Fund: TR/Agent.uss

Perelina · 17.06.2009, 23:30

Die meisten habe ich geändert aber ich bin da nicht so ordentlich und habe sicher einige vergessen. Den Cleaner lass ich noch laufen und dann geh ich schlafen.

Eine Frage habe ich noch. Das Prevx habe ich ja noch offen. Soll ich hier noch auf Clean Up klicken oder das Programm einfach schließen?

john.doe · 17.06.2009, 23:33

Einfach schließen, Entfernen funktioniert nur bei der Bezahlversion. Der sitzt aber im temporären Ordner, also wird CCleaner ihn beseitigen.

ciao, andreas

Perelina · 18.06.2009, 14:46

Hallo Andreas,

Combofix ist einwandfrei durchgelaufen, es gab keinerlei Probleme mit der Internetverbindung hier nun die Auswertung:

Code:

ATTFilter

ComboFix 09-06-17.02 - Nicole 18.06.2009  1:35.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.561 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nicole\Desktop\ComboFix.exe
FW: Sunbelt Personal Firewall *disabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winxp\system32\autoscan.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-05-17 bis 2009-06-17  ))))))))))))))))))))))))))))))
.

2009-06-17 23:19 . 2009-06-17 23:19	--------	d-----w-	c:\winxp\Downloaded Installations
2009-06-17 22:51 . 2009-06-17 22:51	--------	d-----w-	c:\programme\Defraggler
2009-06-17 11:22 . 2009-06-17 11:22	--------	d-----w-	c:\winxp\system32\Kaspersky Lab
2009-06-17 10:17 . 2009-06-17 22:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-06-17 08:21 . 2009-06-17 08:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-06-16 06:32 . 2009-06-16 06:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-16 06:32 . 2009-06-16 06:32	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-06-16 06:32 . 2009-06-16 06:32	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-16 06:31 . 2009-06-16 06:31	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-06-15 08:54 . 2009-06-15 08:54	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol
2009-06-15 08:54 . 2009-02-10 17:32	0	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol\Config.sys
2009-06-15 08:54 . 2009-02-10 17:32	0	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol\Autoexec.bat
2009-06-15 08:54 . 2009-06-15 08:54	--------	d-----w-	c:\programme\BillP Studios
2009-06-15 08:43 . 2008-10-31 05:09	270888	----a-r-	c:\winxp\system32\drivers\SbFw.sys
2009-06-15 08:43 . 2008-06-21 02:54	65576	----a-w-	c:\winxp\system32\drivers\SbFwIm.sys
2009-06-15 08:43 . 2009-06-15 08:43	--------	d-----w-	c:\programme\Sunbelt Software
2009-06-15 08:38 . 2009-06-15 08:38	--------	d-----w-	c:\programme\Trend Micro
2009-06-15 07:51 . 2009-06-15 07:51	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\Malwarebytes
2009-06-15 07:50 . 2009-05-26 11:20	40160	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2009-06-15 07:50 . 2009-06-15 07:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-15 07:50 . 2009-05-26 11:19	19096	----a-w-	c:\winxp\system32\drivers\mbam.sys
2009-06-15 07:50 . 2009-06-15 08:18	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-06-12 11:59 . 2009-06-12 11:59	2145	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple\certificates\x509\tls_peers\ows.messenger.msn.com
2009-06-12 11:40 . 2009-06-12 11:40	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\gtk-2.0
2009-06-12 10:56 . 2009-06-12 10:56	2141	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple\certificates\x509\tls_peers\omega.contacts.msn.com
2009-06-12 10:56 . 2009-06-12 10:56	2099	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple\certificates\x509\tls_peers\login.live.com
2009-06-12 10:54 . 2009-06-13 19:05	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple
2009-06-12 09:08 . 2009-06-12 09:08	--------	d-----w-	c:\programme\Gemeinsame Dateien\GTK
2009-06-04 17:09 . 2009-06-05 04:43	--------	d-----w-	c:\winxp\SxsCaPendDel
2009-06-04 17:02 . 2008-02-25 20:23	45056	----a-w-	c:\winxp\system32\unredmon.exe
2009-06-04 17:02 . 2008-02-25 20:23	116224	----a-w-	c:\winxp\system32\redmonnt.dll
2009-06-04 17:02 . 2009-06-15 06:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\FreePDF
2009-06-04 17:02 . 2009-06-04 17:02	--------	d-----w-	c:\programme\FreePDF_XP
2009-06-04 16:40 . 2009-06-04 16:40	--------	d-----w-	c:\programme\PDF Blender
2009-06-04 16:36 . 2009-06-04 16:36	--------	d-----w-	c:\programme\gs
2009-06-01 10:50 . 2008-10-16 12:06	268648	----a-w-	c:\winxp\system32\mucltui.dll
2009-06-01 10:50 . 2008-10-16 12:06	208744	----a-w-	c:\winxp\system32\muweb.dll
2009-06-01 07:44 . 2009-06-03 07:46	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Contacts
2009-06-01 07:42 . 2009-06-01 07:42	--------	dc----w-	c:\winxp\system32\DRVSTORE
2009-06-01 07:39 . 2009-06-01 07:41	--------	dcsh--w-	c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2009-06-01 07:38 . 2009-06-01 07:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2009-05-29 11:10 . 2009-06-12 13:04	--------	d-----w-	c:\programme\CCleaner
2009-05-29 11:09 . 2009-05-29 11:21	--------	d-----w-	c:\programme\Copy 'n' Paste
2009-05-29 11:09 . 2009-05-29 11:09	--------	d-----w-	c:\winxp\uninstall\Copy 'n' Paste
2009-05-29 11:09 . 2009-05-29 11:09	--------	d-----w-	c:\winxp\uninstall
2009-05-29 11:02 . 2009-05-29 11:02	--------	d-----w-	c:\programme\Siber Systems
2009-05-29 10:26 . 2009-06-15 08:51	--------	d-----w-	c:\programme\HiddenFinder
2009-05-29 10:26 . 2006-02-23 19:03	8576	----a-w-	c:\winxp\system32\drivers\KProcWatch.sys
2009-05-25 15:54 . 2009-05-25 15:54	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\ASCOMP Software
2009-05-25 15:54 . 2009-05-25 15:54	--------	d-----w-	c:\programme\ASCOMP Software
2009-05-25 15:52 . 2009-05-25 15:52	--------	d-----w-	c:\programme\gila-tools
2009-05-25 14:44 . 2009-05-25 14:44	--------	d-----w-	c:\programme\Distelkamp Electronic
2009-05-23 17:38 . 2009-05-25 06:48	--------	d-----w-	c:\programme\Klebezettel NG
2009-05-23 16:58 . 2009-05-29 08:47	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\stickies
2009-05-23 16:19 . 2009-05-23 16:19	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PhraseExpress
2009-05-23 16:19 . 2009-05-23 16:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PhraseExpress
2009-05-23 15:00 . 2009-05-23 16:35	--------	d-----w-	c:\programme\Elaborate Bytes
2009-05-23 14:54 . 2009-05-23 14:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avery
2009-05-23 14:54 . 2009-05-23 14:54	--------	d-----w-	c:\programme\Avery Dennison
2009-05-22 08:09 . 2009-05-24 13:49	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\KlebezettelNG
2009-05-19 07:30 . 2009-05-19 07:30	--------	d-----w-	c:\programme\JSGSoft.com
2009-05-19 07:29 . 1999-03-23 07:12	304128	----a-w-	c:\winxp\unin0407.exe
2009-05-19 07:10 . 2009-05-19 07:10	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\Powermarks
2009-05-19 07:10 . 2009-05-23 16:38	--------	d-----w-	c:\programme\Powermarks 3.5
2009-05-19 06:42 . 2009-05-19 06:52	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Deployment

