Seit einiger Zeit kann mein PC keinen Vista-Update mehr machen. Auch Antivir-Update funktioniert nicht. Beim Ansurfen einiger einschlägiger Seiten (avira.com und hoax-info, auch file-pony) sehen die Seiten im Firefox merkwürdig aus (z.T. schwarz eingefärbt. Außerdem stürzt der PC beim Versuch des Vista-Update häufig ab. Ich habe gestern wie empfohlen den CCleaner und heute Malwarebytes laufen lassen. Die Fehler in der Registry sind gefunden, eine Infektion konnte Malwarebytes nicht finden. Könnte es sein, dass ich mir etwas eingefangen habe??

Danke im Voraus für Unterstützung,

UJHEF

Malwarebytes-Report:
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2284
Windows 6.0.6001 Service Pack 1

16.06.2009 09:47:31
mbam-log-2009-06-16 (09-47-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 186800
Laufzeit: 1 hour(s), 21 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das Hijack-Logfile sagt folgendes:
[code] Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:50:22, on 16.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe
C:\Program Files\avmwlanstick\WLanGUI.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Fighters\Spywarefighter\SpywarefighterUser.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\System32\mobsync.exe
c:\program files\fighters\spywarefighter\SPYWAREfighterTray.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Users\xxx\Desktop\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\Windows\system32\mscoree.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google EULA Launcher] C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe GE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: &Citavi Picker... - file://C:\Program Files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\Windows\system32\mscoree.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PTK License-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\configservice.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 7397 bytes
[\code]

Hallo,

ich hole noch schnell Punkt 2d) nach:

Adobe Flash Player 10 Plugin
Agere Systems PCI-SV92PP Soft Modem
Avery Zweckform DesignPro
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!WLAN
Canon Utilities Easy-PhotoPrint
Canon Utilities My Printer
CCleaner (remove only)
CD-LabelPrint
Citavi 2.5
CUEcards 2000
DesignPro Ordner Software
GIMP 2.6.6
HijackThis 2.0.2
Java(TM) 6 Update 13
Malwarebytes' Anti-Malware
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [DEU]
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MindManager 2002
Mozilla Firefox (3.0.11)
Mozilla Thunderbird (2.0.0.21)
MSXML 4.0 SP2 (KB954430)
Nero 8 Essentials
neroxml
NVIDIA Drivers
Nvu 1.0
OpenOffice.org 3.1
POP3-Manager
PowerDVD
Songbird 1.1.2 (20090331)
Spybot - Search & Destroy
SPYWAREfighter
SPYWAREfighter
SSH Secure Shell
VCRedistSetup
VIA Plattform-Geräte-Manager
WDR RadioRecorder
Windows Live Fotogalerie
Windows Live installer
Windows Live Mail
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Live Writer

Danke!

UJHEF

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Es sind zusätzliche Infos notwendig:

RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Ist das Verhalten im Internetexplorer gleich?

chris

Danke, das werde ich bei nächster Gelegenheit tun. Ich werde aber wohl nicht vor morgen abend dazu kommen.

Ute

Hallo,

so, jetzt bin ich wieder da. Der Test mit Internet-Explorer brachte folgendes Ergebnis: Zunächst habe ich das gleiche gesehen wie im Firefox, nämlich einen leeren Hintergrund. Dann hat der Spywarefighter gemeldet, dass er zwei Tracking Cookies in Quarantäne genommen hat. Danach konnte ich auch die "inkriminierten" Seiten ohne Probleme ansurfen.

VirusTotal hat eben nicht richtig funktioniert. Vielleicht weil es irgendwie am Firefox liegt??

Probiere es gleich mit IE

Danke,

Ute

Hallo,

hier kommt das VirusTotal-Ergebnis:

Datei GoogleEULALauncher.exe empfangen 2009.06.18 18:01:22 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.18 -
AhnLab-V3 5.0.0.2 2009.06.18 -
AntiVir 7.9.0.191 2009.06.18 -
Antiy-AVL 2.0.3.1 2009.06.18 -
Authentium 5.1.2.4 2009.06.18 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.18 -
BitDefender 7.2 2009.06.18 -
CAT-QuickHeal 10.00 2009.06.18 -
ClamAV 0.94.1 2009.06.18 -
Comodo 1366 2009.06.18 -
DrWeb 5.0.0.12182 2009.06.18 -
eSafe 7.0.17.0 2009.06.18 -
eTrust-Vet 31.6.6567 2009.06.18 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.18 -
Fortinet 3.117.0.0 2009.06.18 -
GData 19 2009.06.18 -
Ikarus T3.1.1.59.0 2009.06.18 -
Jiangmin 11.0.706 2009.06.18 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.18 -
McAfee 5650 2009.06.18 -
McAfee+Artemis 5650 2009.06.18 -
McAfee-GW-Edition 6.7.6 2009.06.18 -
Microsoft 1.4701 2009.06.18 -
NOD32 4168 2009.06.18 -
Norman 6.01.09 2009.06.18 -
nProtect 2009.1.8.0 2009.06.18 -
Panda 10.0.0.14 2009.06.18 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.18 -
Rising 21.34.34.00 2009.06.18 -
Sophos 4.42.0 2009.06.18 -
Sunbelt 3.2.1858.2 2009.06.18 -
Symantec 1.4.4.12 2009.06.18 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.18 -
VBA32 3.12.10.7 2009.06.18 -
ViRobot 2009.6.18.1794 2009.06.18 -
VirusBuster 4.6.5.0 2009.06.18 -
weitere Informationen
File size: 20480 bytes
MD5...: 9a18cfd5dcd3564d53d43d6f5934fcab
SHA1..: 3f06da1a623d1199567888db941ce84d03adb875
SHA256: 8ed55a67f9e7f812f03fe879c9d825b0d9f5d7d1f465788b8b5e94b6c97d2584
ssdeep: 384:OJXtacaTL+Lq2Z89OvobKVs6aZtYYN9vDX+cCke:84B2ZBraZWXv

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (47.2%)
Generic CIL Executable (.NET, Mono, etc.) (40.4%)
Win32 Executable Generic (4.7%)
Win32 Dynamic Link Library (generic) (4.1%)
Win16/32 Executable Delphi generic (1.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5c6e
timedatestamp.....: 0x48f46d0c (Tue Oct 14 09:57:32 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x3c74 0x3e00 5.54 c50c9b7bee715e7daccbd878abea01de
.sdata 0x6000 0x94 0x200 2.15 3faf2f2352e884ffdd0a2b37542d5e24
.rsrc 0x8000 0x8e8 0xa00 3.14 332f98c87e2562f14bb45ceffda4f6d0
.reloc 0xa000 0xc 0x200 0.08 417c5adcf6938b300ca5d77baa8b29c8

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Mache nachher weiter.

