Google öffnet nicht mehr die Standardseite bzw. macht in Firefox falsche Seiten auf

maker73 · 26.05.2009, 20:29

Hallo zusammen,

bin absoluter Neuling und hoffe wenn ich etwas falsch mache, dass ich nicht gleich verdammt werde! ;-)
Ich habe das Problem, dass wenn ich wenn ich Firefox aufmache die Standardseite nicht mehr aufgeht, habe daraufhin "google" als standardseite angelegt. Wenn ich dann in google suche, und auf ein Ergebniss klicke, geht eine andere Seite/Werbeseite auf, des öfteren irgendetwas mit ebay!?

Ich habe einen ähnlichen Thread durchgelesen und habe bis zu dem Punkt den ich machen konnte schon vorgearbeitet bzw. das was in der Foren-Anleitung vorgegeben ist.

Was habe ich bisher gemacht:

- AVIRA Antivir laufen lassen: hat einige sachen gefunden, leider weiss ich nicht mehr welche, habe diese in quarantäne und dann gelöscht. war das richtig?

- sämtliche Cookies und private Daten im Browser (Firefox) gelöscht

- Ccleaner nach Anleitung laufen lassen

- Malwarebytes Anti-Malware ausgeführt, musste aber die Datei umbenennen (in: Malware-Bytes.exe), damit das Programm startete (habe ich hier im Forum nachgelesen, leider weiß ich nicht mehr von wem der Tipp war, sorry!) log anbei

- hijackthis, auch hier musste ich den Namen umbenennen, nach Anleitung (test.com)
log auch anbei

- GMER - Rootkit Detection, nach Anleitung von Mitglied "john.doe", ich hoffe ich mach das hier richtig, dass ich ein Mitglied nenne!?
log auch anbei

Malwarelog:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

26.05.2009 10:48:38
mbam-log-2009-05-26 (10-48-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 267330
Laufzeit: 29 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.197,85.255.112.183 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{039edcfc-51a7-4057-b0b7-73931893a913}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.197,85.255.112.183 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.197,85.255.112.183 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{039edcfc-51a7-4057-b0b7-73931893a913}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.197,85.255.112.183 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.197,85.255.112.183 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{039edcfc-51a7-4057-b0b7-73931893a913}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.197,85.255.112.183 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-5662203.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-5692968.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

hijaykthis log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:18, on 26.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\WSCommCntr1.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\AcroTray.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\test.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://auto.search.msn.com/response.asp?MT=Systemsteuerung&srch=3&prov=&utf8
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-220523388-796845957-1177238915-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'ASPNET')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7219 bytes

und noch das GMER log:

Code:

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-05-26 21:11:03
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT     F7AAA6CE                                                                                                                                          ZwCreateKey
SSDT     F7AAA6C4                                                                                                                                          ZwCreateThread
SSDT     F7AAA6D3                                                                                                                                          ZwDeleteKey
SSDT     F7AAA6DD                                                                                                                                          ZwDeleteValueKey
SSDT     F7AAA6E2                                                                                                                                          ZwLoadKey
SSDT     F7AAA6B0                                                                                                                                          ZwOpenProcess
SSDT     F7AAA6B5                                                                                                                                          ZwOpenThread
SSDT     F7AAA6EC                                                                                                                                          ZwReplaceKey
SSDT     F7AAA6E7                                                                                                                                          ZwRestoreKey
SSDT     F7AAA6D8                                                                                                                                          ZwSetValueKey
SSDT     F7AAA6BF                                                                                                                                          ZwTerminateProcess

Code     895C5430                                                                                                                                          ZwEnumerateKey
Code     897911B8                                                                                                                                          ZwFlushInstructionCache
Code     89901566                                                                                                                                          IofCallDriver
Code     8962FD6E                                                                                                                                          IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text    ntoskrnl.exe!IofCallDriver                                                                                                                        804E13A7 5 Bytes  JMP 8990156B 
.text    ntoskrnl.exe!IofCompleteRequest                                                                                                                   804E17BD 5 Bytes  JMP 8962FD73 
PAGE     ntoskrnl.exe!ZwEnumerateKey                                                                                                                       80578E14 5 Bytes  JMP 895C5434 
PAGE     ntoskrnl.exe!ZwFlushInstructionCache                                                                                                              80587BFB 5 Bytes  JMP 897911BC 
---- Processes - GMER 1.0.15 ----

Library  \\?\globalroot\systemroot\system32\gxvxcdocjkltobwwornmetrilriblvyqvfiqt.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [832]            0x10000000                       
Library  \\?\globalroot\systemroot\system32\gxvxcxybrsrfyphktuftdnybacjkjvmpxbwgq.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [2108]  0x10000000                       

---- EOF - GMER 1.0.15 ----

und die Softwareliste:

Code:

