okay. ich werde zugleich deinem Rat folgen.
Jedoch noch ein paar Fragen:

Ich stöbere durch meinen C/Programme Ordner und denke mir, dass jegliches doch upgedated ist, wie z.B. Mozilla. Installiert er nicht drüber? Und wenn nicht, wohin installiert er die neuen Versionen und lässt die alten liegen?

Weiter: Kann ich jegliche Programme manuell über die systemsteuerung ausfindig machen und dort restlos löschen? Denn zu manchen finde ich die Datei nicht (Wie bei Adobe)
Wenn ich Mozilla lösche, besteht mein derzeitiges Mozilla noch, das ja eigentlich upgedated sein sollte?


/EDIT: Norton war schon auf dem rechner drauf.
Die Sache ist. Was mache ich ohne Freeware-Norton? Dann wäre ich erst einmal ungesichert! Und Geld für ein Antivirenprog. kann ich nicht ausgeben



Danke!

Solced

Zitat:

Die Log von SUPERAntiSpyware erübrigt sich, ja?

Nein.

Zitat:

Kann ich SuperAntiSpy mit Malwarebytes zugleich laufen lassen?

Nicht zu empfehlen, die Scanzeit steigt immens an und die Programme können abstürzen.

Zitat:

und denke mir, dass jegliches doch upgedated ist, wie z.B. Mozilla.

Falsch gedenkt.

Zitat:

Installiert er nicht drüber? Und wenn nicht, wohin installiert er die neuen Versionen und lässt die alten liegen?

Alte Version deinstallieren, neue Version installieren, genau an die Reihenfolge halten.

Zitat:

Kann ich jegliche Programme manuell über die systemsteuerung ausfindig machen und dort restlos löschen?

Nein, aber in der info.txt steht drin, wie du es deinstallieren kannst.

Start => Ausführen => [uninstallstring eingeben] => OK

Zitat:

Wie bei Adobe

Start => Ausführen => C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe => OK
Start => Ausführen => MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003} => OK

Zitat:

Wenn ich Mozilla lösche, besteht mein derzeitiges Mozilla noch

Üblicherweise wird beim Deinstallieren nicht alles gelöscht, sondern nur das Programm, die meisten Einstellungen bleiben erhalten. Wenn du sicher sein möchtest, dann exportiere vorher alles (z.B. Lesezeichen/Favoriten) und importiere es nach der Neuinstallation.

Zitat:

Was mache ich ohne Freeware-Norton?

Gesund und glücklich leben.

Du hast Avira, niemals mehr als ein Antivirenprogramm einsetzen. BTW: Ich habe überhaupt keines.

ciao, andreas

o.k Andreas.
Ich ergebe mich vollends im vertrauen und ziehe das install und deinstall paket durch. ich kann nur von lernen.
Sunbird brauch ich im Grunde ja nicht. Der fliegt raus.
VLC ging mir sowieso auf die nerven und der andere player sieht nach gelungener Frische aus.
Zur Zeit läuft Superantispy und Malwarebytes sauber nebeneinander her. sind auch schon recht weit. Zudem deinstalliere ich.. alles locker und sauber bis jetzt. ich hoffe das passt irgendwie. denn mir fehlt auch etwas die zeit. ich brauch schlaf und könnte ohne nen geregelten rechner nicht zu bette gehen

Edit: Mir fehlt die Zeit. Andreas. Danke bis hier. Ich werde morgen, insofern ich überhaupt die Zeit finde, Malwarebytes und Superantispy komplett nacheinander durchlaufen und dir die log. data hier im Forum posten.
Bis dato habe ich auch erstmal dreck deinstalliert und sauberes installiert. somit auch vlt. etwas platz geschaffen und die progs brauchen nicht so lange.
Danke! Auf Bald


Hier das Derzeitige Scanprotokoll von Superantispyware: Ich lasse es morgen noch einmal komplett durchrasseln.
Vlt. schaffts Malwarebytes heute noch.
Ich lasse es von Superantspy löschen.

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/21/2009 at 10:07 PM

Application Version : 4.26.1006

Core Rules Database Version : 4008
Trace Rules Database Version: 1948

Scan type : Complete Scan
Total Scan Time : 01:30:47

Memory items scanned : 636
Memory threats detected : 1
Registry items scanned : 6754
Registry threats detected : 2
File items scanned : 43847
File threats detected : 24

Rootkit.Agent/Gen-Skynet
\?\GLOBALROOT\C:\WINDOWS\SYSTEM32\SKYNETCIPKXVFX.DLL
\?\GLOBALROOT\C:\WINDOWS\SYSTEM32\SKYNETCIPKXVFX.DLL

Adware.Tracking Cookie
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@toplist[3].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@tacoda[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@tracking.quisma[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@serving-sys[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@webmasterplan[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@bs.serving-sys[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@spylog[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@doubleclick[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@rambler[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@atwola[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@ad.71i[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@zbox.zanox[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@adserver.71i[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@toplist[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@www.stopzilla[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@oberon-media[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@ad.zanox[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@adfarm1.adition[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@atdmt[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@sevenoneintermedia.112.2o7[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@stopzilla[1].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@ads.outspark[2].txt
C:\Users\Solced\AppData\Roaming\Microsoft\Windows\Cookies\solced@2o7[2].txt

Trojan.Agent/Gen-AlerterALG
HKU\.DEFAULT\Software\S45
HKU\S-1-5-18\Software\S45

Hier noch die Maleware log. Maleware hat es zum Ende geschafft!

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2474
Windows 6.0.6001 Service Pack 1

21.07.2009 22:17:38
mbam-log-2009-07-21 (22-17-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 261172
Laufzeit: 2 hour(s), 9 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\System32\drivers\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Gleich zwei Rootkits, da müssen wir schärfer ran. Deinstalliere SuperAntiSpyware.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Okay. Wird gemacht. Ich bin sehr beeindruckt das du dich um deine art Schützlinge so sehr bemühst.
Ich habe nun ersteinmal alles deinstalliert und von dir geratene installiert.
Jetzt deinstalliere ich SuperAntiSpyware.
Combofix ist herunter geladen und ruht.
Ich werde Combofix morgen Abend durchführen.
Doch jetzt brauch ich schlaf, denn ich muss morgen früh um 8h hellwach in der Kita sein (;

Thx!! und auf morgen!

Solced

Wie? So jung bist du noch?



Gute Nacht,
Andreas

schoen wäre´s ^^
2 Sachen:
Die Erste ist, dass ich Combofix erst morgen abend gegen 17.30 durchlaufen lassen kann. Hatte heute einen randvollen Tag und muss nun noch ein paar Sachen ausarbeiten.
Zweitens habe ich heute einen Schwarz/Weiß Film in der Hand gehabt, welcher john.doe hieß. Ich liebe S/W-Filme ^^

Sind wir jetzt verlobt?

ciao, andreas

insofern du das wünscht (;

Okay. Habe combofix durchlaufen lassen.
Hier mal die log. TEIL I





ComboFix 09-07-23.01 - Solced 23.07.2009 19:12.1.2 - NTFSx86
ausgeführt von:: c:\users\Solced\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\X\AppData\Roaming\ezpinst.log
c:\users\X\AppData\Roaming\inst.exe
c:\windows\Installer\WMEncoder.msi
c:\windows\is-VOJQ7.exe
c:\windows\system32\drivers\SKYNETrvxwttur.sys
c:\windows\system32\SKYNETcipkxvfx.dll
c:\windows\system32\SKYNETjscxsqvj.dat
c:\windows\system32\SKYNETrqspmpii.dat
c:\windows\system32\SKYNETxrdvipdm.dll
c:\windows\system32\tmp.reg
c:\windows\TEMP\qpimqqxtbn.exe
D:\install.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETvybedbbo
-------\Service_a2freeAeLookupSvc


((((((((((((((((((((((( Dateien erstellt von 2009-06-23 bis 2009-07-23 ))))))))))))))))))))))))))))))
.