Ute

Hallo,

hier das RSIT-Ergebnis:

Logfile of random's system information tool 1.06 (written by random/random)
Run by xxx_Desktop at 2009-06-18 20:07:07
Microsoft® Windows Vista™ Home Basic Service Pack 1
System drive C: has 165 GB (74%) free of 222 GB
Total RAM: 2046 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:25, on 18.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe
C:\Program Files\avmwlanstick\WLanGUI.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\Fighters\Spywarefighter\SpywarefighterUser.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
c:\program files\fighters\spywarefighter\SPYWAREfighterTray.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Users\xxx_Desktop\Desktop\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\xxx_Desktop\Downloads\XXX_Desktop.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\Windows\system32\mscoree.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google EULA Launcher] C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe GE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: &Citavi Picker... - file://C:\Program Files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\Windows\system32\mscoree.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PTK License-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\configservice.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 7628 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{609D670F-B735-4da7-AC6D-F3BD358E325E}]
Asz.Citavi.IEPicker.IEPickerButton - C:\Windows\system32\mscoree.dll [2008-07-27 282112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Sign-in Helper - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-12-14 392240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-05-18 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"NvSvc"=C:\Windows\system32\nvsvc.dll [2008-02-22 166432]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-02-22 13515296]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-02-22 92704]
"Google EULA Launcher"=C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe [2008-10-14 20480]
"AVMWlanClient"=C:\Program Files\avmwlanstick\wlangui.exe [2006-12-28 1454080]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-05-18 148888]
"CanonMyPrinter"=C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2008-03-18 1848648]
"spywarefighterguard"=C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe [2008-11-18 180872]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]

C:\Users\Janssen_Desktop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
OpenOffice.org 3.1.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9de0b4a-43bd-11de-aee5-806e6f6e6963}]
shell\AutoRun\command - E:\Msetup4.exe


======List of files/folders created in the last 1 months======

2009-06-18 20:07:07 ----D---- C:\rsit
2009-06-16 01:12:03 ----D---- C:\ProgramData\Avira
2009-06-16 01:12:03 ----D---- C:\Program Files\Avira
2009-06-16 00:16:00 ----D---- C:\ProgramData\Fighters
2009-06-16 00:16:00 ----D---- C:\Program Files\Fighters
2009-06-16 00:12:01 ----A---- C:\Users\Janssen_Desktop\AppData\Roaming\install.txt
2009-06-15 23:48:37 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-06-15 23:48:37 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-06-15 22:27:12 ----D---- C:\Users\Janssen_Desktop\AppData\Roaming\Malwarebytes
2009-06-15 22:27:06 ----D---- C:\ProgramData\Malwarebytes
2009-06-15 22:27:06 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-15 22:13:45 ----D---- C:\Program Files\CCleaner
2009-06-09 21:22:49 ----A---- C:\Windows\system32\rpcrt4.dll
2009-06-09 21:22:36 ----A---- C:\Windows\system32\localspl.dll
2009-06-04 10:01:48 ----D---- C:\ff2595cc9aeca1d4f191cc2a006dd88c
2009-06-04 10:01:41 ----D---- C:\Windows\CheckSur
2009-06-01 17:00:01 ----D---- C:\Windows\registration
2009-05-21 00:10:19 ----A---- C:\Windows\system32\ieframe.dll
2009-05-20 23:27:51 ----A---- C:\Windows\system32\dfshim.dll
2009-05-20 23:27:50 ----A---- C:\Windows\system32\mscoree.dll
2009-05-20 23:27:49 ----A---- C:\Windows\system32\netfxperf.dll
2009-05-20 23:27:43 ----A---- C:\Windows\system32\mscorier.dll
2009-05-20 23:27:40 ----A---- C:\Windows\system32\mscories.dll
2009-05-20 22:48:58 ----D---- C:\4f298590402cd1a01976074363fd6304
2009-05-20 22:48:51 ----D---- C:\Users\Janssen_Desktop\AppData\Roaming\Tobit
2009-05-20 22:48:14 ----D---- C:\Program Files\Tobit ClipInc
2009-05-20 22:48:14 ----D---- C:\Program Files\Common Files\Tobit
2009-05-20 22:48:13 ----A---- C:\Windows\system32\dvmsg.dll
2009-05-20 22:48:13 ----A---- C:\Windows\CISUnins.exe
2009-05-20 22:48:13 ----A---- C:\Windows\CICUnins.exe
2009-05-20 16:29:10 ----D---- C:\Program Files\SSH Communications Security
2009-05-20 16:17:00 ----D---- C:\Program Files\WS_FTP
2009-05-19 01:57:01 ----D---- C:\ProgramData\Avery
2009-05-19 01:56:57 ----D---- C:\Program Files\Avery Dennison
2009-05-19 01:53:49 ----D---- C:\Program Files\DesignPro
2009-05-19 01:53:47 ----A---- C:\MDacLog.txt
2009-05-19 00:05:43 ----D---- C:\col4575

======List of files/folders modified in the last 1 months======

2009-06-18 20:07:20 ----D---- C:\Windows\prefetch
2009-06-18 20:07:05 ----D---- C:\Windows\Temp
2009-06-18 19:56:15 ----SHD---- C:\System Volume Information
2009-06-17 22:42:03 ----D---- C:\Windows\Minidump
2009-06-17 22:41:57 ----D---- C:\Windows
2009-06-16 23:03:53 ----D---- C:\Windows\System32
2009-06-16 23:03:53 ----D---- C:\Windows\inf
2009-06-16 23:03:53 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-16 08:26:24 ----D---- C:\Windows\winsxs
2009-06-16 08:17:55 ----A---- C:\Windows\DUMP39ad.tmp
2009-06-16 01:36:46 ----D---- C:\Windows\system32\wbem
2009-06-16 01:34:05 ----HD---- C:\ProgramData
2009-06-16 01:34:00 ----D---- C:\Program Files
2009-06-16 01:33:59 ----D---- C:\Program Files\Mozilla Firefox
2009-06-16 01:33:59 ----D---- C:\Program Files\Google
2009-06-16 01:33:59 ----D---- C:\Program Files\Common Files
2009-06-16 01:33:53 ----D---- C:\Windows\Tasks
2009-06-16 01:33:53 ----D---- C:\Windows\system32\spool
2009-06-16 01:33:53 ----D---- C:\Windows\system32\drivers
2009-06-16 01:33:53 ----D---- C:\Windows\system32\CodeIntegrity
2009-06-16 01:33:53 ----D---- C:\Windows\system32\catroot2
2009-06-16 01:10:47 ----SHD---- C:\Windows\Installer
2009-06-16 01:10:47 ----SHD---- C:\Config.Msi
2009-06-16 01:03:27 ----D---- C:\Windows\system32\WDI
2009-06-16 00:21:33 ----D---- C:\Windows\system32\Tasks
2009-06-15 22:25:54 ----D---- C:\ProgramData\Adobe
2009-06-15 22:23:20 ----D---- C:\Windows\Debug
2009-06-15 22:21:07 ----D---- C:\ProgramData\WildTangent
2009-06-15 22:14:41 ----D---- C:\Program Files\Mozilla Thunderbird
2009-06-09 23:06:01 ----D---- C:\Windows\system32\catroot
2009-06-04 09:51:00 ----D---- C:\Windows\Microsoft.NET
2009-06-04 09:50:54 ----RSD---- C:\Windows\assembly
2009-06-01 18:51:12 ----A---- C:\Windows\system32\mrt.exe
2009-05-25 07:44:51 ----D---- C:\Program Files\Internet Explorer
2009-05-24 17:09:20 ----D---- C:\Windows\system32\LogFiles
2009-05-21 00:00:28 ----D---- C:\Windows\rescache
2009-05-20 16:29:10 ----RSD---- C:\Windows\Fonts
2009-05-20 16:29:10 ----HD---- C:\Program Files\InstallShield Installation Information
2009-05-20 16:17:06 ----A---- C:\Windows\win.ini
2009-05-19 01:23:18 ----D---- C:\sj653
2009-05-19 00:08:50 ----D---- C:\ProgramData\Xerox
2009-05-19 00:08:17 ----SD---- C:\Users\Janssen_Desktop\AppData\Roaming\Microsoft