ATTFilter

Acrobat.com
Acrobat.com
Adobe Acrobat 9 Pro - English, Français, Deutsch
Adobe After Effects CS4
Adobe After Effects CS4 Presets
Adobe After Effects CS4 Third Party Content
Adobe AIR
Adobe Anchor Service CS4
Adobe Asset Services CS4
Adobe Bridge CS4
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color Video Profiles AE CS4
Adobe Color Video Profiles CS CS4
Adobe Contribute CS4
Adobe Creative Suite 4 Master Collection
Adobe Creative Suite 4 Master Collection
Adobe CS4 American English Speech Analysis Models
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS4
Adobe Dreamweaver CS4
Adobe Drive CS4
Adobe Dynamiclink Support
Adobe Encore CS4
Adobe Encore CS4 Codecs
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS4
Adobe Fireworks CS4
Adobe Flash CS4
Adobe Flash CS4 Extension - Flash Lite STI others
Adobe Flash CS4 STI-other
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Fonts All
Adobe Illustrator CS4
Adobe InDesign CS4
Adobe InDesign CS4 Application Feature Set Files (Roman)
Adobe InDesign CS4 Common Base Files
Adobe InDesign CS4 Icon Handler
Adobe Linguistics CS4
Adobe Media Encoder CS4
Adobe Media Encoder CS4 Additional Exporter
Adobe Media Encoder CS4 Dolby
Adobe Media Encoder CS4 Exporter
Adobe Media Encoder CS4 Importer
Adobe Media Player
Adobe Media Player
Adobe MotionPicture Color Files CS4
Adobe OnLocation CS4
Adobe Output Module
Adobe PageMaker 6.5
Adobe PDF Library Files CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Premiere Pro CS4
Adobe Premiere Pro CS4 Functional Content
Adobe Premiere Pro CS4 Third Party Content
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe SGM CS4
Adobe SING CS4
Adobe Soundbooth CS4
Adobe Soundbooth CS4 Codecs
Adobe Type Support CS4
Adobe Update Manager CS4
Adobe Version Cue CS4 Server
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
AOEMView 2009
AutoCAD Mechanical 2009
Autodesk Data Management Server 2009
Autodesk Data Management Server 2009
Autodesk Design Review 2009
Autodesk Inventor 2009
Autodesk Inventor 2009
Autodesk Vault 2009 (Client)
Autodesk Vault 2009 (Client)
Avira AntiVir Personal - Free Antivirus
BlueSoleil
CCleaner (remove only)
Choice Guard
C-Media High Definition Audio Driver
Compatibility Pack for the 2007 Office system
Connect
Creatix V.92 Data Fax Modem
DWG TrueView 2009
ElsterFormular 2008/2009
EVEREST Home Edition v2.20
Extensis Suitcase
forteManager
Generic USB CardReader 2.0
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
HP Photo & Imaging 3.1
HP PSC & OfficeJet 3.0
HP Software Update
IsoDraw
Java(TM) 6 Update 13
KingBill 2008
kuler
Kyodai Mahjongg 2006 v1.42
Malwarebytes' Anti-Malware
MediaShow 3.0
Memories Disc Creator 2.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Office 2000 Premium
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (AUTODESKVAULT)
Microsoft SQL Server Native Client
Microsoft SQL Server VSS Writer
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft WSE 3.0 Runtime
Mozilla Firefox (3.0.10)
MSVCRT
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser
Nero Suite
NVIDIA Drivers
PDF Settings CS4
PhotoNow! 1.0
Photoshop Camera Raw
Pixel Bender Toolkit
PowerCinema 3.0
PowerDirector
PowerDVD
PowerProducer
QuickSilver
QuickSilver-Client
RT2500 USB Wireless LAN Card
Segoe UI
Sentinel System Driver Installer 7.4.2
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB963027)
Suite Shared Configuration CS4
Tools für Microsoft SQL Server 2005 Express Edition
TuneUp Utilities 2009
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB961503)
Update für Windows XP (KB967715)
USB Wireless Keyboard Driver
Windows Communication Foundation
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
WinRAR
WinZip 11.1
X10 Hardware(TM)
XML Paper Specification Shared Components Language Pack 1.0

So, ich hoffe ich habe alles soweit richtig gemacht und jemand kann mir helfen!? Ich bedanke mich schon jetzt im voraus!!!

john.doe · 27.05.2009, 17:06

Hallo und

Du sparst dir eine Menge Zeit wenn du die Neuinstallation wählst => http://www.trojaner-board.de/51262-a...sicherung.html.

Ausserdem ist es der sicherere Weg, denn ich kann dir nicht garantieren, dass ich alles erwische. Dein Fall hat nichts mit Lodda zu tun, du hast etwas anderes, das nochmal etwas fieser ist, als das was Lodda hatte.

Falls du alle gute Ratschläge in den Wind schlagen solltest, dann geht es hier weiter =>

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

maker73 · 27.05.2009, 18:01

Hallo Andy,

super super vielen dank für Deine schnelle Hilfe!!!!!!!!!!

Anbei nun das Log von ComboFix (musste die Datei umbenennen, wie in der Anleitung beschrieben, damit es lief!)

Code:

ATTFilter

ComboFix 09-05-26.05 - Oi 27.05.2009 18:46.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1618 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Oi\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system32\Cache
c:\windows\system32\drivers\gxvxcewqvdkmpucfqxtavhowbmhfylnxsswwq.sys
c:\windows\system32\drivers\gxvxckjwspqlyoypxodlyjnjndotlmpaerpxd.sys
c:\windows\system32\drivers\gxvxcmkxwdtrfutyqkhcenkqskglaeicxueed.sys
c:\windows\system32\drivers\gxvxcuxfumqwubrqpclxwkipdwholtsenrnkr.sys
c:\windows\system32\drivers\gxvxcvxfubvpfhwmkdvipmpuyxufxhqyvtlns.sys
c:\windows\system32\gxvxcdocjkltobwwornmetrilriblvyqvfiqt.dll
c:\windows\system32\gxvxcxybrsrfyphktuftdnybacjkjvmpxbwgq.dll
D:\Autorun.inf
E:\Autorun.inf
K:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_GXVXCSERV.SYS
-------\Legacy_IPRIP
-------\Service_Iprip


(((((((((((((((((((((((   Dateien erstellt von 2009-04-27 bis 2009-05-27  ))))))))))))))))))))))))))))))
.