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-17 22:21 . 2009-02-10 12:20	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\FileZilla
2009-06-13 08:14 . 2008-04-14 10:00	72470	----a-w-	c:\winxp\system32\perfc007.dat
2009-06-13 08:14 . 2008-04-14 10:00	410130	----a-w-	c:\winxp\system32\perfh007.dat
2009-06-04 17:07 . 2009-03-20 04:05	--------	d-----w-	c:\programme\Foxit Software
2009-06-02 10:45 . 2009-02-11 07:29	48424	----a-w-	c:\dokumente und einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-02 05:49 . 2009-02-10 05:22	--------	d-----w-	c:\programme\Microsoft Bootvis
2009-05-23 14:55 . 2009-02-14 06:43	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-05-23 14:53 . 2009-02-11 07:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2009-05-07 15:32 . 2008-04-14 10:00	348160	----a-w-	c:\winxp\system32\localspl.dll
2009-04-29 04:42 . 2008-10-16 19:04	827392	----a-w-	c:\winxp\system32\wininet.dll
2009-04-29 04:41 . 2008-12-10 14:31	78336	----a-w-	c:\winxp\system32\ieencode.dll
2009-04-19 19:39 . 2008-12-10 15:30	1847936	----a-w-	c:\winxp\system32\win32k.sys
2009-04-15 14:51 . 2008-04-14 10:00	585216	----a-w-	c:\winxp\system32\rpcrt4.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\Nicole\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=

R0 pxscan;pxscan;c:\winxp\system32\drivers\pxscan.sys --> c:\winxp\system32\drivers\pxscan.sys [?]
R0 pxsec;pxsec;c:\winxp\system32\drivers\pxsec.sys --> c:\winxp\system32\drivers\pxsec.sys [?]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [26.05.2009 10:05 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [26.05.2009 10:05 72944]
R1 SbFw;SbFw;c:\winxp\system32\drivers\SbFw.sys [15.06.2009 10:43 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\winxp\system32\drivers\sbhips.sys [21.06.2008 04:54 66600]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\winxp\system32\plcndis5.sys [17.05.2004 11:21 17280]
R2 SbPF.Launcher;SbPF.Launcher;c:\programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31.10.2008 07:24 95528]
R3 es1969;ESS 1969-Audiotreiber (WDM);c:\winxp\system32\drivers\es1969.sys [10.02.2009 19:03 72192]
R3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;c:\winxp\system32\drivers\NtApm.sys [10.02.2009 19:05 9472]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\winxp\system32\drivers\SbFwIm.sys [15.06.2009 10:43 65576]
S2 SPF4;Sunbelt Personal Firewall 4;c:\programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31.10.2008 07:24 1365288]
S3 KProcWatch;KProcWatch;c:\winxp\system32\drivers\KProcWatch.sys [29.05.2009 12:26 8576]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\winxp\system32\PLCMPR5.SYS --> c:\winxp\system32\PLCMPR5.SYS [?]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [26.05.2009 10:05 7408]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PROCEXP113
*Deregistered* - CSIScanner
*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: {D7277DE0-B069-4E08-AFD7-8344C6873519} = 192.168.0.1,0.0.0.0
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-18 01:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(776)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-06-17  1:54
ComboFix-quarantined-files.txt  2009-06-17 23:53

Vor Suchlauf: 6.329.921.536 Bytes frei
Nach Suchlauf: 6.345.895.936 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /NOGUIBOOT

174	--- E O F ---	2009-06-15 08:10

Mein Rechner wird immer langsamer und ich bekomme schon 2 Tage nur noch vereinzelt Mails. Ich schau jetzt mal bei Webmail nach, ob dort Mails hängen. Ansonsten fühle ich mich sehr unwohl, wenn ich Mails versende und überhaupt an diesem Rechner arbeite. Hoffentlich kann ich bald wieder unbedenklich arbeiten.