2009-07-23 17:22 . 2009-07-23 17:25 -------- d-----w- c:\users\Solced\AppData\Local\temp
2009-07-21 20:55 . 2009-07-21 20:55 -------- d-----w- c:\program files\The KMPlayer
2009-07-21 20:43 . 2009-07-21 20:43 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-07-21 20:43 . 2009-07-21 20:43 -------- d-----w- c:\program files\Java
2009-07-21 20:39 . 2009-07-21 20:39 -------- d-----w- c:\program files\FoxitReader30_enu
2009-07-21 20:27 . 2009-06-15 15:24 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-07-21 20:27 . 2009-06-15 15:20 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-07-21 20:27 . 2009-06-15 15:20 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-07-21 20:27 . 2009-06-15 12:52 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-07-21 19:47 . 2009-07-21 19:47 -------- d-----w- c:\programdata\NortonInstaller
2009-07-21 18:20 . 2009-07-21 18:20 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2009-07-21 18:20 . 2009-07-21 20:52 -------- d-----w- c:\users\Solced\AppData\Roaming\SUPERAntiSpyware.com
2009-07-21 18:20 . 2009-07-21 20:52 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-07-21 18:05 . 2009-07-21 18:05 -------- d-----w- c:\users\Solced\AppData\Roaming\Malwarebytes
2009-07-21 18:05 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-21 18:05 . 2009-07-21 18:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-21 18:05 . 2009-07-21 18:05 -------- d-----w- c:\programdata\Malwarebytes
2009-07-21 18:05 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-21 17:48 . 2009-07-21 17:48 -------- d-----w- C:\rsit
2009-07-21 15:02 . 2009-07-21 15:02 -------- d-----w- c:\users\Solced\AppData\Local\Toshiba
2009-07-21 14:51 . 2009-07-21 18:50 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-07-21 13:17 . 2009-07-21 14:47 -------- d-----w- c:\programdata\SITEguard
2009-07-21 13:16 . 2009-07-21 14:56 -------- d-----w- c:\programdata\STOPzilla!
2009-07-21 13:16 . 2009-07-21 13:16 -------- d-----w- c:\program files\Common Files\iS3
2009-07-11 17:00 . 2009-04-21 11:55 2033152 ----a-w- c:\windows\system32\win32k.sys
2009-07-11 16:59 . 2008-12-06 04:42 376832 ----a-w- c:\windows\system32\winhttp.dll
2009-07-11 16:59 . 2008-06-06 03:27 562176 ----a-w- c:\windows\system32\msdtcprx.dll
2009-07-11 16:59 . 2008-06-06 03:27 38912 ----a-w- c:\windows\system32\xolehlp.dll
2009-07-11 16:56 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-07-11 14:16 . 2009-07-21 09:25 -------- d-----w- c:\programdata\TrackMania
2009-06-27 12:13 . 2009-06-27 12:13 -------- d-----w- c:\program files\Sierra On-Line
2009-06-27 12:09 . 2009-06-27 12:09 -------- d-----w- C:\Sierra
2009-06-26 14:50 . 2009-06-26 14:50 -------- d-----w- c:\program files\Valve

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-21 21:22 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-07-21 20:52 . 2009-02-11 18:18 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-07-21 20:34 . 2007-09-23 09:56 12 ----a-w- c:\windows\bthservsdp.dat
2009-07-21 20:32 . 2008-12-21 21:07 -------- d-----w- c:\programdata\Skype
2009-07-21 20:28 . 2008-02-25 00:49 -------- d-----w- c:\program files\Common Files\Adobe
2009-07-21 18:50 . 2007-11-26 22:40 -------- d-----w- c:\program files\Mozilla Sunbird
2009-07-21 17:11 . 2009-03-05 20:02 1 ----a-w- c:\users\Solced\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-21 14:23 . 2009-07-21 13:22 2200 ----a-w- c:\windows\system32\drivers\kgpcpy.cfg
2009-07-21 13:23 . 2009-07-21 13:23 296 ----a-w- c:\windows\system32\drivers\kgpfr2.cfg
2009-07-20 19:04 . 2006-11-02 15:33 673866 ----a-w- c:\windows\system32\perfh007.dat
2009-07-20 19:04 . 2006-11-02 15:33 139086 ----a-w- c:\windows\system32\perfc007.dat
2009-07-04 10:56 . 2009-05-12 20:05 -------- d-----w- c:\users\Solced\AppData\Roaming\Xfire
2009-07-03 19:34 . 2009-01-15 16:12 -------- d-----w- c:\program files\Common Files\Steam
2009-07-03 19:29 . 2009-05-12 20:05 -------- d-----w- c:\programdata\Xfire
2009-06-28 20:22 . 2009-01-01 18:00 -------- d-----w- c:\program files\Full Tilt Poker
2009-06-26 16:45 . 2008-12-21 21:09 -------- d-----w- c:\users\Solced\AppData\Roaming\skypePM
2009-06-25 19:52 . 2009-01-07 15:04 -------- d-----w- c:\users\Solced\AppData\Roaming\dvdcss
2009-06-12 10:45 . 2009-06-12 10:41 -------- d-----w- c:\program files\ICQ6.5
2009-06-11 22:29 . 2009-06-11 22:29 41808 ----a-w- c:\windows\system32\xfcodec.dll
2009-06-01 15:30 . 2007-04-16 05:18 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-27 17:05 . 2009-05-27 17:05 -------- d-----w- c:\program files\Gamigo Games
2009-04-30 12:37 . 2009-07-11 17:00 293376 ----a-w- c:\windows\system32\psisdecd.dll
2009-04-30 12:37 . 2009-07-11 17:00 428544 ----a-w- c:\windows\system32\EncDec.dll
2009-07-15 21:31 . 2009-07-21 20:37 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2007-08-07 18:47 . 2007-08-07 18:47 397312 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16480_none_ef1b6bb652cf8744\WinMail.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2006-12-03 15:03 2854912 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2006-12-03 15:03 2854912 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="REM" [X]
"Speech Recognition"="REM" [X]
"msnmsgr"="REM" [X]
"Nokia.PCSync"="REM" [X]
"PC Suite Tray"="REM" [X]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPwrMain"="REM" [X]
"SynTPStart"="REM" [X]
"SynTPEnh"="REM" [X]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-23 262401]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-03-13 2060288]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-13 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-13 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-13 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-21 148888]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-06-13 4489216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 1232896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"DisableCAD"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-12-03 14:50 90112 ----a-w- c:\windows\System32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi6"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1012844329-1309873292-53014512-1000]
"EnableNotificationsRef"=dword:00000001