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-16 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R3 FETNDIS;VIA Rhine-Familie--Fast-Ethernet-Adaptertreiberdienst; C:\Windows\system32\DRIVERS\fetnd5.sys [2006-11-02 45568]
R3 FWLANUSB;AVM FRITZ!WLAN; C:\Windows\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088]
R3 HdAudAddService;VIA High Definition Audio Service; C:\Windows\system32\drivers\viahduaa.sys [2007-06-06 220160]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-02-22 7598848]
R3 Vfscan;Vfscan; C:\Windows\system32\DRIVERS\vffilter.sys [2008-11-18 15496]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776]
S3 avmeject;AVM Eject; C:\Windows\system32\drivers\avmeject.sys [2006-12-28 4352]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 StillCam;Treiber für serielle Digitalkamera; C:\Windows\system32\DRIVERS\serscan.sys [2008-01-21 9216]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-16 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-06-16 185089]
R2 AVM WLAN Connection Service;AVM WLAN Connection Service; C:\Program Files\avmwlanstick\WlanNetService.exe [2006-12-28 356352]
R2 ClipInc001;ClipInc 001; C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe [2008-11-28 2195720]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2008-02-18 877864]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920]
R2 PTK License-FIGHTERS-297811811;PTK License-FIGHTERS-297811811; C:\Program Files\Fighters\licenseservice.exe [2008-11-18 283272]
R2 PTK Live Update-FIGHTERS-297811811;PTK Live Update-FIGHTERS-297811811; C:\Program Files\Fighters\updateservice.exe [2008-11-18 307848]
R2 PTK Scanner-FIGHTERS-297811811;PTK Scanner-FIGHTERS-297811811; C:\Program Files\Fighters\ScannerService.exe [2008-11-18 311944]
R2 PTK SharedAccess-FIGHTERS-297811811;PTK SharedAccess-FIGHTERS-297811811; C:\Program Files\Fighters\configservice.exe [2008-11-18 139912]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2007-05-14 272024]
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2008-02-28 529704]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

Habe ich jetzt minimiert, oder was muss ich sonst dafür tun? Code einfügen?
Entschuldige bitte die vielleicht dumme Frage. Das info kommt gleich.

Danke,

Ute

Hallo,

ich bekomme jetzt im IE zwischendurch immer wieder die Meldung von Spywarefighter über Tracking Cookies. Bei Firefox tut sich da garnichts. Dafür ist da die Ansicht auf bestimmten Seiten immer noch kaputt.

hier kommt das RSIT-Info:

info.txt logfile of random's system information tool 1.06 2009-06-18 20:07:28

======Uninstall list======

-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Agere Systems PCI-SV92PP Soft Modem-->agrsmdel
Avery Zweckform DesignPro-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2CC982C0-7EAE-11D4-ACC3-0050568AD318}\setup.exe" -uninst
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
AVM FRITZ!WLAN-->C:\Program Files\avmwlanstick\instwcli.exe -d1
Canon Utilities Easy-PhotoPrint-->C:\Program Files\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities My Printer-->C:\Program Files\Canon\MyPrinter\uninst.exe uninst.ini
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CD-LabelPrint-->"C:\Program Files\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Citavi 2.5-->C:\Program Files\Citavi\Deinstallieren.exe
CUEcards 2000-->C:\Program Files\CUEcards 2000\uninstall.exe
DesignPro Ordner Software-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{0B224158-8E54-4D70-B298-E2C9C9DF7437} /l1031
GIMP 2.6.6-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
HijackThis 2.0.2-->"C:\Users\xxx_Desktop\Downloads\HijackThis.exe" /uninstall
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [DEU]-->MsiExec.exe /I{BAC80EF3-E106-4AEA-8C57-F217F9BC7358}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MindManager 2002-->C:\PROGRA~1\Mindjet\MINDMA~1\UNWISE.EXE C:\PROGRA~1\Mindjet\MINDMA~1\INSTALL.LOG
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.21)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8 Essentials-->MsiExec.exe /X{47948554-90C6-4AAC-8CFA-D23CE11C1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
Nvu 1.0-->"C:\Program Files\Nvu\unins000.exe"
OpenOffice.org 3.1-->MsiExec.exe /I{D765F1CE-5AE5-4C47-B134-AE58AC474740}
POP3-Manager-->MsiExec.exe /I{1B046D15-EC86-4FF8-9CF5-43B14FC4937C}
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
Songbird 1.1.2 (20090331)-->"C:\Program Files\Songbird\Songbird-Uninstall.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SPYWAREfighter-->"C:\Program Files\Fighters\spywarefighter\Uninstall.exe" Remove
SPYWAREfighter-->MsiExec.exe /I{B940005A-1212-4E87-885B-1FF80B40D6F4}
SSH Secure Shell-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{74E2CD0C-D4A2-11D3-95A6-0000E86CFDE5}\Setup.exe"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VIA Plattform-Geräte-Manager-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
WDR RadioRecorder-->C:\Windows\CISUnins.exe "C:\Program Files\Tobit ClipInc\Server\CISUnins.inf"
Windows Live Fotogalerie-->MsiExec.exe /X{A1D08B90-AE1A-4885-AC29-731496FD397E}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Mail-->MsiExec.exe /I{82F2B38B-1426-443D-874C-AC25675E7BEB}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Live Sign-in Assistant-->MsiExec.exe /I{0ED47137-C071-46CC-A243-E5E33271E10E}
Windows Live Writer-->MsiExec.exe /X{B8D42C3A-3CFF-4A8A-A7DA-4F44474D12C5}

======Security center information======

AS: Spybot - Search and Destroy

======System event log======

Computer Name: xxx_Desk-PC
Event Code: 7036
Message: Dienst "Microsoft-Softwareschattenkopie-Anbieter" befindet sich jetzt im Status "Beendet".
Record Number: 29589
Source Name: Service Control Manager
Time Written: 20090618175842.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 7036
Message: Dienst "Geschützter Speicher" befindet sich jetzt im Status "Ausgeführt".
Record Number: 29590
Source Name: Service Control Manager
Time Written: 20090618180012.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 29591
Source Name: Service Control Manager
Time Written: 20090618180114.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 7036
Message: Dienst "Anwendungsinformationen" befindet sich jetzt im Status "Ausgeführt".
Record Number: 29592
Source Name: Service Control Manager
Time Written: 20090618180700.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 29593
Source Name: Service Control Manager
Time Written: 20090618180724.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: xxx_Desk-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 3616
Source Name: VSS
Time Written: 20090618172425.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 1001
Message: Fehlerbucket 603197836, Typ 5
Ereignisname: CbsPackageServicingFailure
Antwort: Keine
Cab-ID: 0

Problemsignatur:
P1: 6.0.6002.18005
P2: Package_for_KB969897~31bf3856ad364e35~x86~~6.0.1.0
P3: 8007000d
P4: CBS Other
P5: Resolved
P6: Installed
P7:
P8:
P9:
P10:

Angehängte Dateien:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Report0bfc51f5\CBS.log
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Report0bfc51f5\cbs.persist.log
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Report0bfc51f5\poqexec.log
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Report0bfc51f5\setupapi.dev.log
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Report0bfc51f5\windowsupdate.log

Diese Dateien befinden sich möglicherweise hier:
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Report04304fac
Record Number: 3617
Source Name: Windows Error Reporting
Time Written: 20090618172947.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update).
Record Number: 3618
Source Name: System Restore
Time Written: 20090618175228.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update).
Record Number: 3619
Source Name: System Restore
Time Written: 20090618175239.000000-000
Event Type: Informationen
User:

Computer Name: xxx_Desk-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 3620
Source Name: VSS
Time Written: 20090618175542.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: xxx_Desk-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 6582
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090618180724.298115-000
Event Type: Überwachung gescheitert
User:

Computer Name: xxx_Desk-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 6583
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090618180724.360615-000
Event Type: Überwachung gescheitert
User:

Computer Name: xxx_Desk-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 6584
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090618180724.423115-000
Event Type: Überwachung gescheitert
User:

Computer Name: xxx_Desk-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 6585
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090618180724.485615-000
Event Type: Überwachung gescheitert
User:

Computer Name: xxx_Desk-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 6586
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090618180724.548115-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0407
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------

Hallo,

jetzt noch gmer:

gmer hat nur eingeschränkt funktioniert. Ich konnte alles scannen, außer den Devices, da ist er jedes Mal abgeschmiert und zwar bei \Device\Harddisk\VolumeShadowCopy1.

Nach Ausschluss der Devices ist der Scan durchgelaufen. Meldungen gab es keine, das Ergebnis sieht folgendermaßen aus:

GMER 1.0.15.14972 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-06-18 23:22:54
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.15 ----

SSDT 94238274 ZwCreateThread
SSDT 94238260 ZwOpenProcess
SSDT 94238265 ZwOpenThread
SSDT 9423826F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 81EC0A18 4 Bytes [74, 82, 23, 94]
.text ntkrnlpa.exe!KeSetTimerEx + 624 81EC0BE8 4 Bytes [60, 82, 23, 94] {PUSHA ; AND BYTE [EBX], -0x6c}
.text ntkrnlpa.exe!KeSetTimerEx + 640 81EC0C04 4 Bytes [65, 82, 23, 94] {AND BYTE GS:[EBX], -0x6c}
.text ntkrnlpa.exe!KeSetTimerEx + 854 81EC0E18 4 Bytes [6F, 82, 23, 94] {OUTSD ; AND BYTE [EBX], -0x6c}

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe[464] kernel32.dll!SetUnhandledExceptionFilter 76106E2D 5 Bytes JMP 0049E7A0 C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe

---- EOF - GMER 1.0.15 ----


Danke,

Ute

Hi,

hmm, kannst du mir mal einen Link nennen, wo Firefox nicht richtig funktioniert...

Lass diese Datei mal online prüfen (virustotal.com):

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\drivers\tcpip.sys
         

chris

Hallo,

Links die nicht richtig funktionieren sind z.B. http://www2.tu-berlin.de/www/software/antivirus.shtml; da sehe ich nur eine leere Seite bzw. den Hintergrund.

Und wenn ich bei Google nach bestimmten Stichworten z.B. der Fehlernummer beim Vista-Update oder nach "kein Vista-Update möglich" o.ä. suche, ist schon die Google-Seite kaputt: Manchmal ist sie schwarz mit einigen "Schriftlöchern", aber eben so, dass ich z.B. unten die "weiter"-Funktion nicht sehe und nicht nutzen kann.

Schwarz ist auch die VirusTotal-Seite. VirusTotal geht nur im IE.

Ergebnis von VirusTotal:

Datei tcpip.sys empfangen 2009.06.19 06:16:10 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.19 -
AhnLab-V3 5.0.0.2 2009.06.19 -
AntiVir 7.9.0.191 2009.06.18 -
Antiy-AVL 2.0.3.1 2009.06.18 -
Authentium 5.1.2.4 2009.06.19 -
Avast 4.8.1335.0 2009.06.18 -
AVG 8.5.0.339 2009.06.18 -
BitDefender 7.2 2009.06.19 -
CAT-QuickHeal 10.00 2009.06.19 -
ClamAV 0.94.1 2009.06.19 -
Comodo 1370 2009.06.19 -
DrWeb 5.0.0.12182 2009.06.18 -
eSafe 7.0.17.0 2009.06.18 -
eTrust-Vet 31.6.6568 2009.06.19 -
F-Prot 4.4.4.56 2009.06.19 -
F-Secure 8.0.14470.0 2009.06.18 -
Fortinet 3.117.0.0 2009.06.19 -
GData 19 2009.06.19 -
Ikarus T3.1.1.59.0 2009.06.19 -
Jiangmin 11.0.706 2009.06.18 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.19 -
McAfee 5650 2009.06.18 -
McAfee+Artemis 5650 2009.06.18 -
McAfee-GW-Edition 6.7.6 2009.06.18 -
Microsoft 1.4701 2009.06.19 -
NOD32 4169 2009.06.19 -
Norman 6.01.09 2009.06.18 -
nProtect 2009.1.8.0 2009.06.19 -
Panda 10.0.0.14 2009.06.18 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.19 -
Rising 21.34.40.00 2009.06.19 -
Sophos 4.42.0 2009.06.19 -
Sunbelt 3.2.1858.2 2009.06.18 -
Symantec 1.4.4.12 2009.06.19 -
TheHacker 6.3.4.3.348 2009.06.19 -
TrendMicro 8.950.0.1094 2009.06.19 -
VBA32 3.12.10.7 2009.06.19 -
ViRobot 2009.6.19.1795 2009.06.19 -
VirusBuster 4.6.5.0 2009.06.18 -
weitere Informationen
File size: 891448 bytes
MD5...: 82e266bee5f0167e41c6ecfdd2a79c02
SHA1..: f633629656e43452aa08611f0f72d24a46e7441c
SHA256: 1f462e882a662b2a133df035c435001b2ef6364f49a9ed6a6d98bd643093b666
ssdeep: 24576:AU8e8jAyOLkAnwNfH7QijBpVptQ9xtoYA8pk2NoahI/9+6lG:XBmpExtUG
zh

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xdb1b9
timedatestamp.....: 0x4812c4f1 (Sat Apr 26 06:00:17 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb845a 0xb8600 6.56 00a1233fe9746187447652d7dc3ffbc6
.rdata 0xba000 0xa624 0xa800 5.96 493d852e4c61e97ecccb7c0f9ef00453
.data 0xc5000 0x127bc 0x8200 0.73 4b04e70641bc018f3bb3ecfe21d14085
PAGE 0xd8000 0x998 0xa00 6.24 adb86400cc1779d55c23b4541ed877a5
.edata 0xd9000 0x49 0x200 0.85 bc4f6499041f7ae6ccd4f9bc34c9a0a6
PAGECONS 0xda000 0x78 0x200 1.25 c38c1652cc4ccd80c9fa5a4b7fd44dce
INIT 0xdb000 0x3e4a 0x4000 5.86 ae6a9304fa92558ccc9e7b58b71aea61
.rsrc 0xdf000 0x3e0 0x400 3.35 26021db0eb5acfd57a42b734b5c2a9bd
.reloc 0xe0000 0x6b2c 0x6c00 6.77 652655dbea4ffa2f4b600805faa41e67

