 67688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2009-03-05 14:15 . 2007-07-02 18:09 54368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2009-03-05 14:15 . 2007-07-02 18:09 34944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2009-03-05 14:15 . 2007-07-02 18:09 46712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2009-03-05 14:15 . 2007-07-02 18:09 172136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
2008-10-24 18:59 . 2008-10-24 18:59 48 --sha-w c:\windows\SBA876D7B.tmp
2008-02-04 20:40 . 2008-01-22 21:12 56 --sh--r c:\windows\System32\DB1B04ECF7.sys
2008-07-07 17:59 . 2008-01-22 21:12 1890 --sha-w c:\windows\System32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"WinampAgent"="c:\program files\Winamp\Winampa.exe" [2002-03-20 10752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-12-09 815104]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-05-27 413696]
"Play AVStation TV Scheduler"="c:\program files\Samsung\Play AVStation\TvScheduler.exe" [2007-01-09 73728]
"ParetoLogic Anti-Virus PLUS"="c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" [2009-05-24 2467]
"PAC7311_Monitor"="c:\windows\PixArt\PAC7311\Monitor.exe" [2006-11-03 319488]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-06 54832]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-06-02 267048]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-03-29 624248]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-09 3784704]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-30 113664]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-22 719664]
Launchy.lnk - c:\program files\Launchy\Launchy.exe [2008-12-22 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"NoHotStart"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2396009472-118388213-970362470-1003]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{CB4322A3-6928-4324-ACDD-11F1CC19290D}c:\\program files\\icqlite\\icqlite.exe"= UDP:c:\program files\icqlite\icqlite.exe:ICQLite
"UDP Query User{043FA00C-5E34-476C-ADB6-56F7ABCD648A}c:\\program files\\icqlite\\icqlite.exe"= TCP:c:\program files\icqlite\icqlite.exe:ICQLite
"{F9D0E8DE-AB5D-4A53-8D98-E3A19BD649FB}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{9AAF001A-6339-4845-BBA8-CD7BB7A145E1}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{9C56D3A5-4D15-4CD0-AE76-3B646975ACF0}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{25066B68-7ADE-4DDE-A0AE-079A39D4E191}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"{30442BED-027D-4134-8E95-B9BBE6A3AC0E}"= UDP:990:LocalSubnet:LocalSubnet|IF={F336D207-181C-47B3-9CFD-2719BCE7B2A4}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdSync.exe,-4001
"{CD68863D-9423-402E-BA7F-1598B5DFA15E}"= UDP:990:LocalSubnet:LocalSubnet|IF={F336D207-181C-47B3-9CFD-2719BCE7B2A4}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdSync.exe,-4001
"{9DC20275-6CA6-45AA-9530-BA980BD5603C}"= UDP:990:LocalSubnet:LocalSubnet|IF={F336D207-181C-47B3-9CFD-2719BCE7B2A4}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdSync.exe,-4001
"{123BACB2-0112-4185-B161-7B3C5FB4E4C8}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{6A9A64AE-2961-4014-846F-A0DEF847D3D6}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{4053D8A8-7500-4492-A7B4-2E535FCE42DF}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{A01BFCE8-B512-4A93-B8C7-836762D66BE7}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{7EEBEEE1-BBE8-427A-98EE-F680575D54D2}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{88220EF6-7A1D-4CE1-99AD-EDE66B66E04F}"= UDP:c:\program files\Tunebite\TunebiteHelper.exe:TunebiteHelper
"{5512E7B9-88A4-4E80-A428-311F226D0243}"= TCP:c:\program files\Tunebite\TunebiteHelper.exe:TunebiteHelper
"{03F0D304-DF91-492F-9A96-562F799EA5C1}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{96153325-6B7B-472A-9992-1F83D0959855}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"{488FF4C7-AB70-4C35-9E7A-940AA586F9F4}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{522A4D76-CB1D-4225-A96B-747E4575B1AD}"= TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"{61C34B83-9985-4B08-A3AA-43EE44D140C1}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{508573A2-99FC-416A-9F71-E5C86AB9F666}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{C4511F04-5261-4841-B295-46B0080AA52C}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{ECFEC597-E403-448E-936C-6A6532F9472C}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{D9591285-B1BC-46B6-A512-EADF2F007C08}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{07F8A5EE-92BD-466B-ABEA-35E72522B2BF}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{44DB4159-368F-47D9-9CE7-3199BBAF4A66}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{8E619850-00D5-4469-A068-087F97BC25FC}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{AC0FE7DE-200E-4F2C-B5BD-E0A5E8E69F94}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{BCC2534A-7705-40B0-A149-06ECE0B74051}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{5EAB2FC6-AFDE-4D95-A7B7-DC4F1444B13F}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{B2C529F2-FD19-4EFA-8CF8-DDCF61C9A89D}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{6368CA1A-1476-42E6-BDDB-CA78CD524764}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{A83485C6-C4D8-4635-9E83-9FCC4BAE7D2C}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{148A3359-04A0-450B-9833-7AF87D232D00}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{0373F9FE-46EE-4F6B-B5C4-AD91C2733D77}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{632CB737-C56F-47C4-B34F-B8F845589EFB}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{30E47BA7-CBF3-4653-8671-087474002558}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{653FBB8E-B4A2-4F7D-A468-C12FC6389BC2}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{E6B612E2-C17B-4456-9CF7-3ACD4A4C5152}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{74602C9C-134F-418D-B2F4-1A7AE96AF771}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{727FDC5E-85DA-4A3F-840D-8413A57B7853}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{DC0019CE-E386-4341-B9CC-195B812C8E10}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{4AC2BFEB-2F14-4CBF-B2EA-5557BD62283B}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{F545212B-EC6B-48EA-B733-3D9D9EC25BE5}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{0733BB1C-30E0-4A1E-891B-271CA9D3D7C7}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{E4196E3F-8100-49B9-A0A7-380B3BC8B486}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{7F89BB8D-43E6-486E-A2B8-BC4FBC83F946}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{FAB4CD68-93D4-46F8-B94C-BA34AD621619}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{6BB7D925-0AC8-4C9F-BE70-DFF36C3C1421}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{39761EB3-CF81-46C1-A69A-A1F541135025}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{77990066-A558-41AF-B7AB-E02D545CCCAF}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{791D721F-313B-40B3-A8FC-DEEA85A60E4E}"= c:\program files\Skype\Phone\Skype.exe:Skype