TEIL II


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{BB980586-677E-40CB-B41F-9880906DE2D4}"= Profile=Private|c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{D693FD80-E933-4156-81F9-66A8B444D643}c:\\program files\\common files\\ahead\\nero web\\setupx.exe"= Disabled:UDP:c:\program files\common files\ahead\nero web\setupx.exe:MSI starter
"UDP Query User{D1FBFF98-F375-4238-AE67-BB95BEA2FE19}c:\\program files\\common files\\ahead\\nero web\\setupx.exe"= Disabled:TCP:c:\program files\common files\ahead\nero web\setupx.exe:MSI starter
"TCP Query User{9489D34C-E3D3-4081-991D-CB3FA13DD38F}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{3EA63B76-68C7-439F-B969-1857B72BAE9A}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{F2D661C9-3F61-4796-B60A-F23ADDE3E56A}c:\\program files\\icq6\\icq.exe"= Disabled:UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{A2DC48E8-EDE4-4EB2-A59E-035560BA04C4}c:\\program files\\icq6\\icq.exe"= Disabled:TCP:c:\program files\icq6\icq.exe:ICQ Library
"{9243BB5D-08FE-4865-8ACB-A4E37AA651C6}"= Disabled:UDP:c:\program files\THQ\Juiced2_HIN\Juiced2_HIN.exe:Juiced2_HIN
"{8D1D40F4-E132-4595-8C1C-520E6BFBA96D}"= Disabled:TCP:c:\program files\THQ\Juiced2_HIN\Juiced2_HIN.exe:Juiced2_HIN
"TCP Query User{BF7345A5-B7C0-44D4-B4B9-3E135A8189B8}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{84B757CD-AE0E-4515-BAAD-260F8195CB4E}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{8A2C9F09-4F09-41FF-A264-E6F81AB9DF07}"= Profile=Private|c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{E55BAB8D-7FE1-4E16-9A27-C2D0B6441D00}c:\\program files\\flightgear\\bin\\win32\\fgfs.exe"= Disabled:UDP:c:\program files\flightgear\bin\win32\fgfs.exe:fgfs
"UDP Query User{92612533-B1BE-4089-820D-E36461D65DB9}c:\\program files\\flightgear\\bin\\win32\\fgfs.exe"= Disabled:TCP:c:\program files\flightgear\bin\win32\fgfs.exe:fgfs
"{8A597623-D0E8-4C8C-B8F8-D856E4E185DB}"= Disabled:c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{222774B3-86F3-4E48-965C-2D9C203E4A45}c:\\program files\\lucasarts\\star wars jk ii jedi outcast\\gamedata\\jk2mp.exe"= UDP:c:\program files\lucasarts\star wars jk ii jedi outcast\gamedata\jk2mp.exe:jk2mp
"UDP Query User{726B9BE1-B37E-45A2-AB55-F8DCC716526D}c:\\program files\\lucasarts\\star wars jk ii jedi outcast\\gamedata\\jk2mp.exe"= TCP:c:\program files\lucasarts\star wars jk ii jedi outcast\gamedata\jk2mp.exe:jk2mp
"{C715306C-79AF-4376-8607-5875E78E48C0}"= UDP:c:\program files\Windows Live\Messenger\msnmsgr.exe:Windows Live Messenger
"{18F6A95C-796A-4063-BFA0-B31E8A0ACB74}"= TCP:c:\program files\Windows Live\Messenger\msnmsgr.exe:Windows Live Messenger
"{6D853470-151D-49E4-AB4D-2B93F839E01F}"= UDP:c:\program files\Microsoft Games for Windows - LIVE\Client\GFWLive.exe:Games for Windows - LIVE
"{3C07032E-5A87-45D8-810D-58A78FFE2ACE}"= TCP:c:\program files\Microsoft Games for Windows - LIVE\Client\GFWLive.exe:Games for Windows - LIVE
"TCP Query User{401B3B43-5D40-42BC-AB59-C58DA4B7A35A}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= UDP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"UDP Query User{F640DB72-67DB-4510-BA07-8720AAE5D6EB}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= TCP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"TCP Query User{C607A43A-27A8-48C2-9615-044F8452FCD9}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= UDP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"UDP Query User{704CFF66-85D0-4D07-A084-03D6A386387A}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= TCP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"{32D59623-2550-4E9F-A3C1-CA32E214F691}"= UDP:c:\program files\Valve\Steam\Steam.exe:Steam
"{7FADD213-6EE3-46B1-A7AC-06908A6C01BB}"= TCP:c:\program files\Valve\Steam\Steam.exe:Steam
"TCP Query User{66E9EB07-FB04-4111-A6DB-B81F229B6CA9}c:\\program files\\novalogic\\delta force black hawk down\\update.exe"= UDP:c:\program files\novalogic\delta force black hawk down\update.exe:UPDATE
"UDP Query User{5F514F26-A3D9-4512-B1A2-C8576AB1A421}c:\\program files\\novalogic\\delta force black hawk down\\update.exe"= TCP:c:\program files\novalogic\delta force black hawk down\update.exe:UPDATE
"TCP Query User{226E942B-B6AE-495F-B41E-BE4B6C6EC2CC}c:\\program files\\sierra\\fear\\fpupdate.exe"= UDP:c:\program files\sierra\fear\fpupdate.exe:fpupdate
"UDP Query User{9BBB656A-DF7C-4119-9BFE-AB94EE52DF71}c:\\program files\\sierra\\fear\\fpupdate.exe"= TCP:c:\program files\sierra\fear\fpupdate.exe:fpupdate
"TCP Query User{6619EF38-C387-484C-B892-8B5DD5EFCA17}c:\\program files\\sierra\\fear\\fearserver.exe"= UDP:c:\program files\sierra\fear\fearserver.exe:F.E.A.R. - Stand-Alone Server
"UDP Query User{974B05E9-F9D2-4D91-83F3-4E057FD780B1}c:\\program files\\sierra\\fear\\fearserver.exe"= TCP:c:\program files\sierra\fear\fearserver.exe:F.E.A.R. - Stand-Alone Server
"{8EA4E7CE-AC7A-49C0-99F5-54DCB56A1E01}"= UDP:c:\program files\Sierra\FEAR\FEAR.exe:FEAR
"{84E3A3C7-6E62-4208-9A6E-E788DDDC7D93}"= TCP:c:\program files\Sierra\FEAR\FEAR.exe:FEAR
"{07E4232C-7A56-4698-9186-22F7D17355E7}"= UDP:c:\program files\Sierra\FEAR\FEARMP.exe:FEAR
"{83FEFE00-7F99-4F45-A034-5FE505298AFB}"= TCP:c:\program files\Sierra\FEAR\FEARMP.exe:FEAR
"TCP Query User{724706AD-09FE-4032-9801-6C32F2293181}d:\\programme 2\\doom 3\\doom3ded.exe"= UDP:d:\programme 2\doom 3\doom3ded.exeOOM 3
"UDP Query User{08966DCC-4C48-4037-9592-03267CAA2EC8}d:\\programme 2\\doom 3\\doom3ded.exe"= TCP:d:\programme 2\doom 3\doom3ded.exeOOM 3
"TCP Query User{B1E6870F-AAE7-4FF1-B68C-075016976576}d:\\programme 2\\xfire\\xfire.exe"= UDP:d:\programme 2\xfire\xfire.exe:Xfire
"UDP Query User{34F082A0-F425-41DA-8A8C-BC87AB8364CB}d:\\programme 2\\xfire\\xfire.exe"= TCP:d:\programme 2\xfire\xfire.exe:Xfire
"TCP Query User{51AFA22C-4FFA-46D3-8213-1F7A802DBA0B}c:\\program files\\savage 2 - a tortured soul\\savage2.exe"= UDP:c:\program files\savage 2 - a tortured soul\savage2.exe:savage2
"UDP Query User{C04D9A2D-9E08-42A6-8B72-5B31E2B34ECF}c:\\program files\\savage 2 - a tortured soul\\savage2.exe"= TCP:c:\program files\savage 2 - a tortured soul\savage2.exe:savage2
"TCP Query User{3C8D0CC7-8412-4E9B-962B-C1FBE85C0DEA}d:\\programme 2\\xfire\\xfire.exe"= UDP:d:\programme 2\xfire\xfire.exe:Xfire
"UDP Query User{BDDBAD50-BC64-4B80-A440-8F9240815CCC}d:\\programme 2\\xfire\\xfire.exe"= TCP:d:\programme 2\xfire\xfire.exe:Xfire
"TCP Query User{8DACD63C-BDB5-42F6-8242-3E468C205C54}c:\\program files\\icq6.5\\icq.exe"= UDP:c:\program files\icq6.5\icq.exe:ICQ
"UDP Query User{4F0DCF49-43E5-42E3-AAF2-8FE24F759992}c:\\program files\\icq6.5\\icq.exe"= TCP:c:\program files\icq6.5\icq.exe:ICQ
"TCP Query User{42B7F61C-4EF1-4685-9E27-ADD5BB23A3BF}c:\\program files\\valve\\steam\\steamapps\\solced\\condition zero\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\condition zero\hl.exe:Half-Life Launcher
"UDP Query User{FE0D4CC6-585F-4AB3-940B-0A4CE7E6C4F5}c:\\program files\\valve\\steam\\steamapps\\solced\\condition zero\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\condition zero\hl.exe:Half-Life Launcher
"TCP Query User{B2734F68-0737-4172-8946-020CC368559C}c:\\program files\\valve\\steam\\steamapps\\solced\\counter-strike\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\counter-strike\hl.exe:Half-Life Launcher
"UDP Query User{745C66C0-68DF-44DB-917E-BFAECE148641}c:\\program files\\valve\\steam\\steamapps\\solced\\counter-strike\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\counter-strike\hl.exe:Half-Life Launcher
"TCP Query User{63778396-D537-4AA5-A0B0-9A9641766108}c:\\program files\\valve\\steam\\steamapps\\solced\\ricochet\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\ricochet\hl.exe:Half-Life Launcher
"UDP Query User{CDD320FB-830E-4224-82E1-AD85B6AA9C57}c:\\program files\\valve\\steam\\steamapps\\solced\\ricochet\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\ricochet\hl.exe:Half-Life Launcher
"{82C0497B-8927-4673-BCA2-AF7A7F25DF95}"= UDP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForever.exe:TrackMania Nations Forever
"{79230E82-B47C-44A6-923E-ADD9355520F4}"= TCP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForever.exe:TrackMania Nations Forever
"{084ED45A-DCD9-4B22-B7A6-6AC394063E6C}"= UDP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForeverLauncher.exe:TrackMania Nations Forever
"{0F195E34-DE6D-41B8-8621-FB7710AF34F5}"= TCP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForeverLauncher.exe:TrackMania Nations Forever
"TCP Query User{0EC73DEC-EA6D-4F4A-A763-12E1D415D692}c:\\program files\\valve\\steam\\steamapps\\solced\\day of defeat\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\day of defeat\hl.exe:Half-Life Launcher
"UDP Query User{18D57237-8D16-401A-8429-FDEDB676BA2A}c:\\program files\\valve\\steam\\steamapps\\solced\\day of defeat\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\day of defeat\hl.exe:Half-Life Launcher
"{0511B375-E35E-4139-9736-A4C523379658}"= UDP:c:\users\Solced\AppData\Local\Temp\7zS2647.tmp\SymNRT.exe:Norton Removal Tool
"{A55C8DEE-F44D-48CF-9028-CC7F994FC8C2}"= TCP:c:\users\Solced\AppData\Local\Temp\7zS2647.tmp\SymNRT.exe:Norton Removal Tool
"{E31FA021-1D41-4873-B969-6DF15041994C}"= UDP:c:\users\Solced\AppData\Local\Temp\7zSC60F.tmp\SymNRT.exe:Norton Removal Tool
"{779850CA-D84D-40A2-A0FB-E0970637B27F}"= TCP:c:\users\Solced\AppData\Local\Temp\7zSC60F.tmp\SymNRT.exe:Norton Removal Tool