Viele Grüße
Nicole

john.doe · 18.06.2009, 17:00

Zitat:

Mein Rechner wird immer langsamer

Bei dem, das du dir da installiert hast, wundert mich, dass er überhaupt noch läuft.

Hattest du Online Armor installiert?

1.) Deinstalliere:

Prevx
Kaspersky Online Scanner
SuperAntiSpyware
Sunbelt Personal Firewall
WinPatrol 2009
Hidden Finder 1.5.3

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
pxscan
pxsec
SASDIFSV
SASKUTIL
sbhips
SbFw
SbPF.Launcher
SBFWIMCL
SPF4
SASENUM
KProcWatch
PROCEXP113
CSIScanner

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
C:\DOKUMEnte und Einstellungen\Nicole\LOKALE Anwendungen\Temp\srcmon.exe
c:\winxp\system32\perfc007.dat
c:\winxp\system32\perfh007.dat
c:\dokumente und einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

Folder::
c:\winxp\system32\Kaspersky Lab
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\SUPERAntiSpyware
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\Gemeinsame Dateien\Wise Installation Wizard
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol
c:\programme\Sunbelt Software
c:\winxp\SxsCaPendDel

FileLook::
c:\winxp\system32\unredmon.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Perelina · 18.06.2009, 17:27

Hallo Andreas,

was ist denn Online Amor? Das klingt ja schon ein wenig verrucht ;-)
Ich deinstalliere nun mal was geht, wobei ich bei Prevx nicht weiß wie, denn das konnte ich gestern nur mit viel Mühe schließen und in meiner Softwareliste taucht es gar nicht auf.

Gruß Nicole

john.doe · 18.06.2009, 17:32

Zitat:

wobei ich bei Prevx nicht weiß wie,

Poste eine neue Softwareliste, Punkt 2d => Für alle Neuen

ciao, andreas

Perelina · 18.06.2009, 18:02

Combofix möchte updaten. Soll ich das tun oder die ursprüngliche Version behalten?

john.doe · 18.06.2009, 18:08

Ja, updaten ist immer gut.

ciao, andreas

Perelina · 18.06.2009, 18:35

So hier zunächst die aktuelle Software Liste:

Code:

ATTFilter

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
CCleaner (remove only)
Compatibility Pack für 2007 Office System
Defraggler (remove only)
DesignPro 5
devolo dLAN-Konfigurationsassistent
devolo EasyClean
devolo EasyShare
devolo Informer
ElsterFormular 2008/2009
EVEREST Home Edition v2.20
FileZilla Client 3.2.3.1
Foxit Reader
FreePDF XP (Remove only)
GPL Ghostscript 8.63
GTK+ Runtime 2.14.7 rev a (nur entfernen)
HijackThis 2.0.2
HP Print Diagnostic Utility
hp psc 700 series
Jasc Paint Shop Pro 9
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Bootvis
Microsoft Office Professional Edition 2003
Microsoft Outlook-Sicherung für Persönliche Ordner
Mozilla Firefox (3.0.9)
Orga-Nicer v2.4
PDF Blender
PSPad editor
RedMon - Redirection Port Monitor
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Update für Windows XP (KB967715)
VLC media player 0.9.8a
Wichtiges Update für Windows Media Player 11 (KB959772)
WinRAR
WinZip

und gleich hinter her das Logfile von Combofix:

Code:

ATTFilter

ComboFix 09-06-17.04 - Nicole 18.06.2009 19:12.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.585 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nicole\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Nicole\Desktop\cfscript.txt

FILE ::
"c:\dokumente und einstellungen\Nicole\LOKALE Anwendungen\Temp\srcmon.exe"
"c:\dokumente und einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\winxp\system32\perfc007.dat"
"c:\winxp\system32\perfh007.dat"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol
c:\programme\Sunbelt Software
c:\winxp\SxsCaPendDel
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\kis.de.msi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\release_notes_kis8.0cf2_de.html
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\setup.exe
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol\Autoexec.bat
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol\Config.sys
c:\dokumente und einstellungen\Nicole\Anwendungsdaten\WinPatrol\HOSTS
c:\dokumente und einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\programme\Sunbelt Software\Personal Firewall\Config\charts.dat
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\attack-responses.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\backdoor.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\bad-traffic.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\ddos.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\dos.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\icmp.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\misc.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\netbios.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\rules.idx
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\scan.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\IDSRules\sunbelt.rlk
c:\programme\Sunbelt Software\Personal Firewall\Config\spf.cfg
c:\programme\Sunbelt Software\Personal Firewall\Config\spf.cfg.bak
c:\programme\Sunbelt Software\Personal Firewall\Config\update.cfg
c:\programme\Sunbelt Software\Personal Firewall\Logs\debug.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\debug.log.idx
c:\programme\Sunbelt Software\Personal Firewall\Logs\error.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\error.log.idx
c:\programme\Sunbelt Software\Personal Firewall\Logs\hips.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\hips.log.idx
c:\programme\Sunbelt Software\Personal Firewall\Logs\ids.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\ids.log.idx
c:\programme\Sunbelt Software\Personal Firewall\Logs\network.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\network.log.idx
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFw.etl
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFw.etl.001
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFw.etl.002
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFw.etl.003
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFw.etl.004
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFw.etl.005
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl.001
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl.002
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl.003
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl.004
c:\programme\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl.005
c:\programme\Sunbelt Software\Personal Firewall\Logs\sbhips.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\system.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\system.log.idx
c:\programme\Sunbelt Software\Personal Firewall\Logs\warning.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\warning.log.idx
c:\programme\Sunbelt Software\Personal Firewall\Logs\web.log
c:\programme\Sunbelt Software\Personal Firewall\Logs\web.log.idx
c:\winxp\system32\perfc007.dat
c:\winxp\system32\perfh007.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CSISCANNER
-------\Legacy_KPROCWATCH
-------\Legacy_PROCEXP113
-------\Legacy_PXSCAN
-------\Legacy_PXSEC
-------\Legacy_SASDIFSV
-------\Legacy_SASENUM
-------\Legacy_SASKUTIL
-------\Legacy_SBFW
-------\Legacy_SBHIPS
-------\Service_KProcWatch
-------\Service_sbhips