2009-05-25 10:35 . 2009-05-25 10:35	--------	d-----w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\Malwarebytes
2009-05-25 10:25 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-25 10:25 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-25 10:25 . 2009-05-26 19:02	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-05-25 10:25 . 2009-05-25 10:25	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-24 16:23 . 2009-05-24 16:23	--------	d-----w	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help
2009-05-23 11:38 . 2009-05-23 11:38	--------	d-----r	c:\dokumente und einstellungen\LocalService\Favoriten
2009-05-15 14:34 . 2009-05-15 14:34	--------	d-----w	c:\dokumente und einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-05-11 07:11 . 2009-05-11 07:11	--------	d-----w	c:\dokumente und einstellungen\All Users\AdobeTemp
2009-05-06 13:33 . 2009-05-06 13:33	603904	----a-w	c:\windows\system32\TUProgSt.exe
2009-05-06 13:33 . 2008-12-11 11:31	27904	----a-w	c:\windows\system32\uxtuneup.dll
2009-05-06 13:33 . 2009-05-06 13:33	360192	----a-w	c:\windows\system32\TuneUpDefragService.exe
2009-05-06 13:27 . 2009-05-06 13:27	--------	d-----w	c:\dokumente und einstellungen\Oi\wvannot
2009-04-28 08:29 . 2009-04-28 08:31	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-27 16:51 . 2009-04-07 14:19	17408	----a-w	c:\windows\system32\drivers\USBCRFT.SYS
2009-05-27 15:15 . 2009-04-08 09:23	1901	----a-w	c:\windows\panose.bin
2009-05-27 11:00 . 2009-04-07 06:51	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-05-06 13:38 . 2009-04-08 12:01	--------	d-----w	c:\programme\TuneUp Utilities 2009
2009-05-04 18:10 . 2009-04-07 06:37	474992	----a-w	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-04-27 12:25 . 2009-04-27 12:25	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield
2009-04-27 12:25 . 2009-04-27 12:25	--------	d-----w	c:\programme\LG Soft India
2009-04-27 12:25 . 2009-04-07 14:10	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-27 12:25 . 2009-04-07 14:10	--------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2009-04-27 11:36 . 2009-04-27 11:36	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-04-27 11:00 . 2009-04-07 06:21	96104	----a-w	c:\windows\system32\drivers\avipbb.sys
2009-04-27 11:00 . 2009-04-07 06:21	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-04-26 12:07 . 2009-04-06 19:18	96704	----a-w	c:\dokumente und einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-26 12:07 . 2009-04-26 12:07	135	----a-w	c:\dokumente und einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-04-23 15:49 . 2009-04-23 15:49	--------	d-----w	c:\programme\MSECache
2009-04-23 15:13 . 2009-04-23 15:13	--------	d-----w	c:\programme\Microsoft Hardware
2009-04-23 07:58 . 2009-04-07 07:55	--------	d-----w	c:\programme\Microsoft SQL Server
2009-04-23 07:54 . 2008-04-14 12:00	587128	----a-w	c:\windows\system32\perfh007.dat
2009-04-23 07:54 . 2008-04-14 12:00	131256	----a-w	c:\windows\system32\perfc007.dat
2009-04-23 07:41 . 2009-04-23 07:36	--------	d-----w	c:\programme\Interleaf
2009-04-20 07:26 . 2009-04-20 07:26	--------	d-----w	c:\programme\ElsterFormular
2009-04-18 09:46 . 2009-04-07 12:01	--------	d-----w	c:\programme\Gemeinsame Dateien\Ahead
2009-04-18 09:46 . 2009-04-07 12:01	--------	d-----w	c:\programme\Ahead
2009-04-14 06:41 . 2009-04-07 06:49	--------	d-----w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\Autodesk
2009-04-13 17:46 . 2009-04-13 17:46	--------	d-----w	c:\programme\Microsoft
2009-04-13 17:46 . 2009-04-13 17:45	--------	d-----w	c:\programme\Windows Live
2009-04-13 17:46 . 2009-04-13 17:46	--------	d-----w	c:\programme\Windows Live SkyDrive
2009-04-13 17:42 . 2009-04-13 17:42	--------	d-----w	c:\programme\Gemeinsame Dateien\Windows Live
2009-04-13 12:21 . 2009-04-09 18:17	--------	d-----w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\CyberLink
2009-04-09 18:27 . 2009-04-09 18:27	--------	d-----w	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\X10 Commander
2009-04-09 18:15 . 2009-04-09 18:15	--------	d-----w	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\X10 Commander
2009-04-09 18:15 . 2009-04-09 18:13	--------	d-----w	c:\programme\Home Cinema
2009-04-09 18:14 . 2009-04-09 18:14	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2009-04-09 18:14 . 2009-04-09 18:13	--------	d-----w	c:\programme\CyberLink
2009-04-08 12:02 . 2009-04-08 12:02	--------	d-----w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\TuneUp Software
2009-04-08 12:01 . 2009-04-08 12:01	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-04-08 12:01 . 2009-04-08 12:01	--------	d-sh--w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-08 11:50 . 2009-04-08 09:14	--------	d-----w	c:\programme\Extensis
2009-04-08 11:49 . 2009-04-08 11:48	--------	d-----w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\Extensis
2009-04-08 11:48 . 2009-04-08 11:48	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Extensis
2009-04-08 11:13 . 2009-04-08 11:13	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-08 11:13 . 2009-04-08 11:13	--------	d-----w	c:\programme\Java
2009-04-08 11:11 . 2009-04-08 11:11	152576	----a-w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-08 11:04 . 2009-04-08 11:01	--------	d-----w	c:\programme\Kyodai Mahjongg 2006
2009-04-08 09:40 . 2009-04-08 09:40	--------	d-----w	c:\programme\MSXML 4.0
2009-04-08 09:22 . 2009-04-07 08:39	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-04-08 09:12 . 2009-04-08 09:12	--------	d-----w	c:\programme\Gemeinsame Dateien\SafeNet Sentinel
2009-04-08 09:09 . 2009-04-08 09:09	--------	d-----w	c:\programme\IsoDraw
2009-04-08 08:54 . 2009-04-08 08:43	28736	----a-w	c:\windows\hpoins03.dat
2009-04-08 08:51 . 2009-04-08 08:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Hewlett-Packard
2009-04-08 08:51 . 2009-04-08 08:43	--------	d-----w	c:\programme\HP
2009-04-08 08:49 . 2009-04-08 08:49	--------	d-----w	c:\programme\Gemeinsame Dateien\HP