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [23.05.2009 09:52 108289]
R2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\System32\drivers\KMDFMEMIO.sys [28.02.2007 20:17 13312]
R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [14.04.2006 20:07 28933976]
R2 ZeppelinService;plasservice;c:\program files\Common Files\ParetoLogic\PLAS\plasservice.exe [18.02.2009 14:40 587216]
S1 M9207;LifeView M9207 USB Digital TV BOX;c:\windows\System32\drivers\M9207_543.sys [27.07.2007 16:36 51072]
S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;c:\windows\System32\drivers\NETw2v32.sys [02.11.2006 12:25 2589184]
S3 PAC7311;Trust CP-2250P Webcam;c:\windows\System32\drivers\PA707UCM.SYS [14.03.2007 10:57 449024]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\System32\drivers\s816bus.sys [02.08.2008 18:57 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\System32\drivers\s816mdfl.sys [02.08.2008 18:58 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\System32\drivers\s816mdm.sys [02.08.2008 18:58 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\System32\drivers\s816mgmt.sys [02.08.2008 18:59 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\System32\drivers\s816nd5.sys [02.08.2008 18:58 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\System32\drivers\s816obex.sys [02.08.2008 18:59 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\System32\drivers\s816unic.sys [02.08.2008 19:00 97704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {06F42C96-A96C-F579-B0FA-F44BBA118C51} /qb
.
Inhalt des "geplante Tasks" Ordners

2009-05-24 c:\windows\Tasks\ParetoLogic Anti-Virus PLUS.job
- c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.exe [2009-02-18 12:43]

2009-05-23 c:\windows\Tasks\ParetoLogic Anti-Virus PLUS_dbsummary.job
- c:\program files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.exe [2009-02-18 12:43]

2009-05-23 c:\windows\Tasks\ParetoLogic Update Version2.job
- c:\program files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe [2008-02-22 10:25]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig?hl=de
mStart Page = hxxp://www.yahoo.de
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\windows\system32\INetHTTPFilter.dll
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218654921
FF - ProfilePath - c:\users\Janina\AppData\Roaming\Mozilla\Firefox\Profiles\uz6wz0u5.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.allow_platform_file_picker", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.hideGoButton", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.remoteLookups", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.updateURL", "http://sb.google.com/safebrowsing/update?client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.lookupURL", "http://sb.google.com/safebrowsing/lookup?sourceid=firefox-antiphish&features=TrustRank&client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.reportURL", "http://sb.google.com/safebrowsing/report?");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-24 13:18
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

FORTSETZUNG Logfile:


--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{082264e5-35b3-4f48-b8bf-ceb85c74f920}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:090016e3
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{09143f05-9712-49c3-8baa-5b7c11c4b903}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0a000000
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{22b63a46-42a0-4b19-9574-9a7de4c3a6a2}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0e0016e3
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{60d293fa-03b7-4643-a50a-feb2026dd482}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c001377
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{c73b4f7c-7aa5-4121-87ef-c68a412d2c29}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c001377
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ca639195-174c-4427-8966-c8436b72a581}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:14000278
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
Zeit der Fertigstellung: 2009-05-24 13:21
ComboFix-quarantined-files.txt 2009-05-24 11:21