(((((((((((((((((((((((   Dateien erstellt von 2009-05-18 bis 2009-06-18  ))))))))))))))))))))))))))))))
.

2009-06-17 23:19 . 2009-06-17 23:19	--------	d-----w-	c:\winxp\Downloaded Installations
2009-06-17 22:51 . 2009-06-17 22:51	--------	d-----w-	c:\programme\Defraggler
2009-06-15 08:54 . 2009-06-15 08:54	--------	d-----w-	c:\programme\BillP Studios
2009-06-15 08:38 . 2009-06-15 08:38	--------	d-----w-	c:\programme\Trend Micro
2009-06-15 07:51 . 2009-06-15 07:51	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\Malwarebytes
2009-06-15 07:50 . 2009-05-26 11:20	40160	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2009-06-15 07:50 . 2009-06-15 07:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-15 07:50 . 2009-05-26 11:19	19096	----a-w-	c:\winxp\system32\drivers\mbam.sys
2009-06-15 07:50 . 2009-06-15 08:18	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-06-12 11:59 . 2009-06-12 11:59	2145	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple\certificates\x509\tls_peers\ows.messenger.msn.com
2009-06-12 11:40 . 2009-06-12 11:40	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\gtk-2.0
2009-06-12 10:56 . 2009-06-12 10:56	2141	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple\certificates\x509\tls_peers\omega.contacts.msn.com
2009-06-12 10:56 . 2009-06-12 10:56	2099	----a-w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple\certificates\x509\tls_peers\login.live.com
2009-06-12 10:54 . 2009-06-13 19:05	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\.purple
2009-06-12 09:08 . 2009-06-12 09:08	--------	d-----w-	c:\programme\Gemeinsame Dateien\GTK
2009-06-04 17:02 . 2008-02-25 20:23	45056	----a-w-	c:\winxp\system32\unredmon.exe
2009-06-04 17:02 . 2008-02-25 20:23	116224	----a-w-	c:\winxp\system32\redmonnt.dll
2009-06-04 17:02 . 2009-06-15 06:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\FreePDF
2009-06-04 17:02 . 2009-06-04 17:02	--------	d-----w-	c:\programme\FreePDF_XP
2009-06-04 16:40 . 2009-06-04 16:40	--------	d-----w-	c:\programme\PDF Blender
2009-06-04 16:36 . 2009-06-04 16:36	--------	d-----w-	c:\programme\gs
2009-06-01 10:50 . 2008-10-16 12:06	268648	----a-w-	c:\winxp\system32\mucltui.dll
2009-06-01 10:50 . 2008-10-16 12:06	208744	----a-w-	c:\winxp\system32\muweb.dll
2009-06-01 07:44 . 2009-06-03 07:46	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Contacts
2009-06-01 07:42 . 2009-06-01 07:42	--------	dc----w-	c:\winxp\system32\DRVSTORE
2009-06-01 07:39 . 2009-06-01 07:41	--------	dcsh--w-	c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2009-06-01 07:38 . 2009-06-01 07:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2009-05-29 11:10 . 2009-06-12 13:04	--------	d-----w-	c:\programme\CCleaner
2009-05-29 11:09 . 2009-06-18 16:22	--------	d-----w-	c:\winxp\uninstall
2009-05-29 11:02 . 2009-05-29 11:02	--------	d-----w-	c:\programme\Siber Systems
2009-05-25 15:54 . 2009-05-25 15:54	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\ASCOMP Software
2009-05-25 15:54 . 2009-05-25 15:54	--------	d-----w-	c:\programme\ASCOMP Software
2009-05-25 15:52 . 2009-05-25 15:52	--------	d-----w-	c:\programme\gila-tools
2009-05-25 14:44 . 2009-05-25 14:44	--------	d-----w-	c:\programme\Distelkamp Electronic
2009-05-23 17:38 . 2009-05-25 06:48	--------	d-----w-	c:\programme\Klebezettel NG
2009-05-23 16:58 . 2009-05-29 08:47	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\stickies
2009-05-23 16:19 . 2009-05-23 16:19	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\PhraseExpress
2009-05-23 16:19 . 2009-05-23 16:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PhraseExpress
2009-05-23 15:00 . 2009-05-23 16:35	--------	d-----w-	c:\programme\Elaborate Bytes
2009-05-23 14:54 . 2009-05-23 14:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avery
2009-05-23 14:54 . 2009-05-23 14:54	--------	d-----w-	c:\programme\Avery Dennison
2009-05-22 08:09 . 2009-05-24 13:49	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\KlebezettelNG