2009-04-08 08:49 . 2009-04-08 08:49	43488	----a-w	c:\windows\system32\drivers\AFS2K.SYS
2009-04-08 07:03 . 2009-04-08 07:03	--------	d-----w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\TeamViewer
2009-04-08 06:01 . 2009-04-08 06:01	4990	----a-w	c:\windows\Help\hhcolreg.dat
2009-04-08 05:58 . 2009-04-08 05:58	--------	d-----w	c:\dokumente und einstellungen\Oi\Anwendungsdaten\Microsoft Web Folders
2009-04-08 05:58 . 2009-04-06 19:04	--------	d-----w	c:\programme\microsoft frontpage
2009-04-07 16:44 . 2009-04-07 16:44	--------	d-----w	c:\programme\USB Wireless Keyboard Driver
2009-04-07 15:21 . 2009-04-07 15:21	--------	d-----w	c:\programme\Lavalys
2009-04-07 15:07 . 2009-04-07 15:07	--------	d-----w	c:\programme\CCleaner
2009-04-07 15:00 . 2009-04-07 15:00	--------	d-----w	c:\programme\X10 Hardware
2009-04-07 15:00 . 2009-04-07 15:00	--------	d-----w	c:\programme\Common Files
2009-04-07 14:34 . 2009-04-07 14:34	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-04-07 14:29 . 2009-04-07 14:29	--------	d-----w	c:\programme\IVT Corporation
2009-04-07 14:17 . 2009-04-07 14:17	15939	----a-w	c:\windows\system32\drivers\AegisP.sys
2009-04-07 14:16 . 2009-04-07 12:20	--------	d-----w	c:\programme\RALINK
2009-04-07 14:04 . 2009-04-07 12:13	--------	d-----w	c:\programme\PowerISO
2009-04-07 14:04 . 2009-04-07 12:38	--------	d-----w	c:\programme\InstallShield Installation Information(2)
2009-04-07 14:04 . 2009-04-07 13:59	--------	d-----w	c:\programme\RegCleaner
2009-04-07 12:39 . 2009-04-07 12:39	--------	d-----w	c:\programme\Intel
2009-04-07 10:44 . 2009-04-07 10:44	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-04-07 09:57 . 2009-04-07 09:57	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-04-07 09:05 . 2009-04-07 09:05	--------	d-----w	c:\programme\Adobe Media Player
2009-04-07 09:03 . 2009-04-07 09:03	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe AIR
2009-04-07 08:56 . 2009-04-07 08:56	--------	d-----w	c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-07 08:00 . 2009-04-07 06:49	--------	d-----w	c:\programme\Autodesk
2009-04-07 07:57 . 2009-04-07 07:57	--------	d-----w	c:\programme\Microsoft.NET
2009-04-07 07:56 . 2009-04-07 07:56	--------	d-----w	c:\programme\MSXML 6.0
2009-04-07 07:32 . 2009-04-07 07:32	--------	d-----w	c:\programme\Gemeinsame Dateien\Autodesk
2009-04-07 07:20 . 2009-04-07 06:49	--------	d-----w	c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-04-07 06:55 . 2009-04-07 06:55	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk, Inc
2009-04-07 06:54 . 2009-04-07 06:53	--------	d-----w	c:\programme\AOEMView 2009
2009-04-07 06:53 . 2009-04-07 06:53	10134	----a-r	c:\dokumente und einstellungen\Oi\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-04-07 06:53 . 2009-04-07 06:53	--------	d-----w	c:\programme\Microsoft WSE
2009-04-07 06:52 . 2009-04-07 06:51	--------	d-----w	c:\programme\DWG TrueView 2009
2009-04-07 06:37 . 2009-04-07 06:37	--------	d-----w	c:\programme\MSBuild
2009-04-07 06:32 . 2009-04-07 06:32	--------	d-----w	c:\programme\Reference Assemblies
2009-04-07 06:21 . 2009-04-07 06:21	--------	d-----w	c:\programme\Avira
2009-04-07 06:21 . 2009-04-07 06:21	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-07 05:25 . 2009-04-07 05:25	0	----a-w	c:\windows\nsreg.dat
2009-04-06 19:25 . 2009-04-06 19:03	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-06 19:03 . 2009-04-06 19:03	--------	d-----w	c:\programme\Online-Dienste
2009-04-06 19:02 . 2009-04-06 19:02	--------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2009-04-06 19:01 . 2009-04-06 19:01	21740	----a-w	c:\windows\system32\emptyregdb.dat
2009-03-06 14:19 . 2008-04-14 12:00	286720	----a-w	c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-20 4583424]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"MsmqIntCert"="mqrt.dll" - c:\windows\system32\mqrt.dll [2008-04-14 177152]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-02-20 88363]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112]
"CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2004-02-24 508416]
"ledpointer"="CNYHKey.exe" - c:\windows\CNYHKey.exe [2004-02-03 5794816]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-7-7 233472]
Suitcase Startup.lnk - c:\programme\Extensis\Suitcase\Suitcase.exe [2009-4-8 1626112]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RaConfig2500.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RaConfig2500.lnk
backup=c:\windows\pss\RaConfig2500.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe"
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe"
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"nwiz"=nwiz.exe /install
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Interleaf\\qsilver.ileaf\\i386\\bin\\qsilver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
"51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
"51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.04.2009 08:21 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [06.05.2009 15:33 603904]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [07.04.2009 17:37 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [07.04.2009 07:39 1272000]
R3 UKBFLT;UKBFLT;c:\windows\system32\drivers\UKBFLT.sys [07.04.2009 18:44 11672]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15.08.2008 05:46 284016]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [07.04.2009 16:19 17408]
S3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [27.04.2009 14:25 14336]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [27.04.2009 14:25 13312]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [07.04.2009 16:42 24704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-05-27 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 17:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-POINTER - point32.exe
SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com
FF - prefs.js: network.proxy.type - 4