( 8 imports )
> ntoskrnl.exe: MmUserProbeAddress, PsGetCurrentProcessId, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, KeLeaveCriticalRegion, ExReleaseResourceLite, ExDeleteResourceLite, ExInitializeResourceLite, RtlUnwind, RtlAnsiCharToUnicodeChar, MmProbeAndLockPages, RtlInitializeBitMap, RtlSetBit, RtlSetBits, ExInitializeLookasideListEx, ExDeleteLookasideListEx, KeBugCheckEx, DbgPrint, RtlEqualSid, RtlSubAuthoritySid, SeQueryInformationToken, ObOpenObjectByPointer, ZwQueryInformationToken, ExGetPreviousMode, ExUuidCreate, ExAllocatePoolWithQuotaTag, KeTickCount, IoGetCurrentProcess, KeInitializeMutex, KeBugCheck, KeDelayExecutionThread, SeSetAuditParameter, SeReportSecurityEventWithSubCategory, DbgBreakPoint, MmSizeOfMdl, MmUnmapLockedPages, ObLogSecurityDescriptor, SeCaptureSubjectContextEx, SeLockSubjectContext, IoGetFileObjectGenericMapping, SeAccessCheck, SeUnlockSubjectContext, SeReleaseSubjectContext, RtlCreateSecurityDescriptor, SeExports, RtlLengthSid, RtlCreateAcl, RtlAddAccessAllowedAceEx, RtlSetDaclSecurityDescriptor, ExInterlockedFlushSList, KeInitializeSemaphore, ExAllocatePoolWithTagPriority, MmUnlockPages, RtlVerifyVersionInfo, KeInitializeTimerEx, ExGetCurrentProcessorCounts, KeSetTimerEx, KeQueryActiveProcessors, KeQueryInterruptTime, KeFlushQueuedDpcs, KeCancelTimer, KeInitializeDpc, KeSetTargetProcessorDpc, KeSetImportanceDpc, KeWaitForMultipleObjects, KeInsertQueueDpc, IoAllocateWorkItem, IoQueueWorkItem, IoFreeWorkItem, MmBuildMdlForNonPagedPool, KeQueryMaximumProcessorCount, RtlInitializeGenericTableAvl, RtlGetVersion, KeQuerySystemTime, RtlLookupElementGenericTableFullAvl, ObDereferenceSecurityDescriptor, IoAllocateErrorLogEntry, IoWriteErrorLogEntry, ExNotifyCallback, KeIsExecutingDpc, PsGetProcessSessionId, InterlockedPushEntrySList, InterlockedPopEntrySList, KefAcquireSpinLockAtDpcLevel, IoAllocateMdl, IoBuildPartialMdl, KefReleaseSpinLockFromDpcLevel, IoFreeMdl, PsGetProcessId, MmMapLockedPagesSpecifyCache, ZwQuerySystemInformation, KeTestSpinLock, KeAcquireInStackQueuedSpinLockAtDpcLevel, KeReleaseInStackQueuedSpinLockFromDpcLevel, ObReferenceSecurityDescriptor, KeReleaseSemaphore, ExCreateCallback, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, ObfReferenceObject, PsGetCurrentProcess, PsIsSystemThread, PsGetThreadProcess, KeGetCurrentThread, KeInitializeEvent, KeSetEvent, RtlEnumerateGenericTableLikeADirectory, RtlIpv4AddressToStringExW, RtlIpv6AddressToStringExW, RtlTimeToTimeFields, ExDeleteNPagedLookasideList, ExInitializeNPagedLookasideList, RtlLengthRequiredSid, RtlInitializeSid, RtlAddAccessAllowedAce, ObSetSecurityObjectByPointer, IoCreateDevice, IoDeleteDevice, KeWaitForSingleObject, KeQueryActiveProcessorCount, KeReleaseMutex, ZwOpenEvent, ObReferenceObjectByHandle, ZwClose, ObfDereferenceObject, KeReadStateEvent, IofCompleteRequest, IofCallDriver, IoWMIRegistrationControl, RtlCompareMemory, RtlInitUnicodeString, MmGetSystemRoutineAddress, RtlValidSid, RtlCopySid, ZwEnumerateKey, ObCloseHandle, RtlIpv4StringToAddressW, RtlIpv6StringToAddressW, RtlIntegerToUnicodeString, RtlConvertSidToUnicodeString, RtlFreeUnicodeString, ZwQueryValueKey, RtlUnicodeStringToInteger, ZwOpenKey, RtlCompareUnicodeString, PsSetCreateProcessNotifyRoutineEx, SeLocateProcessImageName, ZwCreateFile, RtlDowncaseUnicodeString, ZwOpenProcess, KeStackAttachProcess, ZwDuplicateToken, KeUnstackDetachProcess, IoDeleteSymbolicLink, IoCreateSymbolicLink, KeQueryTimeIncrement, PsReferenceImpersonationToken, PsDereferencePrimaryToken, PsReferencePrimaryToken, VerSetConditionMask, RtlFindSetBits, RtlAreBitsClear, RtlFindClearBits, RtlClearBits, ExAcquireResourceSharedLite, RtlClearBit, RtlClearAllBits, SeOpenObjectAuditAlarmForNonObObject, RtlTestBit, PsDereferenceImpersonationToken, RtlQueryRegistryValues, memset, memcpy, ExAllocatePoolWithTag, IoWMIWriteEvent, RtlSubAuthorityCountSid, ExFreePoolWithTag
> NETIO.SYS: FsbAllocateAtDpcLevel, RtlInitializeTimerWheelEntry, NetioShutdownWorkQueue, RtlComputeToeplitzHash, RtlLookupEntryHashTable, RtlGetNextEntryHashTable, RtlInsertEntryHashTable, RtlRemoveEntryHashTable, RtlCleanupTimerWheelEntry, RtlReturnTimerWheelEntry, RtlGetNextExpiredTimerWheelEntry, RtlDeleteElementGenericTableBasicAvl, NetioInitializeWorkQueue, RtlInsertElementGenericTableBasicAvl, FsbAllocate, NetioAdvanceToLocationInNetBuffer, RtlCopyMdlToMdlIndirect, RtlUpdateCurrentTimerWheelTick, RtlEndTimerWheelEnumeration, RtlEnumerateNextTimerWheelEntry, RtlInitializeTimerWheelEnumeration, RtlCleanupTimerWheel, RtlDeleteHashTable, RtlCreateHashTable, RtlInitializeTimerWheel, RtlContractHashTable, RtlExpandHashTable, RtlEndEnumerationHashTable, RtlEnumerateEntryHashTable, RtlInitEnumerationHashTable, NetioFreeOpaquePerProcessorContext, NetioAllocateOpaquePerProcessorContext, TlDefaultRequestQueryDispatchEndpoint, TlDefaultRequestMessage, TlDefaultRequestQueryDispatch, RtlEndWeakEnumerationHashTable, RtlWeaklyEnumerateEntryHashTable, RtlInitWeakEnumerationHashTable, NsiSetAllParameters, RtlCopyMdlToBuffer, NetioFreeNetBufferAndNetBufferList, NetioAllocateAndReferenceNetBufferAndNetBufferList, RtlCopyBufferToMdl, NmrWaitForClientDeregisterComplete, NmrDeregisterClient, NmrClientDetachProviderComplete, NmrClientAttachProvider, NmrRegisterClient, NmrProviderDetachClientComplete, NmrRegisterProvider, NmrWaitForProviderDeregisterComplete, NmrDeregisterProvider, NetioRetreatNetBufferList, NetioAllocateAndReferenceCopyNetBufferListEx, NetioCompleteCopyNetBufferListChain, NetioFreeCopyNetBufferList, NetioInitializeNetBufferListContext, TlDefaultRequestCancel, TlDefaultRequestConnect, TlDefaultRequestListen, NetioReferenceNetBufferList, TlDefaultRequestIoControl, NetioDereferenceNetBufferListChain, NetioAllocateNetBufferMdlAndData, NetioAllocateAndReferenceNetBufferListNetBufferMdlAndData, NetioDereferenceNetBufferList, NetioFreeNetBuffer, NetioExtendNetBuffer, NetioFreeNetBufferList, FsbFree, RtlIndicateTimerWheelEntryTimerStart, NetioFreeMdl, NetioFreeNetBufferListNetBufferMdlAndDataPool, NetioAllocateNetBufferMdlAndDataPool, NetioAllocateNetBufferListNetBufferMdlAndDataPool, NetioFreeNetBufferMdlAndDataPool, RtlCleanupToeplitzHash, RtlInitializeToeplitzHash, WfpStartStreamShim, NetioAllocateMdl, NetioInsertWorkQueue, WfpStreamInspectRemoteDisconnect, WfpStreamInspectReceive, WfpStreamInspectDisconnect, WfpStreamInspectSend, WfpStreamEndpointCleanupBegin, NetioInitializeNetBufferListAndFirstNetBufferContext, NsiEnumerateObjectsAllParameters, NsiReferenceDefaultObjectSecurity, NsiDeregisterChangeNotification, NsiRegisterChangeNotification, NetioCompleteNetBufferListChain, RtlCopyMdlToMdl, NetioAllocateAndReferenceFragmentNetBufferList, SetWfpDeviceObject, IoctlKfdBatchUpdate, IoctlKfdDeleteIndex, IoctlKfdAddIndex, IoctlKfdAddCache, IoctlKfdResetState, IoctlKfdQueryLayerStatistics, IoctlKfdAbortTransaction, IoctlKfdCommitTransaction, IoctlKfdDeleteCache, KfdIsActiveCallout, HfCreateFactory, HfDestroyFactory, NsiSetObjectSecurity, NetioAllocateNetBuffer, NetioAllocateAndReferenceNetBufferList, PtGetNumNodes, PtCreateTable, PtDestroyTable, PtDeleteEntry, PtInsertEntry, PtGetExactMatch, PtEnumOverTable, PtGetLongestMatch, PtGetNextShorterMatch, RtlCompute37Hash, PtGetKey, PtSetData, PtGetData, NsiSetParameter, NsiAllocateAndGetTable, NsiFreeTable, NetioCompleteNetBufferAndNetBufferListChain, NetioQueryNetBufferListTrafficClass, NetioAllocateAndReferenceVacantNetBufferList, NetioAllocateAndReferenceCloneNetBufferListEx, NetioExpandNetBuffer, NetioUpdateNetBufferListContext, NetioAllocateAndReferenceCloneNetBufferList, NetioFreeCloneNetBufferList, NsiGetParameter, KfdCheckAcceptBypass, KfdCheckAndCacheAcceptBypass, KfdCheckConnectBypass, KfdCheckAndCacheConnectBypass, KfdGetLayerActionFromEnumTemplate, KfdEnumLayer, KfdGetNextFilter, KfdDerefFilterContext, KfdFreeEnumHandle, WfpScavangeLeastRecentlyUsedList, KfdAleInitializeFlowTable, WfpSetBucketsToEmptyLru, WfpExpireEntryLru, WfpInsertEntryLru, WfpDeleteEntryLru, WfpStreamIsFilterPresent, KfdToggleFilterActivation, NsiGetAllParameters, WfpInitializeLeastRecentlyUsedList, KfdAleNotifyFlowDeletion, FwppStreamDeleteDpcQueue, WfpUninitializeLeastRecentlyUsedList, KfdAleUninitializeFlowHandles, KfdAleInitializeFlowHandles, KfdGetOffloadEpoch, KfdIsLsoOffloadPossibleV6, KfdIsLsoOffloadPossibleV4, KfdIsV6InTransportFastEmpty, KfdIsV4InTransportFastEmpty, KfdIsV6OutTransportFastEmpty, KfdIsV4OutTransportFastEmpty, WfpRefreshEntryLru, NetioAdvanceNetBufferList, KfdCheckClassifyNeededAndUpdateEpoch, KfdAleAcquireFlowHandleForFlow, KfdClassify, KfdAleReleaseFlowHandleForFlow, KfdGetLayerCacheEpoch, KfdIsLayerEmpty, FwppStreamInject, FwppStreamContinue, FwppCopyStreamDataToBuffer, FwppAdvanceStreamDataPastOffset, FwppTruncateStreamDataAfterOffset, NetioUnRegisterProcessorAddCallback, NetioUnInitializeNetBufferListLibrary, NetioInitializeNetBufferListLibrary, NetioRegisterProcessorAddCallback, RtlInvokeStartRoutines, RtlInvokeStopRoutines, FsbDestroyPool, WfpStopStreamShim, FsbCreatePool, NsiGetParameterEx
> NDIS.SYS: NdisDeregisterProtocolDriver, NdisRegisterProtocolDriver, NdisInitiateOffload, NdisInitializeTimer, NdisAcquireReadWriteLock, NdisGetSessionToCompartmentMappingEpochAndZero, NdisTerminateOffload, NdisUpdateOffload, NdisInvalidateOffload, NdisQueryOffloadState, NdisOidRequest, NdisDirectOidRequest, NdisCompleteNetPnPEvent, NdisCloseAdapterEx, NdisOpenAdapterEx, NdisSetTimer, NdisInitializeReadWriteLock, NdisCancelTimer, NdisCancelSendNetBufferLists, NdisSendNetBufferLists, NdisReleaseReadWriteLock, NdisReturnNetBufferLists, NdisOffloadTcpSend, NdisOffloadTcpReceive, NdisOffloadTcpReceiveReturn, NdisOffloadTcpDisconnect, NdisSetOptionalHandlers, NdisOffloadTcpForward, NdisGetDataBuffer, NetDmaRegisterClient, NetDmaDeregisterClient, NetDmaFreeChannel, NetDmaAllocateChannel, NdisGetProcessorInformation, NdisFreeNetBufferList, NetDmaNullTransfer, NetDmaIsDmaCopyComplete, NdisGetThreadObjectCompartmentId, NdisGetSessionCompartmentId, NdisAdjustNetBufferCurrentMdl, NdisAdvanceNetBufferDataStart, NdisRetreatNetBufferDataStart
> FLTMGR.SYS: FltGetFileNameInformationUnsafe, FltReleaseFileNameInformation
> fwpkclnt.sys: FwpsCalloutUnregisterByKey0, FwpmBfeStateSubscribeChangesWithoutDevice0, FwpmBfeStateUnsubscribeChanges0, FwpsClassifyOptionSet0, FwpmEngineClose0, FwpmEngineOpen0, FwpmSecureSocketDeleteByKeyAsync0, FwpmSecureSocketAddAsync0, FwpmEventProviderIsNetEventTypeEnabled0, FwpsRequestEndpointDeleteNotification0, FwppDispatchDevCtl0, IPsecDriverExpire, IPsecDriverInitiateAcquire, FwpmEventProviderFireNetEvent0, FwpsTcpIpDispatchTableClear0, FwpmEventProviderDestroy0, FwpmEventProviderCreate0, FwpsTcpIpDispatchTableSet0, FwpsCalloutRegisterWithoutDevice0
> HAL.dll: KeGetCurrentIrql, KfReleaseSpinLock, KfLowerIrql, KfAcquireSpinLock, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, KeRaiseIrqlToDpcLevel, ExReleaseFastMutex, ExAcquireFastMutex, KfRaiseIrql, KeQueryPerformanceCounter
> ksecdd.sys: BCryptDestroyHash, BCryptDecrypt, BCryptCloseAlgorithmProvider, BCryptOpenAlgorithmProvider, BCryptSetProperty, BCryptGetProperty, BCryptGenRandom, BCryptHashData, BCryptEncrypt, BCryptGenerateSymmetricKey, BCryptDestroyKey, BCryptFinishHash, BCryptCreateHash
> msrpc.sys: NdrMesTypeDecode2, MesHandleFree, I_RpcExceptionFilter, MesDecodeBufferHandleCreate