R0 CplIR;Embedded IR Driver;c:\windows\System32\drivers\CplIR.sys [06.03.2007 15:01 14848]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\System32\drivers\sfdrv01a.sys [05.07.2006 14:46 63352]
R2 SecureDZoneService;SecureDZone Helper Service;c:\program files\ArchiCrypt\Shredder 4\SecureDZoneService.exe [29.08.2007 19:58 531968]
R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [13.03.2008 20:08 24576]
S2 a2freeAeLookupSvcAeLookupSvc;a-squared Free Service a2freeAeLookupSvc a2freeAeLookupSvcAeLookupSvc;c:\windows\TEMP\strhbsptwe.exe service --> c:\windows\TEMP\strhbsptwe.exe service [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe --> c:\program files\MAGIX\Common\Database\bin\fbserver.exe [?]
S3 TASCAM_US122144;TASCAM USB 2.0 Audio Device driver;c:\windows\System32\drivers\tascusb2.sys [22.02.2009 22:44 360448]
S3 TASCAM_US144_MIDI;TASCAM US-144 WDM MIDI Device;c:\windows\System32\drivers\tscusb2m.sys [22.02.2009 22:44 18944]
S3 TASCAM_US144_WDM;TASCAM US-144 WDM;c:\windows\System32\drivers\tscusb2a.sys [22.02.2009 22:44 33792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
rsmsvcs REG_MULTI_SZ ntmssvc
bthsvcs REG_MULTI_SZ BthServ
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-SITEguard - (no file)
HKCU-Run-ISUSPM - c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe
HKCU-Run-AlcoholAutomount - d:\programme 2\Alcohol 120\axcmd.exe
HKCU-Run-TOSCDSPD - TOSCDSPD.EXE