---- FIREFOX Richtlinien ----
FF - user.js: network.h**p.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-05-27 18:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(936)
c:\windows\HKCYDLL.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Hardware\Mouse\point32.exe
c:\windows\system32\msdtc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\snmp.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\mqsvc.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\hpzipm12.exe
c:\windows\system32\dllhost.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-27 18:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-27 16:55

Vor Suchlauf: 15 Verzeichnis(se), 71.572.439.040 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 73.064.472.576 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

290	--- E O F ---	2009-05-14 07:40

Vielen Dank mal schon wieder im voraus!!!

john.doe · 27.05.2009, 18:08

1.) Nenne mich bitte nicht Andy, ich hasse das.

2.) Seit wann genau hast du Probleme?

3.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

4.) Erstelle ein Filelisting.

Lade die Datei listing0.bat auf deinen Desktop
Doppelklicke auf listing0.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

p.s.:
5.) Lade die Dateien

Code:

ATTFilter

c:\windows\system32\drivers\USBCRFT.SYS
c:\windows\panose.bin

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

maker73 · 27.05.2009, 18:36

zu 1.) Werds nie wieder tun! Sorry dafür!

2.) Seit wann genau hast du Probleme? Denk mal so ca. 3 bis 4 Tage

3.) Systemdetails mit RSIT prüfen

Sind zu groß (Zu viele Zeichen!), habe diese mal auch auf den "Materialordner gestellt! Hoff das is so ok!?

Links dazu:

info.txt:
h**p://www.materialordner.de/8BPFBi6pVZ8SHQGQxbuyiygfuxzasB4q.html

log.txt:

h**p://www.materialordner.de/H9TXtsp80J20cM5iXvBro2gJi5hisP.html

4.) Erstelle ein Filelisting.

Hier der Link dazu ("Materialordner):

h**p://www.materialordner.de/x7hGGkbL1eWjw2rbKwcc9cLi3BJurUIP.html

Herzlichsten Dank schon mal!!!

P.S. Dateien habe ich hochgeladen, habe ich erst jetzt gesehen!

john.doe · 27.05.2009, 20:08

Wo hast du denn die Adobe Master Collection her? Der reguläre Preis beträgt ca. 3000€, dazu noch Autodesk regulärer Preis ca. 1000€?

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox als zip- oder rar-Archiv, lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Deinstalliere:

TuneUp Utilities

5.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-

Folder::
c:\rsit
c:\programme\Online-Dienste

File::
c:\windows\Tasks\1-Klick-Wartung.job

DirLook::
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help
c:\dokumente und einstellungen\LocalService\Favoriten

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

maker73 · 28.05.2009, 08:25

Hallo,

Pn ist raus...

Hier nun auch das Log von Combofix:

Code:

ATTFilter

ComboFix 09-05-26.05 - ** 28.05.2009  9:10.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1203 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\**\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\**\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\Tasks\1-Klick-Wartung.job"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Online-Dienste
c:\programme\Online-Dienste\An weitere Internetdienstanbieter verweisen.lnk
c:\rsit
c:\rsit\info.txt
c:\rsit\log.txt

.
(((((((((((((((((((((((   Dateien erstellt von 2009-04-28 bis 2009-05-28  ))))))))))))))))))))))))))))))
.