( 1 exports )
EQoSTestHook

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Ute

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

Hallo,

Combofix ist ohne Probleme durchgelaufen und meldet folgendes:

ComboFix 09-06-18.02 - xxx_Desktop 19.06.2009 20:48.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.49.1031.18.2046.1283 [GMT 2:00]
ausgeführt von:: c:\users\xxx_Desktop\Desktop\ComboFix.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-19 bis 2009-06-19 ))))))))))))))))))))))))))))))
.

2009-06-19 18:54 . 2009-06-19 18:54 -------- d-----w- c:\users\xxx_Desktop\AppData\Local\temp
2009-06-18 18:07 . 2009-06-18 18:07 -------- d-----w- C:\rsit
2009-06-15 23:12 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-15 23:12 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-15 23:12 . 2009-06-15 23:12 -------- d-----w- c:\programdata\Avira
2009-06-15 23:12 . 2009-06-15 23:12 -------- d-----w- c:\program files\Avira
2009-06-15 22:16 . 2009-06-15 22:16 -------- d-----w- c:\program files\Fighters
2009-06-15 22:16 . 2009-06-15 22:16 -------- d-----w- c:\programdata\Fighters
2009-06-15 21:48 . 2009-06-18 20:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-06-15 21:48 . 2009-06-15 21:48 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-15 20:27 . 2009-06-15 20:27 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\Malwarebytes
2009-06-15 20:27 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-15 20:27 . 2009-06-15 20:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-15 20:27 . 2009-06-15 20:27 -------- d-----w- c:\programdata\Malwarebytes
2009-06-15 20:27 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-15 20:13 . 2009-06-15 20:13 -------- d-----w- c:\program files\CCleaner
2009-06-09 19:22 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-06-09 19:22 . 2009-04-21 11:55 2033152 ----a-w- c:\windows\system32\win32k.sys
2009-06-09 19:22 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll
2009-06-04 08:01 . 2009-06-04 08:01 -------- d-----w- C:\ff2595cc9aeca1d4f191cc2a006dd88c
2009-06-04 08:01 . 2009-06-04 08:01 -------- d-----w- c:\windows\CheckSur
2009-06-01 15:00 . 2009-06-19 18:38 -------- d-----w- c:\windows\system32\wbem\repository
2009-05-20 21:27 . 2008-07-27 18:03 96760 ----a-w- c:\windows\system32\dfshim.dll
2009-05-20 21:27 . 2008-07-27 18:03 282112 ----a-w- c:\windows\system32\mscoree.dll
2009-05-20 21:27 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-05-20 21:27 . 2008-07-27 18:03 158720 ----a-w- c:\windows\system32\mscorier.dll
2009-05-20 21:27 . 2008-07-27 18:03 83968 ----a-w- c:\windows\system32\mscories.dll
2009-05-20 20:48 . 2009-05-20 20:48 -------- d-----w- C:\4f298590402cd1a01976074363fd6304
2009-05-20 20:48 . 2009-05-20 20:48 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\Tobit
2009-05-20 20:48 . 2009-05-20 20:48 -------- d-----w- c:\program files\Tobit ClipInc
2009-05-20 20:48 . 2009-05-20 20:48 -------- d-----w- c:\program files\Common Files\Tobit
2009-05-20 20:48 . 2008-11-14 16:29 1567496 ----a-w- c:\windows\CISUnins.exe
2009-05-20 20:48 . 2008-11-14 16:29 1567496 ----a-w- c:\windows\CICUnins.exe
2009-05-20 20:48 . 2008-08-12 10:38 554496 ----a-w- c:\windows\system32\dvmsg.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-19 06:30 . 2008-11-12 00:45 618204 ----a-w- c:\windows\system32\perfh007.dat
2009-06-19 06:30 . 2008-11-12 00:45 122636 ----a-w- c:\windows\system32\perfc007.dat
2009-06-16 20:01 . 2009-05-18 16:21 1 ----a-w- c:\users\xxx_Desktop\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-16 06:17 . 2009-05-18 15:09 248752050 ----a-w- c:\windows\DUMP39ad.tmp
2009-06-15 23:33 . 2009-05-18 14:26 -------- d-----w- c:\program files\Google
2009-06-15 20:21 . 2008-11-12 12:41 -------- d-----w- c:\programdata\WildTangent
2009-06-15 20:14 . 2009-05-18 19:38 -------- d-----w- c:\program files\Mozilla Thunderbird
2009-05-20 14:45 . 2009-05-20 14:17 -------- d-----w- c:\program files\WS_FTP
2009-05-20 14:29 . 2009-05-20 14:29 -------- d-----w- c:\program files\SSH Communications Security
2009-05-20 14:29 . 2008-11-12 10:12 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-19 19:07 . 2009-05-18 14:27 69376 ----a-w- c:\users\xxx_Desktop\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-18 23:57 . 2009-05-18 23:57 -------- d-----w- c:\programdata\Avery
2009-05-18 23:56 . 2009-05-18 23:56 -------- d-----w- c:\program files\Avery Dennison
2009-05-18 23:54 . 2009-05-18 23:53 -------- d-----w- c:\program files\DesignPro
2009-05-18 22:08 . 2009-05-18 21:56 -------- d-----w- c:\programdata\Xerox
2009-05-18 21:34 . 2009-05-18 21:34 -------- d--h--w- c:\programdata\CanonBJ
2009-05-18 21:32 . 2009-05-18 21:10 -------- d-----w- c:\program files\Canon
2009-05-18 21:29 . 2009-05-18 21:29 -------- d-----w- c:\program files\CD-LabelPrint
2009-05-18 21:05 . 2009-05-18 21:05 -------- d-----w- c:\program files\CUEcards 2000
2009-05-18 21:02 . 2009-05-18 21:02 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\Nero
2009-05-18 20:16 . 2009-05-18 20:16 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\Songbird2
2009-05-18 20:04 . 2009-05-18 20:04 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\Thunderbird
2009-05-18 17:13 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-05-18 16:23 . 2009-05-18 16:23 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-05-18 16:23 . 2009-05-18 16:23 -------- d-----w- c:\program files\Java
2009-05-18 16:20 . 2009-05-18 16:20 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\OpenOffice.org
2009-05-18 16:18 . 2009-05-18 16:10 -------- d-----w- c:\program files\OpenOffice.org 3
2009-05-18 15:52 . 2009-05-18 15:51 -------- d-----w- c:\program files\Citavi
2009-05-18 15:24 . 2009-05-18 15:24 -------- d-----w- c:\program files\LAB1.de
2009-05-18 15:22 . 2009-05-18 15:22 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\Mindjet
2009-05-18 15:22 . 2009-05-18 15:22 -------- d-----w- c:\program files\Mindjet
2009-05-18 15:18 . 2009-05-18 15:18 -------- d-----w- c:\program files\GIMP-2.0
2009-05-18 15:14 . 2009-05-18 15:14 -------- d-----w- c:\program files\Songbird
2009-05-18 15:10 . 2009-05-18 15:10 -------- d-----w- c:\users\xxx_Desktop\AppData\Roaming\Nvu
2009-05-18 15:09 . 2009-05-18 15:09 -------- d-----w- c:\program files\Nvu
2009-05-18 15:06 . 2009-05-18 15:06 0 ----a-w- c:\windows\nsreg.dat
2009-05-18 14:30 . 2009-05-18 14:30 -------- d-----w- c:\program files\avmwlanstick
2009-05-18 14:27 . 2008-11-12 10:03 -------- d-----w- c:\programdata\NVIDIA
2009-05-18 14:22 . 2009-05-18 14:22 -------- d-sh--we c:\programdata\Vorlagen
2009-05-18 14:22 . 2009-05-18 14:22 -------- d-sh--we c:\programdata\Startmenü
2009-05-18 14:22 . 2009-05-18 14:22 -------- d-sh--we c:\programdata\Favoriten
2009-05-18 14:22 . 2009-05-18 14:22 -------- d-sh--we c:\programdata\Dokumente
2009-05-18 14:22 . 2009-05-18 14:22 -------- d-sh--we c:\programdata\Anwendungsdaten
2009-05-18 14:22 . 2009-05-18 14:22 -------- d-sh--we c:\program files\Gemeinsame Dateien
2009-04-29 11:46 . 2009-05-18 20:19 159744 ----a-w- c:\users\xxx_Desktop\AppData\Roaming\Songbird2\Profiles\4032emcc.default\extensions\windowsmedia@songbirdnest.com\platform\WINNT_x86-msvc\components\sbWindowsMediacore.dll
2008-10-29 15:16 . 2008-10-29 15:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-02-22 166432]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-22 13515296]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-22 92704]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-10-14 20480]
"AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-18 148888]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"spywarefighterguard"="c:\program files\Fighters\spywarefighter\SpywarefighterUser.exe" [2008-11-18 180872]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\users\xxx_Desktop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{46FD9A2E-A4EB-4A89-BB24-92ECBF501211}"= c:\program files\HomeCinema\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{9ADAB163-D480-459C-9243-E3755236533C}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{669FC98E-7F28-40AB-807D-1181F58C8E7A}"= UDP:Profile=Private|Profile=Public|c:\program files\Tobit ClipInc\Server\ClipInc-Server.exe:ClipInc Server
"{04D38E50-8E56-4F93-B378-A9E5698ADD6C}"= TCP:Profile=Private|Profile=Public|c:\program files\Tobit ClipInc\Server\ClipInc-Server.exe:ClipInc Server
"{6576B428-7A06-4BDA-AF0D-FC9350E1D6E7}"= UDP:Profile=Private|Profile=Public|c:\program files\Tobit ClipInc\Player\ClipInc-Player.exe:ClipInc Player
"{ADA9992D-AF01-4B65-9375-32DFE4030488}"= TCP:Profile=Private|Profile=Public|c:\program files\Tobit ClipInc\Player\ClipInc-Player.exe:ClipInc Player
"{B6D58FEB-3955-4717-968D-2729718F812B}"= UDP:Profile=Private|Profile=Public|c:\program files\Tobit ClipInc\Player\RadioRecorder.exe:WDR RadioRecorder
"{3D155D7F-D99A-40AA-8201-920E374B9413}"= TCP:Profile=Private|Profile=Public|c:\program files\Tobit ClipInc\Player\RadioRecorder.exe:WDR RadioRecorder