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-18 13:31 . 2009-02-10 12:20	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\FileZilla
2009-06-04 17:07 . 2009-03-20 04:05	--------	d-----w-	c:\programme\Foxit Software
2009-06-02 05:49 . 2009-02-10 05:22	--------	d-----w-	c:\programme\Microsoft Bootvis
2009-05-23 16:38 . 2009-05-19 07:10	--------	d-----w-	c:\programme\Powermarks 3.5
2009-05-23 14:55 . 2009-02-14 06:43	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-05-23 14:53 . 2009-02-11 07:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2009-05-19 07:30 . 2009-05-19 07:30	--------	d-----w-	c:\programme\JSGSoft.com
2009-05-19 07:10 . 2009-05-19 07:10	--------	d-----w-	c:\dokumente und einstellungen\Nicole\Anwendungsdaten\Powermarks
2009-05-07 15:32 . 2008-04-14 10:00	348160	----a-w-	c:\winxp\system32\localspl.dll
2009-04-29 04:42 . 2008-10-16 19:04	827392	----a-w-	c:\winxp\system32\wininet.dll
2009-04-29 04:41 . 2008-12-10 14:31	78336	----a-w-	c:\winxp\system32\ieencode.dll
2009-04-19 19:39 . 2008-12-10 15:30	1847936	----a-w-	c:\winxp\system32\win32k.sys
2009-04-15 14:51 . 2008-04-14 10:00	585216	----a-w-	c:\winxp\system32\rpcrt4.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\winxp\system32\unredmon.exe ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File size: 45056
Created time: 2009-06-04 17:02
Modified time: 2008-02-25 20:23
MD5: 246E343F3298F667D03CCAC005F34FDD
SHA1: FA469BEBD1D0C50FA4321C67218F83D09784087A


------- Sigcheck -------

[-] 2008-12-10 14:31	1571840	451D0981F4CCA5697307AF90D799BDC3	c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\Nicole\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=

R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\winxp\system32\plcndis5.sys [17.05.2004 11:21 17280]
R3 es1969;ESS 1969-Audiotreiber (WDM);c:\winxp\system32\drivers\es1969.sys [10.02.2009 19:03 72192]
R3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;c:\winxp\system32\drivers\NtApm.sys [10.02.2009 19:05 9472]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\winxp\system32\PLCMPR5.SYS --> c:\winxp\system32\PLCMPR5.SYS [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: {D7277DE0-B069-4E08-AFD7-8344C6873519} = 192.168.0.1,0.0.0.0
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-18 19:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(364)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\system32\netdde.exe
c:\winxp\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-18 19:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-06-18 17:28
ComboFix2.txt  2009-06-17 23:54

Vor Suchlauf: 6.520.799.232 Bytes frei
Nach Suchlauf: 6.479.732.736 Bytes frei

222	--- E O F ---	2009-06-15 08:10

Sagst du mir auch noch was Online Amor ist? Hab wirklich keine Ahnung und wüßte nicht, dass ich eine Software mit diesem Namen je installiert hätte.

Gruß

Nicole

john.doe · 18.06.2009, 18:50

Zitat:

Sagst du mir auch noch was Online Amor ist?

Ein Treiber deutete auf ihn hin, scheint aber doch zur Sunbelt Firewall zu gehören.
=> http://www.tallemu.com/

1.) Gibt es eine Besserung? Eigentlich sollte der Rechner jetzt wieder schneller sein.

2.) Start => Ausführen => combofix /u => OK

3.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Perelina · 18.06.2009, 18:58

Habe beide Files aber was meinst du mit minimiert posten?

john.doe · 18.06.2009, 19:00

Wieder die falsche Anleitung erwischt.

Streiche das Wort minimiert, das gehört da nicht hin.

ciao, andreas

Perelina · 18.06.2009, 20:58

Entschuldige bitte, dass es etwas länger gedauert hat aber ich musste noch die Family versorgen.

Hier die die log.txt:

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by Nicole at 2009-06-18 19:53:12
Microsoft Windows XP Professional Service Pack 3
System drive C: has 7 GB (56%) free of 13 GB
Total RAM: 767 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:53:29, on 18.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\netdde.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\explorer.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Nicole\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Nicole.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7277DE0-B069-4E08-AFD7-8344C6873519}: NameServer = 192.168.0.1,0.0.0.0

--
End of file - 1957 bytes

======Registry dump======

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINXP\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINXP\system32\WgaLogon.dll [2008-09-23 3584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINXP\system32\wpdshserviceobj.dll [2008-12-10 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Dokumente und Einstellungen\Nicole\temp\TeamViewer\Version4\TeamViewer.exe"="C:\Dokumente und Einstellungen\Nicole\temp\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\Programme\devolo\informer\devinf.exe"="C:\Programme\devolo\informer\devinf.exe:*:Enabled:devolo Informer"
"C:\Programme\devolo\easyshare\easyshare.exe"="C:\Programme\devolo\easyshare\easyshare.exe:*:Enabled:devolo EasyShare"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