2009-05-27 17:17 . 2009-05-27 17:17	--------	d-----w	c:\programme\trend micro
2009-05-25 10:35 . 2009-05-25 10:35	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\Malwarebytes
2009-05-25 10:25 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-25 10:25 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-25 10:25 . 2009-05-26 19:02	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-05-25 10:25 . 2009-05-25 10:25	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-24 16:23 . 2009-05-24 16:23	--------	d-----w	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help
2009-05-23 11:38 . 2009-05-23 11:38	--------	d-----r	c:\dokumente und einstellungen\LocalService\Favoriten
2009-05-15 14:34 . 2009-05-15 14:34	--------	d-----w	c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-05-11 07:11 . 2009-05-11 07:11	--------	d-----w	c:\dokumente und einstellungen\All Users\AdobeTemp
2009-05-06 13:27 . 2009-05-06 13:27	--------	d-----w	c:\dokumente und einstellungen\**\wvannot
2009-04-28 08:29 . 2009-04-28 08:31	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-28 07:14 . 2009-04-07 14:19	17408	----a-w	c:\windows\system32\drivers\USBCRFT.SYS
2009-05-28 07:05 . 2009-04-08 12:01	--------	d-----w	c:\programme\TuneUp Utilities 2009
2009-05-27 15:15 . 2009-04-08 09:23	1901	----a-w	c:\windows\panose.bin
2009-05-27 11:00 . 2009-04-07 06:51	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-05-04 18:10 . 2009-04-07 06:37	474992	----a-w	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-04-27 12:25 . 2009-04-27 12:25	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield
2009-04-27 12:25 . 2009-04-27 12:25	--------	d-----w	c:\programme\LG Soft India
2009-04-27 12:25 . 2009-04-07 14:10	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-27 12:25 . 2009-04-07 14:10	--------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2009-04-27 11:36 . 2009-04-27 11:36	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-04-27 11:00 . 2009-04-07 06:21	96104	----a-w	c:\windows\system32\drivers\avipbb.sys
2009-04-27 11:00 . 2009-04-07 06:21	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-04-26 12:07 . 2009-04-06 19:18	96704	----a-w	c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-26 12:07 . 2009-04-26 12:07	135	----a-w	c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-04-23 15:49 . 2009-04-23 15:49	--------	d-----w	c:\programme\MSECache
2009-04-23 15:13 . 2009-04-23 15:13	--------	d-----w	c:\programme\Microsoft Hardware
2009-04-23 07:58 . 2009-04-07 07:55	--------	d-----w	c:\programme\Microsoft SQL Server
2009-04-23 07:54 . 2008-04-14 12:00	587128	----a-w	c:\windows\system32\perfh007.dat
2009-04-23 07:54 . 2008-04-14 12:00	131256	----a-w	c:\windows\system32\perfc007.dat
2009-04-23 07:41 . 2009-04-23 07:36	--------	d-----w	c:\programme\Interleaf
2009-04-20 07:26 . 2009-04-20 07:26	--------	d-----w	c:\programme\ElsterFormular
2009-04-18 09:46 . 2009-04-07 12:01	--------	d-----w	c:\programme\Gemeinsame Dateien\Ahead
2009-04-18 09:46 . 2009-04-07 12:01	--------	d-----w	c:\programme\Ahead
2009-04-14 06:41 . 2009-04-07 06:49	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\Autodesk
2009-04-13 17:46 . 2009-04-13 17:46	--------	d-----w	c:\programme\Microsoft
2009-04-13 17:46 . 2009-04-13 17:45	--------	d-----w	c:\programme\Windows Live
2009-04-13 17:46 . 2009-04-13 17:46	--------	d-----w	c:\programme\Windows Live SkyDrive
2009-04-13 17:42 . 2009-04-13 17:42	--------	d-----w	c:\programme\Gemeinsame Dateien\Windows Live
2009-04-13 12:21 . 2009-04-09 18:17	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\CyberLink
2009-04-09 18:27 . 2009-04-09 18:27	--------	d-----w	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\X10 Commander
2009-04-09 18:15 . 2009-04-09 18:15	--------	d-----w	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\X10 Commander
2009-04-09 18:15 . 2009-04-09 18:13	--------	d-----w	c:\programme\Home Cinema
2009-04-09 18:14 . 2009-04-09 18:14	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2009-04-09 18:14 . 2009-04-09 18:13	--------	d-----w	c:\programme\CyberLink
2009-04-08 12:02 . 2009-04-08 12:02	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\TuneUp Software
2009-04-08 12:01 . 2009-04-08 12:01	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-04-08 12:01 . 2009-04-08 12:01	--------	d-sh--w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-08 11:50 . 2009-04-08 09:14	--------	d-----w	c:\programme\Extensis
2009-04-08 11:49 . 2009-04-08 11:48	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\Extensis
2009-04-08 11:48 . 2009-04-08 11:48	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Extensis
2009-04-08 11:13 . 2009-04-08 11:13	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-08 11:13 . 2009-04-08 11:13	--------	d-----w	c:\programme\Java
2009-04-08 11:11 . 2009-04-08 11:11	152576	----a-w	c:\dokumente und einstellungen\**\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-08 11:04 . 2009-04-08 11:01	--------	d-----w	c:\programme\Kyodai Mahjongg 2006
2009-04-08 09:40 . 2009-04-08 09:40	--------	d-----w	c:\programme\MSXML 4.0
2009-04-08 09:22 . 2009-04-07 08:39	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-04-08 09:12 . 2009-04-08 09:12	--------	d-----w	c:\programme\Gemeinsame Dateien\SafeNet Sentinel
2009-04-08 09:09 . 2009-04-08 09:09	--------	d-----w	c:\programme\IsoDraw
2009-04-08 08:54 . 2009-04-08 08:43	28736	----a-w	c:\windows\hpoins03.dat
2009-04-08 08:51 . 2009-04-08 08:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Hewlett-Packard
2009-04-08 08:51 . 2009-04-08 08:43	--------	d-----w	c:\programme\HP
2009-04-08 08:49 . 2009-04-08 08:49	--------	d-----w	c:\programme\Gemeinsame Dateien\HP
2009-04-08 08:49 . 2009-04-08 08:49	43488	----a-w	c:\windows\system32\drivers\AFS2K.SYS
2009-04-08 07:03 . 2009-04-08 07:03	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\TeamViewer
2009-04-08 06:01 . 2009-04-08 06:01	4990	----a-w	c:\windows\Help\hhcolreg.dat
2009-04-08 05:58 . 2009-04-08 05:58	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\Microsoft Web Folders
2009-04-08 05:58 . 2009-04-06 19:04	--------	d-----w	c:\programme\microsoft frontpage
2009-04-07 16:44 . 2009-04-07 16:44	--------	d-----w	c:\programme\USB Wireless Keyboard Driver
2009-04-07 15:21 . 2009-04-07 15:21	--------	d-----w	c:\programme\Lavalys
2009-04-07 15:07 . 2009-04-07 15:07	--------	d-----w	c:\programme\CCleaner
2009-04-07 15:00 . 2009-04-07 15:00	--------	d-----w	c:\programme\X10 Hardware
2009-04-07 15:00 . 2009-04-07 15:00	--------	d-----w	c:\programme\Common Files
2009-04-07 14:34 . 2009-04-07 14:34	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-04-07 14:29 . 2009-04-07 14:29	--------	d-----w	c:\programme\IVT Corporation
2009-04-07 14:17 . 2009-04-07 14:17	15939	----a-w	c:\windows\system32\drivers\AegisP.sys
2009-04-07 14:16 . 2009-04-07 12:20	--------	d-----w	c:\programme\RALINK
2009-04-07 14:04 . 2009-04-07 12:13	--------	d-----w	c:\programme\PowerISO
2009-04-07 14:04 . 2009-04-07 12:38	--------	d-----w	c:\programme\InstallShield Installation Information(2)
2009-04-07 14:04 . 2009-04-07 13:59	--------	d-----w	c:\programme\RegCleaner
2009-04-07 12:39 . 2009-04-07 12:39	--------	d-----w	c:\programme\Intel
2009-04-07 10:44 . 2009-04-07 10:44	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-04-07 09:57 . 2009-04-07 09:57	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-04-07 09:05 . 2009-04-07 09:05	--------	d-----w	c:\programme\Adobe Media Player
2009-04-07 09:03 . 2009-04-07 09:03	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe AIR
2009-04-07 08:56 . 2009-04-07 08:56	--------	d-----w	c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-07 08:00 . 2009-04-07 06:49	--------	d-----w	c:\programme\Autodesk
2009-04-07 07:57 . 2009-04-07 07:57	--------	d-----w	c:\programme\Microsoft.NET
2009-04-07 07:56 . 2009-04-07 07:56	--------	d-----w	c:\programme\MSXML 6.0
2009-04-07 07:32 . 2009-04-07 07:32	--------	d-----w	c:\programme\Gemeinsame Dateien\Autodesk
2009-04-07 07:20 . 2009-04-07 06:49	--------	d-----w	c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-04-07 06:55 . 2009-04-07 06:55	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk, Inc
2009-04-07 06:54 . 2009-04-07 06:53	--------	d-----w	c:\programme\AOEMView 2009
2009-04-07 06:53 . 2009-04-07 06:53	10134	----a-r	c:\dokumente und einstellungen\**\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-04-07 06:53 . 2009-04-07 06:53	--------	d-----w	c:\programme\Microsoft WSE
2009-04-07 06:52 . 2009-04-07 06:51	--------	d-----w	c:\programme\DWG TrueView 2009
2009-04-07 06:37 . 2009-04-07 06:37	--------	d-----w	c:\programme\MSBuild
2009-04-07 06:32 . 2009-04-07 06:32	--------	d-----w	c:\programme\Reference Assemblies
2009-04-07 06:21 . 2009-04-07 06:21	--------	d-----w	c:\programme\Avira
2009-04-07 06:21 . 2009-04-07 06:21	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-07 05:25 . 2009-04-07 05:25	0	----a-w	c:\windows\nsreg.dat
2009-04-06 19:25 . 2009-04-06 19:03	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-06 19:02 . 2009-04-06 19:02	--------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2009-04-06 19:01 . 2009-04-06 19:01	21740	----a-w	c:\windows\system32\emptyregdb.dat
2009-03-06 14:19 . 2008-04-14 12:00	286720	----a-w	c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\dokumente und einstellungen\LocalService\Favoriten ----