.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\users\Solced\AppData\Roaming\Mozilla\Firefox\Profiles\s4l8g8q6.default\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\S45\Par]
@DACL=(02 0000)
"ID"=dword:002e9399
"RA"=dword:64686b59
"RP"=dword:00006009
"CheckPort25DateTime"=dword:0038d549
"CheckPort25Result"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System*]
"OOSAFEERASE03.00.00.01MSWINDOWS"="3A5C9F3ACA990BBFD2630D95ED5064A5930E8E3DD83014A8E0EAB938ACBBD15121DBB918F5093A47E48D604941FA852C63888973FD9A937DCB4 646633673C1905A5CE10D0F8D13164C39AF1A2168ADAD15ECAD0598931B137085FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9 E127BECC74CA6A0AC4980AC7933A2D97226D213B555A6171C11EC38DE3DC038D530D6EB3452E235B17676DADEE841ED34EFF840B2EFF8637757E74C26EB239FD90EB7DAF0D8E7CDF19706A 14B7D235135AA5ED6FBC550F7EBD9D6E8342C4FB974BE74C140B3F282DAC1E6227AF5DF1539E98F81A1B7C177EFC0580CF11B4772284261A38E51F21FA7E3F1F641EDBE07F824482B08BB0 ACEDA2A2F11EC265BF9878163E7393AEEB5C9CFD1BAE92A1A38E0B29BC0846C78AFB31C70552B63F042D7C63702919A0098E2390610B38EDF7D1154EB33E2886F12BA7C063CA488FD8394C 5EA635D4353DFCABA631B4FA411F1DE2D73F86172E6AE5F17AC2CC3F31239EC12E083D42A29690E529183E21C456F52413E8BB4336904489AF7106A244A214222CF5F26E6D853EA608BF58 9C5A69A277CAC6803F496D44E9C4C566BBC5CBF2C53C37670374904D5292125CE977356CFACF411670523A6FE11E4F1108610DA73669A4BC9FB7921F5D877C2B82C7ECB6F849E0C705753C 21DD54E5913ECC27E997F0765BA3A7918277B840A39402C695E1907E1A10305391D29E907A47F63F9CD288F53C11BEF99F70294B63D36F8DF2967DE2171C3A6DA29306E7A6972F7DF78CA0 FA0CDE91519AC4248882114F2A391CB2ADBCB763BBE1D70E6B4F81E1788B3B93564451937CE3D759345B704B96E0B09C3A50F1FD9BD0C56AD3EDF7D6C8DCDA7843401BDB6B754393CB5465 3073D3F46569A0E65AE763C3077201E31BA4E4AAE532CCD8F0992520FDF258775A3D10A0D63561113F8CCA433C9E926FD546FDDC8CB6CEC6C36634ADBED652AFD6DB0FA4DBFFBD1968A64F 4757CAEE1C9A3D575596E199355DEF48369A9CB4E28D623D6D615307F84CCA88DF2BE04ADA2222F2D238CD7E96EB0CF79662B2F8B52E63518E1DD1D3E1339478589928457B5E1E7594ECDD 68D7F73465C61DEEC6C7D373BE8096CF0A29CDFB3A47E4DD0A4D906367FE7AB431078FEEC0FD183666C4FF6462B49E55CBB9F6322E8F89888CD05C88E5B6076D27468C11BA9112DFE00926 6337386C21604C07C8D0404F255FC53F32D5A8B50BC37043BEC775CC3A18B35DD1C8985CFD5F1C5F535DB8E2DDED38569129E22AF3BC12582C1F75382B7EA47C664E9F2AD5BEA1AAD19896 D6DD6E57F9D7E7FC0600FF7C7C0BE5E7EFA34EA819F3046DB50E6CACC18025B56AD6D3C4818FB086700FBAC8D31CC13C40F8B4D3CFA688231813F5F8FBCF7D1653C5A"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(680)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infra.dll

- - - - - - - > 'Explorer.exe'(4016)
c:\program files\Protector Suite QL\farchns.dll
c:\program files\Protector Suite QL\infra.dll
c:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll
c:\program files\Nokia\Nokia PC Suite 6\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Protector Suite QL\upeksvr.exe
c:\program files\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\System32\dllhost.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-23 19:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-23 17:31

Vor Suchlauf: 14 Verzeichnis(se), 27.694.002.176 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 27.501.719.552 Bytes frei

341 --- E O F --- 2009-07-23 17:01

1.) Deinstalliere (falls möglich):

• SuperAntiSpyware
• Spybot

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
a2freeAeLookupSvcAeLookupSvc

RegLock::
[HKEY_USERS\.Default\Software\S45\Par]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=-
"Speech Recognition"=-
"msnmsgr"=-
"Nokia.PCSync"=-
"PC Suite Tray"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPwrMain"=-
"SynTPStart"=-
"SynTPEnh"=-
"SunJavaUpdateSched"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=-
"DisableCAD"=-
"EnableUIADesktopToggle"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
"NoFileAssociate"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=-
"InternetSettingsDisableNotify"=-
"AutoUpdateDisableNotify"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0511B375-E35E-4139-9736-A4C523379658}"=-
"{A55C8DEE-F44D-48CF-9028-CC7F994FC8C2}"=-
"{E31FA021-1D41-4873-B969-6DF15041994C}"=-
"{779850CA-D84D-40A2-A0FB-E0970637B27F}"=-

Folder::
c:\programdata\NortonInstaller
c:\programdata\SUPERAntiSpyware.com
c:\users\Solced\AppData\Roaming\SUPERAntiSpyware.com
c:\program files\SUPERAntiSpyware
C:\rsit
c:\programdata\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy
c:\programdata\SITEguard
c:\programdata\STOPzilla!
c:\program files\Common Files\Wise Installation Wizard

Files::
c:\windows\TEMP\strhbsptwe.exe
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat

SysRst::
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Und da kommt das nächste Log.
Könnte mich mit ComboFix anfreunden!

TEIL I


ComboFix 09-07-23.01 - Solced 23.07.2009 20:51.2.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2046.1288 [GMT 2:00]
ausgeführt von:: c:\users\Solced\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Solced\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Avira AntiVir PersonalEdition *enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\Wise Installation Wizard
c:\program files\Common Files\Wise Installation Wizard\WISA4ED5256CF3F4DEA9101E2C87545478B_1_0_0.MSI
c:\program files\SUPERAntiSpyware
c:\programdata\NortonInstaller
c:\programdata\NortonInstaller\Logs\07-21-2009-21h47m34s\SymNRT-07-21-2009-21h47m34s.log
c:\programdata\NortonInstaller\Logs\07-21-2009-21h47m34s\SymNRT.1.mft.7z
c:\programdata\NortonInstaller\Settings\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}.7z
c:\programdata\SITEguard
c:\programdata\SITEguard\siteguard.db
c:\programdata\Spybot - Search & Destroy
c:\programdata\Spybot - Search & Destroy\Logs\Checks.090721-1713.txt
c:\programdata\Spybot - Search & Destroy\Logs\Fixes.090721-1714.txt
c:\programdata\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinAgentfox.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk1.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk10.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk2.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk3.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk4.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk5.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk6.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk7.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk8.zip
c:\programdata\Spybot - Search & Destroy\Recovery\WinTDSSrtk9.zip
c:\programdata\STOPzilla!
c:\programdata\STOPzilla!\modules_scanned.db
c:\programdata\STOPzilla!\modules_scanned.db.bak
c:\programdata\STOPzilla!\scanner.log
c:\programdata\STOPzilla!\sgdefs.db
c:\programdata\STOPzilla!\sgdwc.db
c:\programdata\STOPzilla!\userdata.db
c:\programdata\STOPzilla!\zilla5.log
c:\programdata\SUPERAntiSpyware.com
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\users\Solced\AppData\Roaming\SUPERAntiSpyware.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_a2freeAeLookupSvcAeLookupSvc


((((((((((((((((((((((( Dateien erstellt von 2009-06-23 bis 2009-07-23 ))))))))))))))))))))))))))))))
.

2009-07-23 18:57 . 2009-07-23 18:57 -------- d-----w- c:\users\Solced\AppData\Local\VirtualStore
2009-07-23 18:55 . 2009-07-23 18:58 -------- d-----w- c:\users\Solced\AppData\Local\temp
2009-07-23 18:55 . 2009-07-23 18:55 -------- d-----w- c:\users\Mehmet\AppData\Local\temp
2009-07-21 20:55 . 2009-07-21 20:55 -------- d-----w- c:\program files\The KMPlayer
2009-07-21 20:43 . 2009-07-21 20:43 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-07-21 20:43 . 2009-07-21 20:43 -------- d-----w- c:\program files\Java
2009-07-21 20:39 . 2009-07-21 20:39 -------- d-----w- c:\program files\FoxitReader30_enu
2009-07-21 20:27 . 2009-06-15 15:24 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-07-21 20:27 . 2009-06-15 15:20 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-07-21 20:27 . 2009-06-15 15:20 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-07-21 20:27 . 2009-06-15 12:52 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-07-21 18:05 . 2009-07-21 18:05 -------- d-----w- c:\users\Solced\AppData\Roaming\Malwarebytes
2009-07-21 18:05 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-21 18:05 . 2009-07-21 18:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-21 18:05 . 2009-07-21 18:05 -------- d-----w- c:\programdata\Malwarebytes
2009-07-21 18:05 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-21 15:02 . 2009-07-21 15:02 -------- d-----w- c:\users\Solced\AppData\Local\Toshiba
2009-07-21 13:16 . 2009-07-21 13:16 -------- d-----w- c:\program files\Common Files\iS3
2009-07-11 17:00 . 2009-04-21 11:55 2033152 ----a-w- c:\windows\system32\win32k.sys
2009-07-11 16:59 . 2008-12-06 04:42 376832 ----a-w- c:\windows\system32\winhttp.dll
2009-07-11 16:59 . 2008-06-06 03:27 562176 ----a-w- c:\windows\system32\msdtcprx.dll
2009-07-11 16:59 . 2008-06-06 03:27 38912 ----a-w- c:\windows\system32\xolehlp.dll
2009-07-11 16:56 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-07-11 14:16 . 2009-07-21 09:25 -------- d-----w- c:\programdata\TrackMania
2009-06-27 12:13 . 2009-06-27 12:13 -------- d-----w- c:\program files\Sierra On-Line
2009-06-27 12:09 . 2009-06-27 12:09 -------- d-----w- C:\Sierra
2009-06-26 14:50 . 2009-06-26 14:50 -------- d-----w- c:\program files\Valve