Vor Suchlauf: 19 Verzeichnis(se), 21.785.600.000 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 22.153.019.392 Bytes frei

356 --- E O F --- 2009-05-22 07:23

Und hier die Ausgabe von HijackThis welches sich danach hat starten lassen (ich habe es umbenannt):





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24:23, on 24.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\conime.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Launchy\Launchy.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\abc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.yahoo.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe
O4 - HKLM\..\Run: [ParetoLogic Anti-Virus PLUS] "C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" -NM -hidesplash
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\Windows\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O13 - Gopher Prefix:
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218654921
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: E1g6ppresvrp - Intel Corporation - (no file)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe

--
End of file - 11449 bytes

Hallo

vorweg die schlechte Nachricht, du hast/hattest (sollte noch geprüft werden) ein Rootkit auf dem System, welches wohl auch über Backdooreigenschaften verfügt.
Solltest du Onlinebanking o.ä.(Ebay, PayPal usw.) betreiben, rate ich dir dringend zur Neuinstallation des Systems.
Melde mich nachher nochmal, muss zum Notdiensteinsatz

MFG

ach du scheiße... vielen Dank für deine Hilfe und die Neuigkeiten, auch wenns wohl wirklich schlechte sind...

Wie kann ich denn am Besten überprüfen ob meine Festplatte / USBStick infiziert sind?? Wenn ich von da nach der Neuinstallation Daten übertrage soll das ganze Spiel ja nicht von vorne losgehen...

Hallo

bin wieder da vom Einsatz

Zitat:

ach du scheiße... vielen Dank für deine Hilfe und die Neuigkeiten, auch wenns wohl wirklich schlechte sind...

Na ja, das hängt davon ab, ob man einem bereinigtem System noch sein Geld anvertrauen möchte oder nicht, ich gehe lieber auf Nummer sicher...

Deine Entscheidung

Zitat:

Wie kann ich denn am Besten überprüfen ob meine Festplatte / USBStick infiziert sind?

alle Wechseldatenträger USB-Sticks, MP3 Player, externe Festplatten usw. an den Rechner anschließen und Combofix erneut laufen lassen.
Anschließend mit Malwarebytes und SUPERAntiSpyware hinterherscannen (alles löschen lassen).

Zitat:

Wenn ich von da nach der Neuinstallation Daten übertrage soll das ganze Spiel ja nicht von vorne losgehen...

Vor dem wiederverwenden der Datenträger auf einem frischen System sollten diese per gedrückter Shifttaste angesteckt und anschließend mit einem aktuellem Antivirenprogramm untersucht werden.
Du solltest bei einer Sicherung auch auf ausführbare Dateien (*.exe, *.com, *.bat, *.scr usw.) sowie auf Dateien aus unseriösen Quellen verzichten.
Du wirst dir diesen Schädling aber vermutlich eher über eine Lücke im Browser/Software eingehandelt haben,
Bsp.:JavaScript deaktivieren: Adobe bestätigt Sicherheitslücken im Reader - computerwoche.de
da hilft nur seine gesamte Software immer aktuell zu halten, gleiches gilt ganz besonders für das Betriebssystem (dir fehlt das Servicepack 2).

EDIT:Nach so einem Befall, sollten so oder so alle Pass- und Kennwörter vom frisch installiertem System oder von einem sauberen Rechner aus geändert werden.

MFG

Hallo und willkommen zurück...

Alles klar, vielen Dank für deine wertvollen Tipps, das war mir echt eine große Hilfe!! Ich werde lieber eine Neuinstallation durchführen denke ich...

Aber eine Frage noch, kannst du den Logs denn entnehmen, dass das System jetzt komplett bereinigt ist??

Hallo

Zitat:

Hallo und willkommen zurück...

Danke

Zitat:

Ich werde lieber eine Neuinstallation durchführen denke ich...

Ich halte es für die richtige Entscheidung, andere mögen es anders sehen

Zitat:

Aber eine Frage noch, kannst du den Logs denn entnehmen, dass das System jetzt komplett bereinigt ist?

Nein, kann man nicht, es wäre sehr gewagt zu behaupten, anhand einiger Logs zu sagen, dass das System clean ist.
Es wird immer Malware geben die bei Überprüfungen unentdeckt bleibt und mit durchrutscht.

MFG

so dann an dieser stelle noch ein abschließendes dankeschön :aplaus:...
Ich habe eine Neuinstallation durchgeführt und hoffe nun jedem Virus standzuhalten...

Moin

Zitat:

Ich habe eine Neuinstallation durchgeführt und hoffe nun jedem Virus standzuhalten...

hoffen wir es
Hier noch etwas Lesestoff
Homepage von Malte J. Wetz
Cidres-security.de - Mit Sicherheit durchs Netz! - Startseite
und lasse hier dann schließen.

MFG

Danke für die Links!

Und ja, bitte schließen!