2009-05-23 11:38 . 2009-05-23 11:38	122	--sha-w	c:\dokumente und einstellungen\LocalService\Favoriten\Desktop.ini

---- Directory of c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help ----



(((((((((((((((((((((((((((((   SnapShot@2009-05-27_16.52.33   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-28 07:14 . 2009-05-28 07:14	16384              c:\windows\temp\Perflib_Perfdata_650.dat
+ 2009-05-28 07:14 . 2009-05-28 07:14	16384              c:\windows\temp\Perflib_Perfdata_1a0.dat
+ 2009-04-07 11:15 . 2009-05-28 07:14	228252              c:\windows\system32\inetsrv\MetaBase.bin
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-20 4583424]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"MsmqIntCert"="mqrt.dll" - c:\windows\system32\mqrt.dll [2008-04-14 177152]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-02-20 88363]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112]
"CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2004-02-24 508416]
"ledpointer"="CNYHKey.exe" - c:\windows\CNYHKey.exe [2004-02-03 5794816]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-7-7 233472]
Suitcase Startup.lnk - c:\programme\Extensis\Suitcase\Suitcase.exe [2009-4-8 1626112]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RaConfig2500.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RaConfig2500.lnk
backup=c:\windows\pss\RaConfig2500.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Interleaf\\qsilver.ileaf\\i386\\bin\\qsilver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
"51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
"51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.04.2009 08:21 108289]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [07.04.2009 17:37 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [07.04.2009 07:39 1272000]
R3 UKBFLT;UKBFLT;c:\windows\system32\drivers\UKBFLT.sys [07.04.2009 18:44 11672]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15.08.2008 05:46 284016]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [07.04.2009 16:19 17408]
S3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [27.04.2009 14:25 14336]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [27.04.2009 14:25 13312]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [07.04.2009 16:42 24704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\**\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com
FF - prefs.js: network.proxy.type - 4

---- FIREFOX Richtlinien ----
FF - user.js: network.h**p.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-05-28 09:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3676)
c:\windows\HKCYDLL.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\msdtc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\snmp.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\mqsvc.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\hpzipm12.exe
c:\windows\system32\dllhost.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-28  9:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-28 07:18
ComboFix2.txt  2009-05-27 16:56

Vor Suchlauf: 16 Verzeichnis(se), 73.058.242.560 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 73.052.573.696 Bytes frei

259	--- E O F ---	2009-05-14 07:40

Zu 4.) Ist TuneUp nicht empfehlenswert bzw. gibt es etwas anderes empfehlenswertes für Laien wie mich? Oder kann ich es später wieder installieren?

Wieder mal unendlichen Dank an Dich!!!

john.doe · 28.05.2009, 15:36

Zitat:

Ist TuneUp nicht empfehlenswert bzw. gibt es etwas anderes empfehlenswertes für Laien wie mich?

Nein, das benutzen nur Leute, die glauben, sie hätten Ahnung. Ich habe noch keinen Profi erlebt, der den Mist einsetzt. Schau auch mal hier: http://www.trojaner-board.de/72761-w...tml#post433943 (letzter Satz).

Zitat:

Oder kann ich es später wieder installieren?

Davon kann ich dich nicht abhalten, aber raten würde ich dir das nicht.

1.) Start => Ausführen => combofix /u => OK.

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

ciao, andreas

maker73 · 29.05.2009, 12:25

Sodele,

hab jetzt alles durchlaufen lassen, hat ja ganz schön lange alles gedauert und ist auch einiges herausgekommen!

Sodann mal...

Hier das Kaspersky-Log:

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Freitag, 29. Mai 2009 00:18:34
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 28/05/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2048533
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\
	J:\
	K:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 230641
	Viren gefunden: 1
	Infizierte Objekte gefunden: 1
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 04:20:03

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk\VaultServer\FileStore\vlog-20090528.txt	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\BUERO\ASPNET\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\BUERO\ASPNET\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\BUERO\ASPNET\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\BUERO\ASPNET\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp\Perflib_Perfdata_3a0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Microsoft\Outlook\outcmd.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vvnirl8s.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\temp\etilqs_v2ECvL5AE623xqhgqSW7	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Oi\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Extensis\Suitcase\Daten\Suitcase-Datenbank appl.sc9	Das Objekt ist gesperrt	übersprungen
C:\Programme\Extensis\Suitcase\Daten\Suitcase-Datenbank cmnt.sc9	Das Objekt ist gesperrt	übersprungen
C:\Programme\Extensis\Suitcase\Daten\Suitcase-Datenbank file.sc9	Das Objekt ist gesperrt	übersprungen
C:\Programme\Extensis\Suitcase\Daten\Suitcase-Datenbank fndr.sc9	Das Objekt ist gesperrt	übersprungen
C:\Programme\Extensis\Suitcase\Daten\Suitcase-Datenbank font.sc9	Das Objekt ist gesperrt	übersprungen
C:\Programme\Extensis\Suitcase\Daten\Suitcase-Datenbank set.sc9	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\KnowledgeVaultMaster.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\KnowledgeVaultMaster_log.LDF	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\mastlog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\model.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\modellog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdbdata.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdblog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\tempdb.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\templog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\Vault.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\Vault_log.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log_112.trc	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{E3662C67-16FD-44BC-BBCF-BE9CB37D5EB7}.crmlog	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\TuneUp.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\Logfiles\W3SVC1\ex090528.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\MsDtc\MSDTC.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\msmq\storage\QMLog	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_1a0.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_650.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
K:\Backup_D\CryptLoad_1.0.4\ocr\megaupload.com\clCaptcha\clCaptcha.exe	Infizierte Objekte: Backdoor.Win32.Delf.oex	übersprungen
K:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Und hier das SuperAntSpyware-Log:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/29/2009 at 11:04 AM