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-21 21:22 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-07-21 20:34 . 2007-09-23 09:56 12 ----a-w- c:\windows\bthservsdp.dat
2009-07-21 20:32 . 2008-12-21 21:07 -------- d-----w- c:\programdata\Skype
2009-07-21 20:28 . 2008-02-25 00:49 -------- d-----w- c:\program files\Common Files\Adobe
2009-07-21 18:50 . 2007-11-26 22:40 -------- d-----w- c:\program files\Mozilla Sunbird
2009-07-21 17:11 . 2009-03-05 20:02 1 ----a-w- c:\users\Solced\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-21 14:23 . 2009-07-21 13:22 2200 ----a-w- c:\windows\system32\drivers\kgpcpy.cfg
2009-07-21 13:23 . 2009-07-21 13:23 296 ----a-w- c:\windows\system32\drivers\kgpfr2.cfg
2009-07-20 19:04 . 2006-11-02 15:33 673866 ----a-w- c:\windows\system32\perfh007.dat
2009-07-20 19:04 . 2006-11-02 15:33 139086 ----a-w- c:\windows\system32\perfc007.dat
2009-07-04 10:56 . 2009-05-12 20:05 -------- d-----w- c:\users\Solced\AppData\Roaming\Xfire
2009-07-03 19:34 . 2009-01-15 16:12 -------- d-----w- c:\program files\Common Files\Steam
2009-07-03 19:29 . 2009-05-12 20:05 -------- d-----w- c:\programdata\Xfire
2009-06-28 20:22 . 2009-01-01 18:00 -------- d-----w- c:\program files\Full Tilt Poker
2009-06-26 16:45 . 2008-12-21 21:09 -------- d-----w- c:\users\Solced\AppData\Roaming\skypePM
2009-06-25 19:52 . 2009-01-07 15:04 -------- d-----w- c:\users\Solced\AppData\Roaming\dvdcss
2009-06-12 10:45 . 2009-06-12 10:41 -------- d-----w- c:\program files\ICQ6.5
2009-06-11 22:29 . 2009-06-11 22:29 41808 ----a-w- c:\windows\system32\xfcodec.dll
2009-06-01 15:30 . 2007-04-16 05:18 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-27 17:05 . 2009-05-27 17:05 -------- d-----w- c:\program files\Gamigo Games
2009-04-30 12:37 . 2009-07-11 17:00 293376 ----a-w- c:\windows\system32\psisdecd.dll
2009-04-30 12:37 . 2009-07-11 17:00 428544 ----a-w- c:\windows\system32\EncDec.dll
2009-07-15 21:31 . 2009-07-21 20:37 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2007-08-07 18:47 . 2007-08-07 18:47 397312 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16480_none_ef1b6bb652cf8744\WinMail.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-07-23_17.25.41 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-04-16 05:35 . 2009-07-23 18:59 74336 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-07-23 18:59 96100 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-12-21 17:19 . 2009-07-23 18:59 11484 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1012844329-1309873292-53014512-1001_UserData.bin
+ 2009-04-05 18:41 . 2009-07-23 18:48 41446 c:\windows\System32\config\systemprofile\AppData\Roaming\nvModes.dat
- 2009-04-05 18:41 . 2009-07-23 17:15 41446 c:\windows\System32\config\systemprofile\AppData\Roaming\nvModes.dat
- 2009-07-23 17:24 . 2009-07-23 17:24 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-07-23 18:57 . 2009-07-23 18:57 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-07-23 18:57 . 2009-07-23 18:57 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-23 17:24 . 2009-07-23 17:24 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.