======List of files/folders created in the last 1 months======

2009-06-18 19:53:12 ----D---- C:\rsit
2009-06-18 19:50:58 ----SD---- C:\ComboFix
2009-06-18 19:28:19 ----D---- C:\WINXP\temp
2009-06-18 19:28:15 ----A---- C:\ComboFix.txt
2009-06-18 18:25:05 ----SHD---- C:\Config.Msi
2009-06-18 01:54:11 ----A---- C:\WINXP\SchedLgU.Txt
2009-06-18 01:34:14 ----A---- C:\Boot.bak
2009-06-18 01:34:02 ----RASHD---- C:\cmdcons
2009-06-18 01:30:34 ----D---- C:\WINXP\ERDNT
2009-06-18 01:19:57 ----D---- C:\WINXP\Downloaded Installations
2009-06-18 00:51:22 ----D---- C:\Programme\Defraggler
2009-06-17 23:54:22 ----A---- C:\WINXP\wininit.ini
2009-06-15 10:54:20 ----D---- C:\Programme\BillP Studios
2009-06-15 10:38:20 ----D---- C:\Programme\Trend Micro
2009-06-15 09:58:29 ----A---- C:\WINXP\system32\MRT.exe
2009-06-15 09:51:06 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Malwarebytes
2009-06-15 09:50:45 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-15 09:50:42 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-06-13 08:35:47 ----HDC---- C:\WINXP\$NtUninstallKB961501$
2009-06-13 08:35:32 ----HDC---- C:\WINXP\$NtUninstallKB969898$
2009-06-13 08:33:36 ----HDC---- C:\WINXP\$NtUninstallKB970238$
2009-06-13 08:24:08 ----HDC---- C:\WINXP\$NtUninstallKB968537$
2009-06-12 13:40:21 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\gtk-2.0
2009-06-12 12:54:26 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\.purple
2009-06-12 11:08:16 ----D---- C:\Programme\Gemeinsame Dateien\GTK
2009-06-04 19:02:07 ----A---- C:\WINXP\system32\unredmon.exe
2009-06-04 19:02:07 ----A---- C:\WINXP\system32\redmonnt.dll
2009-06-04 19:02:06 ----D---- C:\Programme\FreePDF_XP
2009-06-04 18:42:44 ----A---- C:\WINXP\gswin32.ini
2009-06-04 18:40:44 ----D---- C:\Programme\PDF Blender
2009-06-04 18:36:33 ----D---- C:\Programme\gs
2009-06-01 12:50:32 ----A---- C:\WINXP\system32\muweb.dll
2009-06-01 12:50:32 ----A---- C:\WINXP\system32\mucltui.dll.mui
2009-06-01 12:50:32 ----A---- C:\WINXP\system32\mucltui.dll
2009-06-01 09:42:54 ----DC---- C:\WINXP\system32\DRVSTORE
2009-06-01 09:39:08 ----SHDC---- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2009-06-01 09:38:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2009-05-29 13:10:48 ----D---- C:\Programme\CCleaner
2009-05-29 13:09:01 ----D---- C:\WINXP\uninstall
2009-05-29 13:02:15 ----D---- C:\Programme\Siber Systems
2009-05-25 17:54:27 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\ASCOMP Software
2009-05-25 17:54:18 ----D---- C:\Programme\ASCOMP Software
2009-05-25 17:52:25 ----D---- C:\Programme\gila-tools
2009-05-25 16:44:24 ----D---- C:\Programme\Distelkamp Electronic
2009-05-23 19:38:00 ----D---- C:\Programme\Klebezettel NG
2009-05-23 18:58:20 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\stickies
2009-05-23 18:19:13 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\PhraseExpress
2009-05-23 18:19:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PhraseExpress
2009-05-23 17:00:04 ----D---- C:\Programme\Elaborate Bytes
2009-05-23 16:54:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery
2009-05-23 16:54:31 ----D---- C:\Programme\Avery Dennison
2009-05-22 10:09:59 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\KlebezettelNG
2009-05-19 09:30:00 ----D---- C:\Programme\JSGSoft.com
2009-05-19 09:29:48 ----A---- C:\WINXP\unin0407.exe
2009-05-19 09:10:18 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Powermarks
2009-05-19 09:10:07 ----D---- C:\Programme\Powermarks 3.5