Application Version : 4.26.1004

Core Rules Database Version : 3915
Trace Rules Database Version: 1859

Scan type       : Complete Scan
Total Scan Time : 02:07:58

Memory items scanned      : 651
Memory threats detected   : 0
Registry items scanned    : 8330
Registry threats detected : 2
File items scanned        : 281048
File threats detected     : 8

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Oi\Cookies\oi@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Oi\Cookies\oi@bs.serving-sys[2].txt
	C:\Dokumente und Einstellungen\Oi\Cookies\oi@atdmt[1].txt
	C:\Dokumente und Einstellungen\Oi\Cookies\oi@serving-sys[1].txt
	C:\Dokumente und Einstellungen\Oi\Cookies\oi@msnportal.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Oi\Cookies\oi@kaspersky.122.2o7[1].txt
	D:\Recovered Files\Dokumente und Einstellungen\Oi\Cookies\oi@weborama[2].txt

Trojan.Unknown Origin
	HKU\.DEFAULT\Software\ColdWare
	HKU\S-1-5-18\Software\ColdWare

Trojan.Agent/Gen-ImageDocFake
	D:\RECOVERED FILES\DOKUMENTE UND EINSTELLUNGEN\OI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\89IRO1U7\WMP87280AC6-807F-43E3-8739-590C1669FA3D[1]..JPG

SuperAntiSpyware hat ja einiges gefunde, mein lieber Scholli!!! Hoffe mal das man das noch hinbekommt!? Doch ich bin guter Dinge, denn seit ich hier Hilfe bekomme, funktioniert der Rechner so wie vorher! Doch ich weiss auch das es noch nicht sicher ist!!!
Wieder einmal möchte ich meinen herzlichsten Dank aussprechen!!!! Toll das es Leute wie Euch hier gibt, die so eine Handlampen wie mir helfen!!! ;-)

john.doe · 29.05.2009, 15:22

Lade ein aktuelles ComboFix herunter und füttere Combofix mit diesem Script (Inhalt der Box als cfscript.txt speichern und das Symbol auf das Combofixsymbol ziehen):

Code:

ATTFilter

KILLALL::

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Folder::
K:\Backup_D\CryptLoad_1.0.4

ciao, andreas

maker73 · 29.05.2009, 18:48

Hallo!

Habe ein aktuelles combofix heruntergeladen und das Script ausgeführt.

Habe das Log auf "naterialordner gestellt", hier der Link:

h**p://www.materialordner.de/Fke6kezUQ9TEwbEaAthAmv9JYfIrc.html

Was ist als nächstes zu tun?

john.doe · 29.05.2009, 18:57

Hattest du E-Trust Antivirus installiert?

Gibt es noch Umleitungen?

Poste bitte ein aktuelles HJT-Log.

ciao, andreas

maker73 · 29.05.2009, 19:11

So,

Hattest du E-Trust Antivirus installiert?

Nicht das ich wüßte!? Dieses Programm war mal am Anfang auf dem Rechner mit drauf, habe diesen aber schon einige Male formatiert!? Hab mal nachgesehn, ist auf meiner externen Festplatte drauf (K

, hatte mal irgendwann Mal die CD da draufgespielt, die beim rechner dabei war, aber wie gesagt, es ist hier aufm rechner nicht installiert!

Gibt es noch Umleitungen? Was genau meinst Du damit?

Poste bitte ein aktuelles HJT-Log.

Hier das Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:05:04, on 29.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
C:\Programme\Extensis\Suitcase\Suitcase.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Oi\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-21-220523388-796845957-1177238915-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'ASPNET')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6690 bytes

So, dann bin ich mal gespannt was da rauskommt...

ciao, andreas

john.doe · 29.05.2009, 19:27

Zitat:

Gibt es noch Umleitungen? Was genau meinst Du damit?

Das hier:

Zitat:

Wenn ich dann in google suche, und auf ein Ergebniss klicke, geht eine andere Seite/Werbeseite auf, des öfteren irgendetwas mit ebay!?

1.) Deinstalliere SUPERAntiSpyware oder falls du ihn behalten möchtest, dann deaktiviere den Wächter.

2.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R1, O2, O3, O8 und O9-Einträge
O4 - HKUS\S-1-5-21-220523388-796845957-1177238915-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'ASPNET')

=> Fix checked => Neustart

3.) Neues HJT-Log posten.

ciao, andreas

maker73 · 29.05.2009, 20:16

Sodele,

alles erledigt.

Umleitungen gibt es keine mehr!!!!! Das ist ja schon mal super!!!!!!

Und hier das neue HJT-Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:43, on 29.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Extensis\Suitcase\Suitcase.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
C:\Dokumente und Einstellungen\Oi\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\Data Management Server 2009\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 3471 bytes

Und, was meinst Du? Wie schauts nun aus mit meinem System?

Google öffnet nicht mehr die Standardseite bzw. macht in Firefox falsche Seiten auf

Plagegeister aller Art und deren Bekämpfung: Google öffnet nicht mehr die Standardseite bzw. macht in Firefox falsche Seiten auf