Wie schnell du auch da drüber rauschst! ^^

TEIL II



(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2006-12-03 15:03 2854912 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2006-12-03 15:03 2854912 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-23 262401]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-03-13 2060288]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-13 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-13 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-13 81920]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-06-13 4489216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 1232896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-12-03 14:50 90112 ----a-w- c:\windows\System32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi6"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1012844329-1309873292-53014512-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{BB980586-677E-40CB-B41F-9880906DE2D4}"= Profile=Private|c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{D693FD80-E933-4156-81F9-66A8B444D643}c:\\program files\\common files\\ahead\\nero web\\setupx.exe"= Disabled:UDP:c:\program files\common files\ahead\nero web\setupx.exe:MSI starter
"UDP Query User{D1FBFF98-F375-4238-AE67-BB95BEA2FE19}c:\\program files\\common files\\ahead\\nero web\\setupx.exe"= Disabled:TCP:c:\program files\common files\ahead\nero web\setupx.exe:MSI starter
"TCP Query User{9489D34C-E3D3-4081-991D-CB3FA13DD38F}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{3EA63B76-68C7-439F-B969-1857B72BAE9A}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{F2D661C9-3F61-4796-B60A-F23ADDE3E56A}c:\\program files\\icq6\\icq.exe"= Disabled:UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{A2DC48E8-EDE4-4EB2-A59E-035560BA04C4}c:\\program files\\icq6\\icq.exe"= Disabled:TCP:c:\program files\icq6\icq.exe:ICQ Library
"{9243BB5D-08FE-4865-8ACB-A4E37AA651C6}"= Disabled:UDP:c:\program files\THQ\Juiced2_HIN\Juiced2_HIN.exe:Juiced2_HIN
"{8D1D40F4-E132-4595-8C1C-520E6BFBA96D}"= Disabled:TCP:c:\program files\THQ\Juiced2_HIN\Juiced2_HIN.exe:Juiced2_HIN
"TCP Query User{BF7345A5-B7C0-44D4-B4B9-3E135A8189B8}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{84B757CD-AE0E-4515-BAAD-260F8195CB4E}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{8A2C9F09-4F09-41FF-A264-E6F81AB9DF07}"= Profile=Private|c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{E55BAB8D-7FE1-4E16-9A27-C2D0B6441D00}c:\\program files\\flightgear\\bin\\win32\\fgfs.exe"= Disabled:UDP:c:\program files\flightgear\bin\win32\fgfs.exe:fgfs
"UDP Query User{92612533-B1BE-4089-820D-E36461D65DB9}c:\\program files\\flightgear\\bin\\win32\\fgfs.exe"= Disabled:TCP:c:\program files\flightgear\bin\win32\fgfs.exe:fgfs
"{8A597623-D0E8-4C8C-B8F8-D856E4E185DB}"= Disabled:c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{222774B3-86F3-4E48-965C-2D9C203E4A45}c:\\program files\\lucasarts\\star wars jk ii jedi outcast\\gamedata\\jk2mp.exe"= UDP:c:\program files\lucasarts\star wars jk ii jedi outcast\gamedata\jk2mp.exe:jk2mp
"UDP Query User{726B9BE1-B37E-45A2-AB55-F8DCC716526D}c:\\program files\\lucasarts\\star wars jk ii jedi outcast\\gamedata\\jk2mp.exe"= TCP:c:\program files\lucasarts\star wars jk ii jedi outcast\gamedata\jk2mp.exe:jk2mp
"{C715306C-79AF-4376-8607-5875E78E48C0}"= UDP:c:\program files\Windows Live\Messenger\msnmsgr.exe:Windows Live Messenger
"{18F6A95C-796A-4063-BFA0-B31E8A0ACB74}"= TCP:c:\program files\Windows Live\Messenger\msnmsgr.exe:Windows Live Messenger
"{6D853470-151D-49E4-AB4D-2B93F839E01F}"= UDP:c:\program files\Microsoft Games for Windows - LIVE\Client\GFWLive.exe:Games for Windows - LIVE
"{3C07032E-5A87-45D8-810D-58A78FFE2ACE}"= TCP:c:\program files\Microsoft Games for Windows - LIVE\Client\GFWLive.exe:Games for Windows - LIVE
"TCP Query User{401B3B43-5D40-42BC-AB59-C58DA4B7A35A}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= UDP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"UDP Query User{F640DB72-67DB-4510-BA07-8720AAE5D6EB}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= TCP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"TCP Query User{C607A43A-27A8-48C2-9615-044F8452FCD9}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= UDP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"UDP Query User{704CFF66-85D0-4D07-A084-03D6A386387A}c:\\program files\\microsoft games for windows - live\\eidos\\kane and lynch dead men\\kaneandlynch.exe"= TCP:c:\program files\microsoft games for windows - live\eidos\kane and lynch dead men\kaneandlynch.exe:Kane & Lynch - Dead Men
"{32D59623-2550-4E9F-A3C1-CA32E214F691}"= UDP:c:\program files\Valve\Steam\Steam.exe:Steam
"{7FADD213-6EE3-46B1-A7AC-06908A6C01BB}"= TCP:c:\program files\Valve\Steam\Steam.exe:Steam
"TCP Query User{66E9EB07-FB04-4111-A6DB-B81F229B6CA9}c:\\program files\\novalogic\\delta force black hawk down\\update.exe"= UDP:c:\program files\novalogic\delta force black hawk down\update.exe:UPDATE
"UDP Query User{5F514F26-A3D9-4512-B1A2-C8576AB1A421}c:\\program files\\novalogic\\delta force black hawk down\\update.exe"= TCP:c:\program files\novalogic\delta force black hawk down\update.exe:UPDATE
"TCP Query User{226E942B-B6AE-495F-B41E-BE4B6C6EC2CC}c:\\program files\\sierra\\fear\\fpupdate.exe"= UDP:c:\program files\sierra\fear\fpupdate.exe:fpupdate
"UDP Query User{9BBB656A-DF7C-4119-9BFE-AB94EE52DF71}c:\\program files\\sierra\\fear\\fpupdate.exe"= TCP:c:\program files\sierra\fear\fpupdate.exe:fpupdate
"TCP Query User{6619EF38-C387-484C-B892-8B5DD5EFCA17}c:\\program files\\sierra\\fear\\fearserver.exe"= UDP:c:\program files\sierra\fear\fearserver.exe:F.E.A.R. - Stand-Alone Server
"UDP Query User{974B05E9-F9D2-4D91-83F3-4E057FD780B1}c:\\program files\\sierra\\fear\\fearserver.exe"= TCP:c:\program files\sierra\fear\fearserver.exe:F.E.A.R. - Stand-Alone Server
"{8EA4E7CE-AC7A-49C0-99F5-54DCB56A1E01}"= UDP:c:\program files\Sierra\FEAR\FEAR.exe:FEAR
"{84E3A3C7-6E62-4208-9A6E-E788DDDC7D93}"= TCP:c:\program files\Sierra\FEAR\FEAR.exe:FEAR
"{07E4232C-7A56-4698-9186-22F7D17355E7}"= UDP:c:\program files\Sierra\FEAR\FEARMP.exe:FEAR
"{83FEFE00-7F99-4F45-A034-5FE505298AFB}"= TCP:c:\program files\Sierra\FEAR\FEARMP.exe:FEAR
"TCP Query User{724706AD-09FE-4032-9801-6C32F2293181}d:\\programme 2\\doom 3\\doom3ded.exe"= UDP:d:\programme 2\doom 3\doom3ded.exeOOM 3
"UDP Query User{08966DCC-4C48-4037-9592-03267CAA2EC8}d:\\programme 2\\doom 3\\doom3ded.exe"= TCP:d:\programme 2\doom 3\doom3ded.exeOOM 3
"TCP Query User{B1E6870F-AAE7-4FF1-B68C-075016976576}d:\\programme 2\\xfire\\xfire.exe"= UDP:d:\programme 2\xfire\xfire.exe:Xfire
"UDP Query User{34F082A0-F425-41DA-8A8C-BC87AB8364CB}d:\\programme 2\\xfire\\xfire.exe"= TCP:d:\programme 2\xfire\xfire.exe:Xfire
"TCP Query User{51AFA22C-4FFA-46D3-8213-1F7A802DBA0B}c:\\program files\\savage 2 - a tortured soul\\savage2.exe"= UDP:c:\program files\savage 2 - a tortured soul\savage2.exe:savage2
"UDP Query User{C04D9A2D-9E08-42A6-8B72-5B31E2B34ECF}c:\\program files\\savage 2 - a tortured soul\\savage2.exe"= TCP:c:\program files\savage 2 - a tortured soul\savage2.exe:savage2
"TCP Query User{3C8D0CC7-8412-4E9B-962B-C1FBE85C0DEA}d:\\programme 2\\xfire\\xfire.exe"= UDP:d:\programme 2\xfire\xfire.exe:Xfire
"UDP Query User{BDDBAD50-BC64-4B80-A440-8F9240815CCC}d:\\programme 2\\xfire\\xfire.exe"= TCP:d:\programme 2\xfire\xfire.exe:Xfire
"TCP Query User{8DACD63C-BDB5-42F6-8242-3E468C205C54}c:\\program files\\icq6.5\\icq.exe"= UDP:c:\program files\icq6.5\icq.exe:ICQ
"UDP Query User{4F0DCF49-43E5-42E3-AAF2-8FE24F759992}c:\\program files\\icq6.5\\icq.exe"= TCP:c:\program files\icq6.5\icq.exe:ICQ
"TCP Query User{42B7F61C-4EF1-4685-9E27-ADD5BB23A3BF}c:\\program files\\valve\\steam\\steamapps\\solced\\condition zero\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\condition zero\hl.exe:Half-Life Launcher
"UDP Query User{FE0D4CC6-585F-4AB3-940B-0A4CE7E6C4F5}c:\\program files\\valve\\steam\\steamapps\\solced\\condition zero\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\condition zero\hl.exe:Half-Life Launcher
"TCP Query User{B2734F68-0737-4172-8946-020CC368559C}c:\\program files\\valve\\steam\\steamapps\\solced\\counter-strike\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\counter-strike\hl.exe:Half-Life Launcher
"UDP Query User{745C66C0-68DF-44DB-917E-BFAECE148641}c:\\program files\\valve\\steam\\steamapps\\solced\\counter-strike\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\counter-strike\hl.exe:Half-Life Launcher
"TCP Query User{63778396-D537-4AA5-A0B0-9A9641766108}c:\\program files\\valve\\steam\\steamapps\\solced\\ricochet\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\ricochet\hl.exe:Half-Life Launcher
"UDP Query User{CDD320FB-830E-4224-82E1-AD85B6AA9C57}c:\\program files\\valve\\steam\\steamapps\\solced\\ricochet\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\ricochet\hl.exe:Half-Life Launcher
"{82C0497B-8927-4673-BCA2-AF7A7F25DF95}"= UDP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForever.exe:TrackMania Nations Forever
"{79230E82-B47C-44A6-923E-ADD9355520F4}"= TCP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForever.exe:TrackMania Nations Forever
"{084ED45A-DCD9-4B22-B7A6-6AC394063E6C}"= UDP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForeverLauncher.exe:TrackMania Nations Forever
"{0F195E34-DE6D-41B8-8621-FB7710AF34F5}"= TCP:c:\program files\Valve\Steam\SteamApps\common\trackmania nations forever\TmForeverLauncher.exe:TrackMania Nations Forever
"TCP Query User{0EC73DEC-EA6D-4F4A-A763-12E1D415D692}c:\\program files\\valve\\steam\\steamapps\\solced\\day of defeat\\hl.exe"= UDP:c:\program files\valve\steam\steamapps\solced\day of defeat\hl.exe:Half-Life Launcher
"UDP Query User{18D57237-8D16-401A-8429-FDEDB676BA2A}c:\\program files\\valve\\steam\\steamapps\\solced\\day of defeat\\hl.exe"= TCP:c:\program files\valve\steam\steamapps\solced\day of defeat\hl.exe:Half-Life Launcher