======List of files/folders modified in the last 1 months======

2009-06-18 19:53:19 ----D---- C:\WINXP\Prefetch
2009-06-18 19:51:52 ----SHD---- C:\System Volume Information
2009-06-18 19:51:27 ----D---- C:\WINXP
2009-06-18 19:51:21 ----D---- C:\WINXP\system32
2009-06-18 19:28:21 ----D---- C:\WINXP\system32\drivers
2009-06-18 19:25:24 ----D---- C:\WINXP\system32\CatRoot2
2009-06-18 19:22:53 ----N---- C:\WINXP\system.ini
2009-06-18 19:19:45 ----D---- C:\WINXP\system32\config
2009-06-18 19:17:01 ----D---- C:\WINXP\AppPatch
2009-06-18 19:16:53 ----D---- C:\Programme\Gemeinsame Dateien
2009-06-18 19:13:27 ----RD---- C:\Programme
2009-06-18 18:26:20 ----HD---- C:\WINXP\inf
2009-06-18 18:26:03 ----SHD---- C:\WINXP\Installer
2009-06-18 15:31:37 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\FileZilla
2009-06-18 07:58:24 ----D---- C:\WINXP\Help
2009-06-18 01:34:14 ----RASH---- C:\boot.ini
2009-06-17 13:22:11 ----SD---- C:\WINXP\Downloaded Program Files
2009-06-17 09:39:20 ----D---- C:\WINXP\Network Diagnostic
2009-06-15 11:16:48 ----D---- C:\WINXP\Debug
2009-06-13 10:14:10 ----D---- C:\WINXP\system32\wbem
2009-06-13 10:14:09 ----A---- C:\WINXP\system32\PerfStringBackup.INI
2009-06-13 08:38:17 ----N---- C:\WINXP\win.ini
2009-06-13 08:35:50 ----RSHDC---- C:\WINXP\system32\dllcache
2009-06-13 08:35:32 ----HD---- C:\WINXP\$hf_mig$
2009-06-13 08:27:48 ----D---- C:\WINXP\system32\de-de
2009-06-13 08:27:47 ----D---- C:\Programme\Internet Explorer
2009-06-13 08:27:02 ----D---- C:\WINXP\ie7updates
2009-06-10 08:40:08 ----SHD---- C:\WINXP\CSC
2009-06-09 07:07:54 ----D---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Adobe
2009-06-04 19:09:11 ----D---- C:\WINXP\WinSxS
2009-06-04 19:07:15 ----D---- C:\Programme\Foxit Software
2009-06-04 19:02:37 ----D---- C:\Programme\Outlook Express
2009-06-02 07:49:27 ----D---- C:\Programme\Microsoft Bootvis
2009-06-02 07:04:36 ----RSD---- C:\WINXP\Fonts
2009-06-02 07:03:49 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-06-01 09:44:43 ----SD---- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft
2009-05-29 13:08:39 ----D---- C:\Program Files
2009-05-23 16:55:25 ----HD---- C:\Programme\InstallShield Installation Information
2009-05-23 16:53:33 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 ssmdrv;ssmdrv; C:\WINXP\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver; C:\WINXP\system32\plcndis5.sys [2004-05-17 17280]
R3 catchme;catchme; \??\C:\DOKUME~1\Nicole\LOKALE~1\Temp\catchme.sys []
R3 dot4;MS IEEE-1284.4-Treiber; C:\WINXP\system32\DRIVERS\Dot4.sys [2008-04-14 206976]
R3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINXP\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
R3 Dot4Scan;Scannerklassentreiber für IEEE-1284.4; C:\WINXP\system32\DRIVERS\Dot4Scan.sys [2001-08-17 8704]
R3 dot4usb;Dot4USB-Filter Dot4USB Filter; C:\WINXP\system32\DRIVERS\dot4usb.sys [2001-08-18 23936]
R3 es1969;ESS 1969-Audiotreiber (WDM); C:\WINXP\system32\drivers\es1969.sys [2001-08-17 72192]
R3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber; C:\WINXP\system32\DRIVERS\NtApm.sys [2001-08-18 9472]
R3 nv;nv; C:\WINXP\system32\DRIVERS\nv4_mini.sys [2008-04-13 1897408]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINXP\system32\DRIVERS\RTL8139.SYS [2008-04-13 20992]
R3 usbhub;USB2-aktivierter Hub; C:\WINXP\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINXP\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINXP\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S1 avipbb;avipbb; C:\WINXP\system32\DRIVERS\avipbb.sys []
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver; \??\C:\WINXP\system32\PLCMPR5.SYS []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINXP\system32\DRIVERS\WudfPf.sys [2008-12-10 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINXP\system32\DRIVERS\wudfrd.sys [2008-12-10 82944]
S4 ACPI;ACPI; C:\WINXP\system32\drivers\ACPI.sys []
S4 IntelIde;IntelIde; C:\WINXP\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 Fax;Fax; C:\WINXP\system32\fxssvc.exe [2008-04-14 268800]
S3 aspnet_state;ASP.NET State Service; C:\WINXP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINXP\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

und nun die info.txt

Code:

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-06-18 19:53:33

======Uninstall list======

-->MsiExec.exe /X{DEBEA68F-45AA-4707-A9A7-DBD6DB4FBE89}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINXP\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINXP\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINXP\system32\Macromed\Flash\uninstall_plugin.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Defraggler (remove only)-->"C:\Programme\Defraggler\uninst.exe"
DesignPro 5-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{F82C6574-AD88-4B40-A432-970BC77F1BD2} 
devolo dLAN-Konfigurationsassistent-->C:\Programme\devolo\setup.exe /remove:dlanconf
devolo EasyClean-->C:\Programme\devolo\setup.exe /remove:easyclean
devolo EasyShare-->C:\Programme\devolo\setup.exe /remove:easyshare
devolo Informer-->C:\Programme\devolo\setup.exe /remove:dslmon
ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7  -removeonly
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
FileZilla Client 3.2.3.1-->c:\Programme\FileZilla FTP Client\uninstall.exe
Foxit Reader-->C:\Programme\Foxit Software\Foxit Reader\Uninstall.exe
FreePDF XP (Remove only)-->C:\Programme\FreePDF_XP\fpsetup.exe /r
GPL Ghostscript 8.63-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\gs8.63\uninstal.txt"
GTK+ Runtime 2.14.7 rev a (nur entfernen)-->C:\Programme\Gemeinsame Dateien\GTK\2.0\uninst.exe
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HP Print Diagnostic Utility-->MsiExec.exe /I{5E06C076-E4E7-4239-A886-B3D8AC84C166}
hp psc 700 series-->C:\WINXP\system32\hpocon09.exe /u 1235127289 /d "hp psc 700 series"
Jasc Paint Shop Pro 9-->MsiExec.exe /I{F843C6A3-224D-4615-94F8-3C461BD9AEA0}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINXP\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Bootvis-->MsiExec.exe /I{0F9196C6-58B4-445B-B56E-B1200FECC151}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Outlook-Sicherung für Persönliche Ordner-->MsiExec.exe /X{C63E7C60-25EB-11D3-8EDA-00A0C911E8E5}
Mozilla Firefox (3.0.9)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Orga-Nicer v2.4-->"C:\Programme\ASCOMP Software\Orga-Nicer\unins000.exe"
PDF Blender-->C:\Programme\PDF Blender\uninstall.exe
PSPad editor-->"C:\Programme\PSPad editor\Uninst\unins000.exe"
RedMon - Redirection Port Monitor-->C:\WINXP\system32\unredmon.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINXP\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINXP\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINXP\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINXP\system32\MacroMed\Flash\genuinst.exe C:\WINXP\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINXP\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINXP\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINXP\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINXP\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINXP\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINXP\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINXP\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINXP\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINXP\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINXP\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINXP\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINXP\$NtUninstallKB970238$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINXP\$NtUninstallKB967715$\spuninst\spuninst.exe"
VLC media player 0.9.8a-->C:\Programme\VideoLAN\VLC\uninstall.exe
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINXP\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall

=====HijackThis Backups=====

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') [2009-06-15]
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') [2009-06-15]
O4 - HKCU\..\Run: [System Resource Monitor] C:\DOKUME~1\Nicole\LOKALE~1\Temp\srcmon.exe [2009-06-15]
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') [2009-06-15]
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') [2009-06-15]
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') [2009-06-15]
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') [2009-06-15]
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') [2009-06-15]
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') [2009-06-15]

======System event log======

Computer Name: PC-
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 1426
Source Name: EventLog
Time Written: 20090321032826.000000+060
Event Type: Informationen
User: 

Computer Name: PC-
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 1425
Source Name: EventLog
Time Written: 20090321032826.000000+060
Event Type: Informationen
User: 

Computer Name: PC-
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 1424
Source Name: EventLog
Time Written: 20090320130405.000000+060
Event Type: Informationen
User: 

Computer Name: PC-
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Lavalys EVEREST Kernel Driver" gesendet.

Record Number: 1423
Source Name: Service Control Manager
Time Written: 20090320053240.000000+060
Event Type: Informationen
User: PC-

Computer Name: PC-
Event Code: 7036
Message: Dienst "Windows Installer" befindet sich jetzt im Status "Beendet".

Record Number: 1422
Source Name: Service Control Manager
Time Written: 20090320052410.000000+060
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: PC-
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090210182232.000000+060
Event Type: Informationen
User: 

Computer Name: PC-
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090210182223.000000+060
Event Type: Informationen
User: 

Computer Name: PC-
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090210180912.000000+060
Event Type: Informationen
User: 

Computer Name: PC-
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090210180818.000000+060
Event Type: Informationen
User: 

Computer Name: PC-
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090210180815.000000+060
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 7 Stepping 3, GenuineIntel
"PROCESSOR_REVISION"=0703
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

john.doe · 18.06.2009, 21:35

1.) Warum hast du Avira deinstalliert?

2.) Gibt es eine Besserung? Eigentlich sollte der Rechner jetzt wieder schneller sein.

3.) Die Logs sind sauber. Wie geht es dem Rechner?

ciao, andreas

Perelina · 18.06.2009, 22:00

Ja, er ist schon wesentlich schneller. Avira habe ich deinstalliert, weil es doch nicht mehr funktioniert hat und beim Starten eine Fehlermeldung kam. Ich werde es morgen wieder neu downloaden und installieren.

Reicht das als Schutz dann auch wirklich aus? Was glaubst du, wie ich an diesen Trojaner gekommen bin?

Eigentlich bin ich nur froh, dass ich um eine Neuinstallation herum gekommen bin. Vielen lieben Dank für deine Mühe und deine Geduld. Finde ich echt super, dass du mir so tolle Hilfestellung gegeben und deine Zeit für mich geopfert hast. Würde mich gerne revanchieren aber ich habe keine Idee, was ich dir Gutes tun könnte.

Wenn dir was einfällt, lass es mich wissen

Gut, dass ich heute mal wieder früher ins Bett kann. Mir fehlen nämlich noch ein paar Stunden.

Ich wünsche dir eine gute Nacht

Liebe Grüße

Nicole

Fund: TR/Agent.uss

Plagegeister aller Art und deren Bekämpfung: Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Fund: TR/Agent.uss

Ähnliche Themen: Fund: TR/Agent.uss

17.06.2009, 23:30	#16
Perelina	Fund: TR/Agent.uss Die meisten habe ich geändert aber ich bin da nicht so ordentlich und habe sicher einige vergessen. Den Cleaner lass ich noch laufen und dann geh ich schlafen. Eine Frage habe ich noch. Das Prevx habe ich ja noch offen. Soll ich hier noch auf Clean Up klicken oder das Programm einfach schließen?

17.06.2009, 23:33	#17
john.doe	Fund: TR/Agent.uss Einfach schließen, Entfernen funktioniert nur bei der Bezahlversion. Der sitzt aber im temporären Ordner, also wird CCleaner ihn beseitigen. ciao, andreas __________________ __________________

18.06.2009, 17:27	#20
Perelina	Fund: TR/Agent.uss Hallo Andreas, was ist denn Online Amor? Das klingt ja schon ein wenig verrucht ;-) Ich deinstalliere nun mal was geht, wobei ich bei Prevx nicht weiß wie, denn das konnte ich gestern nur mit viel Mühe schließen und in meiner Softwareliste taucht es gar nicht auf. Gruß Nicole

18.06.2009, 18:02	#22
Perelina	Fund: TR/Agent.uss Combofix möchte updaten. Soll ich das tun oder die ursprüngliche Version behalten?

18.06.2009, 18:08	#23
john.doe	Fund: TR/Agent.uss Ja, updaten ist immer gut. ciao, andreas __________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Für alle Neuen Anleitungen Virenscanner Kompromittierung unvermeidbar?

18.06.2009, 18:58	#26
Perelina	Fund: TR/Agent.uss Habe beide Files aber was meinst du mit minimiert posten?

18.06.2009, 19:00	#27
john.doe	Fund: TR/Agent.uss Wieder die falsche Anleitung erwischt. Streiche das Wort minimiert, das gehört da nicht hin. ciao, andreas __________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Für alle Neuen Anleitungen Virenscanner Kompromittierung unvermeidbar?