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [16.06.2009 01:12 108289]
R2 ClipInc001;ClipInc 001;c:\program files\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\program files\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?]
R2 PTK License-FIGHTERS-297811811;PTK License-FIGHTERS-297811811;c:\program files\Fighters\LicenseService.exe [18.11.2008 11:01 283272]
R2 PTK Live Update-FIGHTERS-297811811;PTK Live Update-FIGHTERS-297811811;c:\program files\Fighters\UpdateService.exe [18.11.2008 11:01 307848]
R2 PTK Scanner-FIGHTERS-297811811;PTK Scanner-FIGHTERS-297811811;c:\program files\Fighters\ScannerService.exe [18.11.2008 11:01 311944]
R2 PTK SharedAccess-FIGHTERS-297811811;PTK SharedAccess-FIGHTERS-297811811;c:\program files\Fighters\ConfigService.exe [18.11.2008 11:01 139912]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [15.06.2009 23:48 1153368]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\System32\drivers\fwlanusb.sys [18.05.2009 16:29 265088]
R3 Vfscan;Vfscan;c:\windows\System32\drivers\vffilter.sys [18.11.2008 11:01 15496]
S3 avmeject;AVM Eject;c:\windows\System32\drivers\avmeject.sys [18.05.2009 16:30 4352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.msn.de/
IE: &Citavi Picker... - file://c:\program files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen
FF - ProfilePath - c:\users\xxx_Desktop\AppData\Roaming\Mozilla\Firefox\Profiles\4ucf7fq2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.blinde-kuh.de
FF - plugin: c:\users\xxx_Desktop\AppData\Roaming\Mozilla\plugins\npoctoshape.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-06-19 20:54
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\users\xxx~1\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2009-06-19 20:56
ComboFix-quarantined-files.txt 2009-06-19 18:56

Vor Suchlauf: 12 Verzeichnis(se), 174.699.999.232 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 174.664.986.624 Bytes frei

168 --- E O F --- 2009-06-19 06:50

Nochmal vielen Dank,

Ute

Hi,

hmm, gibt auch nicht viel her...

Firefox gerade biegen:
Arbeite alles was unter dem Link angegeben ist ab und
berichte dann im Thread!
Erstmal keine PlugIns installieren und das gemachte
Backup von Firefox nicht einspielen.
http://www.trojaner-board.de/411645-post19.html

chris

Hallo,

habe es so gemacht, wie im betreffenden Posting beschrieben war. Der Regseeker hat beim ersten Versuch 182 Fehler gefunden. Die meisten in der ersten Sektion d.h. Activex usw. Beheben konnte er mit der Free-Version 15. Der zweite Versuch (nach Herunterfahren hat noch 165 Fehler zutage gefördert. Der CCleaner hat alle Fehler gefunden und bei weiteren zwei Versuchen keine mehr gefunden.
Die Neu-Installation von Firefox hat folgendes gebracht: Keine schwarzen Google-Seiten mehr (zumindest jetzt nicht), aber die Hoax-Info-Seite ist immer noch kaputt.

Danke,

Ute