R0 CplIR;Embedded IR Driver;c:\windows\System32\drivers\CplIR.sys [06.03.2007 15:01 14848]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\System32\drivers\sfdrv01a.sys [05.07.2006 14:46 63352]
R2 SecureDZoneService;SecureDZone Helper Service;c:\program files\ArchiCrypt\Shredder 4\SecureDZoneService.exe [29.08.2007 19:58 531968]
R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [13.03.2008 20:08 24576]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe --> c:\program files\MAGIX\Common\Database\bin\fbserver.exe [?]
S3 TASCAM_US122144;TASCAM USB 2.0 Audio Device driver;c:\windows\System32\drivers\tascusb2.sys [22.02.2009 22:44 360448]
S3 TASCAM_US144_MIDI;TASCAM US-144 WDM MIDI Device;c:\windows\System32\drivers\tscusb2m.sys [22.02.2009 22:44 18944]
S3 TASCAM_US144_WDM;TASCAM US-144 WDM;c:\windows\System32\drivers\tscusb2a.sys [22.02.2009 22:44 33792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
rsmsvcs REG_MULTI_SZ ntmssvc
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\users\Solced\AppData\Roaming\Mozilla\Firefox\Profiles\s4l8g8q6.default\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 20:58
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System*]
"OOSAFEERASE03.00.00.01MSWINDOWS"="3A5C9F3ACA990BBFD2630D95ED5064A5930E8E3DD83014A8E0EAB938ACBBD15121DBB918F5093A47E48D604941FA852C63888973FD9A937DCB4 646633673C1905A5CE10D0F8D13164C39AF1A2168ADAD15ECAD0598931B137085FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9 E127BECC74CA6A0AC4980AC7933A2D97226D213B555A6171C11EC38DE3DC038D530D6EB3452E235B17676DADEE841ED34EFF840B2EFF8637757E74C26EB239FD90EB7DAF0D8E7CDF19706A 14B7D235135AA5ED6FBC550F7EBD9D6E8342C4FB974BE74C140B3F282DAC1E6227AF5DF1539E98F81A1B7C177EFC0580CF11B4772284261A38E51F21FA7E3F1F641EDBE07F824482B08BB0 ACEDA2A2F11EC265BF9878163E7393AEEB5C9CFD1BAE92A1A38E0B29BC0846C78AFB31C70552B63F042D7C63702919A0098E2390610B38EDF7D1154EB33E2886F12BA7C063CA488FD8394C 5EA635D4353DFCABA631B4FA411F1DE2D73F86172E6AE5F17AC2CC3F31239EC12E083D42A29690E529183E21C456F52413E8BB4336904489AF7106A244A214222CF5F26E6D853EA608BF58 9C5A69A277CAC6803F496D44E9C4C566BBC5CBF2C53C37670374904D5292125CE977356CFACF411670523A6FE11E4F1108610DA73669A4BC9FB7921F5D877C2B82C7ECB6F849E0C705753C 21DD54E5913ECC27E997F0765BA3A7918277B840A39402C695E1907E1A10305391D29E907A47F63F9CD288F53C11BEF99F70294B63D36F8DF2967DE2171C3A6DA29306E7A6972F7DF78CA0 FA0CDE91519AC4248882114F2A391CB2ADBCB763BBE1D70E6B4F81E1788B3B93564451937CE3D759345B704B96E0B09C3A50F1FD9BD0C56AD3EDF7D6C8DCDA7843401BDB6B754393CB5465 3073D3F46569A0E65AE763C3077201E31BA4E4AAE532CCD8F0992520FDF258775A3D10A0D63561113F8CCA433C9E926FD546FDDC8CB6CEC6C36634ADBED652AFD6DB0FA4DBFFBD1968A64F 4757CAEE1C9A3D575596E199355DEF48369A9CB4E28D623D6D615307F84CCA88DF2BE04ADA2222F2D238CD7E96EB0CF79662B2F8B52E63518E1DD1D3E1339478589928457B5E1E7594ECDD 68D7F73465C61DEEC6C7D373BE8096CF0A29CDFB3A47E4DD0A4D906367FE7AB431078FEEC0FD183666C4FF6462B49E55CBB9F6322E8F89888CD05C88E5B6076D27468C11BA9112DFE00926 6337386C21604C07C8D0404F255FC53F32D5A8B50BC37043BEC775CC3A18B35DD1C8985CFD5F1C5F535DB8E2DDED38569129E22AF3BC12582C1F75382B7EA47C664E9F2AD5BEA1AAD19896 D6DD6E57F9D7E7FC0600FF7C7C0BE5E7EFA34EA819F3046DB50E6CACC18025B56AD6D3C4818FB086700FBAC8D31CC13C40F8B4D3CFA688231813F5F8FBCF7D1653C5A"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(680)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infra.dll

- - - - - - - > 'Explorer.exe'(2472)
c:\program files\Protector Suite QL\farchns.dll
c:\program files\Protector Suite QL\infra.dll
c:\program files\Nokia\Nokia PC Suite 6\phonebrowser.dll
c:\program files\Nokia\Nokia PC Suite 6\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Protector Suite QL\upeksvr.exe
c:\program files\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\System32\dllhost.exe
c:\windows\System32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-23 21:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-23 19:07
ComboFix2.txt 2009-07-23 17:31

Vor Suchlauf: 13 Verzeichnis(se), 27.544.469.504 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 27.429.523.456 Bytes frei

326 --- E O F --- 2009-07-23 17:01

Das sieht doch schon viel freundlicher aus.

Teste, ob es noch Umleitungen bei Google gibt.

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.

3.) Aktiviere den Wächter von Avira.

4.) Start => Ausführen => combofix /u => OK

5.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

6.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas