Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.

sum.insanus · 24.07.2009, 13:02

Hallo liebe Community,
ich habe seit einiger Zeit Probleme mit dem besagten "recycler konnte nicht gefunden werden".
Ich kann nur noch über den Explorer auf meine Festplatte zugreifen und einige Dateien können nicht mehr aufgerufen werden.
Ich habe mich bereits in anderen Threads schlau gemacht und die Combofix Software nach dem Leitfaden auf bleepingcomputer. com durchgeführt.
Im Vorraus schon mal vielen Dank für die Hilfe.

Mit freundlichen Grüßen
sum.insanus

Hier die Log-File:

ComboFix 09-07-23.04 - User 24.07.2009 13:37.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.990.714 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\User\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\drivers\gxvxcappykridqolwevpjmibmqjcjesdvnsrf.sys
c:\windows\system32\drivers\gxvxcayuebitbcbiwynkdulvndpopqltpubih.sys
c:\windows\system32\drivers\gxvxcbmrfvrnkdvfnrdvayrinqhtdxwsxxybr.sys
c:\windows\system32\drivers\gxvxcbwmltarrvdhddrquwbivshkyuruhkexf.sys
c:\windows\system32\drivers\gxvxcpwbrnkcpxmuxtxuwbiqjdqlrlnsswulq.sys
c:\windows\system32\drivers\gxvxcqjniororuasdqppuqbbmuiynnqwwylvm.sys
c:\windows\system32\drivers\gxvxcrsfnopevxodmlrpfmqhtiqqaqjbpjvrt.sys
c:\windows\system32\drivers\gxvxcutunapjgmmupkrocbbjcxjvljkvbinkm.sys
c:\windows\system32\drivers\gxvxcwvbfhwmiqqaettavhpmnvxtuwylvdkmr.sys
c:\windows\system32\drivers\gxvxcxwsipjeynevxobrkdskkoylvrdlmpyxy.sys
c:\windows\system32\drivers\gxvxcxyodoynpykrxwcyuenxowrkdtqpveoaq.sys
c:\windows\system32\drivers\gxvxcypqfviqjwmtkdqoepappalqgixmycyes.sys
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcvapwrtevxbxboveybxachrxrhboomgpo.dll
E:\autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys

((((((((((((((((((((((( Dateien erstellt von 2009-06-24 bis 2009-07-24 ))))))))))))))))))))))))))))))
.

2009-07-24 11:15 . 2009-07-24 11:15 -------- d-----w- c:\programme\ICQ6Toolbar
2009-07-24 11:15 . 2009-07-24 11:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-07-24 11:14 . 2009-07-24 11:15 -------- d-----w- c:\programme\ICQ6.5
2009-07-24 08:35 . 2006-08-01 13:02 49152 ----a-w- c:\windows\system32\ChCfg.exe
2009-07-24 08:35 . 2009-07-24 08:35 -------- d-----w- c:\windows\system32\RTCOM
2009-07-24 08:35 . 2007-10-11 09:04 1826816 ----a-w- c:\windows\SkyTel.exe
2009-07-24 08:35 . 2007-07-26 16:06 1191936 ----a-w- c:\windows\RtlUpd.exe
2009-07-24 08:35 . 2006-07-21 14:14 86016 ----a-w- c:\windows\SoundMan.exe
2009-07-24 08:35 . 2007-10-16 16:38 4615168 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-07-24 08:35 . 2007-03-23 17:19 9715200 ----a-w- c:\windows\RTLCPL.exe
2009-07-24 08:35 . 2009-07-24 08:35 -------- d-----w- c:\programme\Realtek
2009-07-24 08:35 . 2007-10-16 16:30 16855552 ----a-w- c:\windows\RTHDCPL.exe
2009-07-24 08:35 . 2007-06-28 14:44 2165760 ----a-w- c:\windows\MicCal.exe
2009-07-24 08:35 . 2006-05-04 14:26 2808832 ----a-w- c:\windows\alcwzrd.exe
2009-07-24 08:35 . 2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe
2009-07-24 08:34 . 2009-07-24 08:34 315392 ----a-w- c:\windows\HideWin.exe
2009-07-24 08:34 . 2007-07-26 15:09 520192 ----a-w- c:\windows\RtlExUpd.dll
2009-07-24 08:34 . 2005-03-16 06:23 13696 ----a-r- c:\windows\system32\drivers\BIOS.sys
2009-07-21 15:20 . 2009-07-21 15:20 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Foxit
2009-07-21 15:20 . 2009-07-21 15:20 -------- d-----w- c:\programme\Foxit Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 08:35 . 2009-04-06 11:19 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-24 07:47 . 2009-04-07 10:53 -------- d-----w- c:\programme\Windows Media Connect 2
2009-07-21 19:04 . 2009-04-17 10:25 1 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-13 08:35 . 2009-04-08 18:36 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\ICQ
2009-06-16 14:36 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2008-04-14 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-14 18:33 . 2009-06-14 18:33 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer
2009-06-14 12:42 . 2009-06-14 12:42 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sony
2009-06-14 12:42 . 2009-06-14 12:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony
2009-06-14 12:40 . 2009-06-14 12:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Sony Shared
2009-06-14 12:40 . 2009-06-14 12:26 -------- d-----w- c:\programme\Sony
2009-06-14 12:37 . 2009-06-14 12:36 -------- d-----w- c:\programme\QuickTime
2009-06-14 12:36 . 2009-06-14 12:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-06-14 12:36 . 2009-06-14 12:36 -------- d-----w- c:\programme\Apple Software Update
2009-06-14 12:36 . 2009-06-14 12:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-06-14 12:35 . 2009-06-14 12:35 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sony Corporation
2009-06-14 12:33 . 2008-04-14 12:00 71590 ----a-w- c:\windows\system32\perfc007.dat
2009-06-14 12:33 . 2008-04-14 12:00 408628 ----a-w- c:\windows\system32\perfh007.dat
2009-06-13 11:04 . 2009-04-18 18:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-06-09 17:51 . 2009-06-09 17:51 -------- d-----w- c:\programme\Funkyplot
2009-06-03 19:09 . 2008-04-14 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-07 15:32 . 2008-04-14 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 19:43 . 2009-04-07 08:37 72640 ----a-w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-29 04:33 . 2008-04-14 12:00 672256 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:33 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-04-27 16:03 . 2009-04-07 08:36 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-04-27 16:03 . 2009-04-07 08:36 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-12-09 16:40 333192 ----a-w- c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-12-09 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-12-09 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-23 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-23 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ContentTransferWMDetector.exe"="c:\programme\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-07-23 1626112]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-10-16 16855552]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-10-11 1826816]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [24.07.2009 10:34 13696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.04.2009 10:36 108289]
R2 ASKService;ASKService;c:\programme\AskBarDis\bar\bin\AskService.exe [28.04.2009 22:01 464264]
R2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [28.04.2009 22:02 234888]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [24.07.2009 13:15 222968]
.
Inhalt des "geplante Tasks" Ordners

2009-06-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-24 13:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-07-24 13:44
ComboFix-quarantined-files.txt 2009-07-24 11:43

Vor Suchlauf: 7 Verzeichnis(se), 20.968.767.488 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 22.656.212.992 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

165 --- E O F --- 2009-07-21 21:09

kira · 24.07.2009, 19:59

Hallo sum.insanus

Da Du mindestens ein Rootkit/wikipedia.org auf deinem Rechner hast, wie auch immer:

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest (In den meisten Fällen ist eine vollständige Entfernung nicht oder nur teilweise möglich!):

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

6.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

7.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

sum.insanus · 25.07.2009, 17:45

Ich kann wieder ganz normal auf meine Festplatte zugreifen.
Reicht das ganze jetzt aus oder empfiehlst du trotzdem eine Formatierung?

kira · 26.07.2009, 00:16

wäre das ein sicherer Weg, aber es ist deine Entscheidung!
wenn Du weiter machen möchtest arbeite die schritte vollständig ab

sum.insanus · 28.07.2009, 20:54

Code:

ATTFilter



Hier die filelist.zip logfile:


----- Root ----------------------------- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\

28.07.2009  21:31                43 filelist.txt
28.07.2009  13:17     1.560.281.088 pagefile.sys
24.07.2009  13:44            11.390 ComboFix.txt
24.07.2009  13:32               281 boot.ini
24.07.2009  10:35               206 mylog.log
24.07.2009  10:35               518 RHDSetup.log
06.04.2009  12:02                 0 CONFIG.SYS
06.04.2009  12:02                 0 AUTOEXEC.BAT
06.04.2009  12:02                 0 IO.SYS
06.04.2009  12:02                 0 MSDOS.SYS
06.04.2009  11:58               211 Boot.bak
15 Datei(en)  1.560.860.413 Bytes
               0 Verzeichnis(se), 23.181.836.288 Bytes frei
 
----- Windows -------------------------- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\WINDOWS

28.07.2009  20:24               116 NeroDigital.ini
28.07.2009  20:19         1.090.249 WindowsUpdate.log
28.07.2009  13:35           134.773 wmsetup.log
28.07.2009  13:18                 0 0.log
28.07.2009  13:17             2.048 bootstat.dat
27.07.2009  19:44            32.564 SchedLgU.Txt
25.07.2009  03:02            10.312 KB939683.log
25.07.2009  03:02           454.742 setupapi.log
24.07.2009  23:07            68.047 spupdsvc.log
24.07.2009  21:55             8.536 KB959772.log
24.07.2009  21:55             7.658 KB954154.log
24.07.2009  21:55            10.814 KB936782.log
24.07.2009  13:42               227 system.ini
24.07.2009  10:34           315.392 HideWin.exe
24.07.2009  09:48             9.256 MSCompPackV1.log
24.07.2009  09:47            55.291 iis6.log
24.07.2009  09:47           130.198 comsetup.log
24.07.2009  09:47           141.055 tsoc.log
24.07.2009  09:47            20.037 ocmsn.log
24.07.2009  09:47            77.239 ntdtcsetup.log
24.07.2009  09:47             1.374 imsins.log
24.07.2009  09:47            38.649 wmp11.log
24.07.2009  09:47             7.567 wmsetup10.log
24.07.2009  09:47            18.175 msgsocm.log
24.07.2009  09:47           180.261 ocgen.log
24.07.2009  09:47           357.777 FaxSetup.log
24.07.2009  09:47            86.218 WMFDist11.log
24.07.2009  09:46            11.654 Wudf01000Inst.log
23.07.2009  22:51               582 win.ini
23.07.2009  22:48             9.814 wmp11Uninst.log
23.07.2009  22:48            13.489 updspapi.log
21.07.2009  23:09             1.374 imsins.BAK
21.07.2009  23:09             8.115 KB973346.log
21.07.2009  23:09            14.679 KB971633.log
21.07.2009  23:09            14.876 KB961371.log
13.07.2009  05:48           219.648 PEV.exe
04.07.2009  20:47                50 wiaservc.log
04.07.2009  20:47               216 wiadebug.log
19.06.2009  14:53             1.739 ie8_main.log
11.06.2009  16:17            14.761 KB961501.log
11.06.2009  16:17            15.795 KB969897.log
11.06.2009  16:17             7.694 KB969898.log
11.06.2009  16:17            12.491 KB970238.log
11.06.2009  16:16            12.164 KB968537.log
09.05.2009  02:08           162.074 ntbtlog.txt
26.04.2009  17:02           179.044 setupact.log
20.04.2009  12:56            31.232 NIRCMD.exe
15.04.2009  17:19            19.922 KB959426.log
15.04.2009  17:19            18.596 KB961373.log
15.04.2009  17:18            17.436 KB956572.log
15.04.2009  17:18            16.267 KB952004.log
15.04.2009  17:17            14.744 KB960803.log
15.04.2009  17:17            15.444 KB963027.log
15.04.2009  17:17             8.901 KB923561.log
07.04.2009  13:54             6.089 KB941569.log
07.04.2009  13:54             4.573 KB929399.log
07.04.2009  13:53            21.900 KB952069.log
07.04.2009  12:53           316.640 WMSysPr9.prx
07.04.2009  12:24                 0 nsreg.dat
07.04.2009  09:25             1.183 ie7_main.log
07.04.2009  09:06            13.237 KB952954.log
07.04.2009  09:06            26.976 KB955839.log
07.04.2009  09:06            14.621 KB951978.log
07.04.2009  09:06            13.283 KB950974.log
07.04.2009  09:06            12.480 KB951698.log
07.04.2009  09:06            12.799 KB967715.log
07.04.2009  09:06            12.079 KB958690.log
07.04.2009  09:06            11.311 KB954459.log
06.04.2009  18:00            10.076 KB951376-v2.log
06.04.2009  18:00            10.163 KB946648.log
06.04.2009  18:00            10.827 KB958215.log
06.04.2009  18:00            15.215 KB960225.log
06.04.2009  18:00             9.556 KB956841.log
06.04.2009  18:00             8.626 KB960714.log
06.04.2009  18:00            12.390 KB956802.log
06.04.2009  17:40            11.028 KB956803.log
06.04.2009  17:40             8.354 KB938464-v2.log
06.04.2009  17:40            10.954 KB950762.log
06.04.2009  17:40            11.019 KB957097.log
06.04.2009  17:40            10.424 KB960715.log
06.04.2009  17:40            10.947 KB958687.log
06.04.2009  17:40            10.549 KB952287.log
06.04.2009  17:40            10.324 KB950760.log
06.04.2009  17:40            10.529 KB951066.log
06.04.2009  17:39            15.939 KB951748.log
06.04.2009  17:31             7.432 KB954600.log
06.04.2009  17:31             7.743 KB958644.log
06.04.2009  17:31             7.512 KB955069.log
06.04.2009  17:24             8.978 KB898461.log
06.04.2009  17:24           812.184 setuplog.txt
06.04.2009  12:50                 0 Sti_Trace.log
06.04.2009  12:47             1.348 regopt.log
06.04.2009  12:45                 0 setuperr.log
06.04.2009  12:06               829 OEWABLog.txt
06.04.2009  12:05             8.192 REGLOCS.OLD
06.04.2009  12:02                 0 control.ini
06.04.2009  12:02             4.161 ODBCINST.INI
06.04.2009  12:01               749 WindowsShell.Manifest
06.04.2009  12:00                37 vbaddin.ini
06.04.2009  12:00                36 vb.ini
06.04.2009  12:00               130 DtcInstall.log
06.04.2009  12:00             1.023 sessmgr.setup.log
06.04.2009  11:58               200 cmsetacl.log
152 Datei(en)     46.587.301 Bytes
               0 Verzeichnis(se), 23.181.824.000 Bytes frei
 
----- System  --- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\WINDOWS\system


25 Datei(en)        929.787 Bytes
               0 Verzeichnis(se), 23.181.828.096 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\WINDOWS\system32

28.07.2009  16:23           401.920 CF15703.exe
24.07.2009  09:47            16.832 amcompat.tlb
24.07.2009  09:47            23.392 nscompat.tlb
24.07.2009  09:46            13.646 wpa.dbl
07.07.2009  17:10        24.539.592 MRT.exe
16.06.2009  16:36            81.920 fontsub.dll
16.06.2009  16:36           119.808 t2embed.dll
14.06.2009  14:33           395.200 perfh009.dat
14.06.2009  14:33            59.440 perfc009.dat
14.06.2009  14:33           408.628 perfh007.dat
14.06.2009  14:33            71.590 perfc007.dat
14.06.2009  14:33           836.088 PerfStringBackup.INI
11.06.2009  19:57           280.536 FNTCACHE.DAT
03.06.2009  21:09         1.296.896 quartz.dll
07.05.2009  17:32           348.160 localspl.dll
29.04.2009  06:33         3.089.920 mshtml.dll
29.04.2009  06:33           621.056 urlmon.dll
29.04.2009  06:33           672.256 wininet.dll
29.04.2009  06:33         1.499.136 shdocvw.dll
29.04.2009  06:33            81.920 ieencode.dll
29.04.2009  06:21           371.200 html.iec
19.04.2009  21:46         1.847.296 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll
07.04.2009  09:06           211.558 TZLog.log
06.04.2009  17:28           146.650 BuzzingBee.wav
06.04.2009  17:28           940.794 LoopyMusic.wav
06.04.2009  17:28           128.026 nvapps.xml
06.04.2009  17:23            13.646 wpa.bak
06.04.2009  12:58                 0 h323log.txt
06.04.2009  12:50             5.208 pid.PNF
06.04.2009  12:04               261 $winnt$.inf
06.04.2009  12:02             2.951 CONFIG.NT
06.04.2009  12:01               488 WindowsLogon.manifest
06.04.2009  12:01               488 logonui.exe.manifest
06.04.2009  12:01               749 nwc.cpl.manifest
06.04.2009  12:01               749 sapi.cpl.manifest
06.04.2009  12:01               749 cdplayer.exe.manifest
06.04.2009  12:01               749 ncpa.cpl.manifest
06.04.2009  12:01               749 wuaucpl.cpl.manifest
06.04.2009  12:00            21.740 emptyregdb.dat
21.03.2009  16:06         1.063.424 kernel32.dll
06.03.2009  16:19           286.720 pdh.dll
10.02.2009  19:03         2.068.352 ntkrnlpa.exe
09.02.2009  13:21         2.191.360 ntoskrnl.exe
09.02.2009  13:21           111.104 services.exe
09.02.2009  12:51           736.768 lsasrv.dll
09.02.2009  12:51           401.408 rpcss.dll
09.02.2009  12:51           678.400 advapi32.dll
09.02.2009  12:51           740.352 ntdll.dll
06.02.2009  12:39            35.328 sc.exe
03.02.2009  21:57            56.832 secur32.dll
1975 Datei(en)    456.212.496 Bytes
               0 Verzeichnis(se), 23.181.643.776 Bytes frei
 
----- Prefetch ------------------------- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\WINDOWS\Prefetch

28.07.2009  21:31            11.056 FIND.EXE-0EC32F1E.pf
28.07.2009  21:31            14.810 CMD.EXE-087B4001.pf
28.07.2009  21:29            33.842 AVWSC.EXE-24612965.pf
28.07.2009  21:25            14.604 NOTEPAD.EXE-336351A9.pf
28.07.2009  21:25            64.230 HIJACKTHIS.EXE-39024128.pf
28.07.2009  21:25            42.752 WMIPRVSE.EXE-28F301A9.pf
28.07.2009  20:26            76.728 QIP.EXE-122315D7.pf
28.07.2009  20:23            19.350 VERCLSID.EXE-3667BD89.pf
28.07.2009  20:19            56.108 AVCENTER.EXE-1D2DB8A2.pf
28.07.2009  20:19            86.180 FIREFOX.EXE-28BE8AE1.pf
28.07.2009  20:18            21.216 WUAUCLT.EXE-399A8E72.pf
28.07.2009  20:18            32.464 LOGONUI.EXE-0AF22957.pf
28.07.2009  20:18            15.458 RUNDLL32.EXE-1857459C.pf
28.07.2009  20:18            19.532 RUNDLL32.EXE-31610E45.pf
28.07.2009  17:33            58.190 UPDATE.EXE-3398FCD6.pf
28.07.2009  16:45            24.888 Y19SJTEM.EXE-04005CE7.pf
28.07.2009  16:43            55.134 CCLEANER.EXE-065E2F3F.pf
28.07.2009  16:40            18.340 CCSETUP222_SLIM.EXE-18A1E0FE.pf
28.07.2009  16:37            48.168 WINZIP32.EXE-335422C1.pf
28.07.2009  16:29            16.078 HJTINSTALL.EXE-17574AC2.pf
28.07.2009  16:24             7.784 PEV.CFEXE-29A7886F.pf
28.07.2009  16:24            12.164 CF15703.EXE-37AC696B.pf
28.07.2009  16:24             4.112 GREP.CFEXE-20443039.pf
28.07.2009  16:24             5.368 ATTRIB.CFEXE-07A4D3CF.pf
28.07.2009  16:24            11.278 ATTRIB.EXE-39EAFB02.pf
28.07.2009  16:24             4.130 SED.CFEXE-268D7E58.pf
28.07.2009  16:24             7.134 SWREG.EXE-3560BE42.pf
28.07.2009  16:24             8.594 NIRCMDC.CFEXE-049E77E5.pf
28.07.2009  16:24            18.434 PV.CFEXE-0E6F2701.pf
28.07.2009  16:24             8.640 NIRCMD.CFEXE-19FF4781.pf
28.07.2009  16:24             5.632 CHCP.COM-18156052.pf
28.07.2009  16:24            44.398 PEV.CFEXE-26A9D6BD.pf
28.07.2009  16:24            19.778 PV.CFEXE-23E4A9A0.pf
28.07.2009  16:24            11.298 NIRCMD.CFEXE-0E3F4BC2.pf
28.07.2009  16:24             5.104 SED.CFEXE-238FCCA6.pf
28.07.2009  16:24            26.122 CSCRIPT.EXE-1C26180C.pf
28.07.2009  16:23            11.778 CMD.EXECF-27E83661.pf
28.07.2009  16:23             4.454 GREP.CFEXE-273BC5E1.pf
28.07.2009  16:23             8.358 NIRCMDB.EXE-143CC1C1.pf
28.07.2009  16:23             8.352 PEV.EXE-2937A365.pf
28.07.2009  16:23            10.014 SWREG.EXE-0937BD77.pf
28.07.2009  16:23            22.402 N.PIF-1B75D06C.pf
28.07.2009  16:23            19.814 PV.EXE-06A2AC78.pf
28.07.2009  16:23            65.310 COMBOFIX.EXE-12D0BECD.pf
28.07.2009  16:23             4.946 GSAR.CFEXE-0E6FCB31.pf
28.07.2009  16:23             4.860 HIDEC.EXE-3B166DB3.pf
28.07.2009  16:23             8.346 SWXCACLS.CFEXE-33871FBE.pf
28.07.2009  16:23            16.262 RUNDLL32.EXE-1EE676D0.pf
28.07.2009  16:23            26.908 RUNONCE.EXE-2803F297.pf
28.07.2009  16:23            12.126 GRPCONV.EXE-111CD845.pf
28.07.2009  16:22            29.350 RUNDLL32.EXE-42259783.pf
28.07.2009  16:13            54.706 SOFFICE.BIN-1E52E616.pf
28.07.2009  16:13            10.068 SOFFICE.EXE-26427B3D.pf
28.07.2009  16:13            11.162 SWRITER.EXE-232617FC.pf
28.07.2009  13:34            44.690 SETUP_WM.EXE-19AC5A9B.pf
28.07.2009  13:34           100.634 WMPLAYER.EXE-09969332.pf
28.07.2009  13:32            56.646 DFRGNTFS.EXE-269967DF.pf
28.07.2009  13:32            16.580 DEFRAG.EXE-273F131E.pf
28.07.2009  13:32           318.224 Layout.ini
28.07.2009  13:19         1.039.400 NTOSBOOT-B00DFAAD.pf
27.07.2009  17:57            61.152 WMPLAYER.EXE-09969338.pf
27.07.2009  17:50           114.772 ICQ.EXE-15A4C655.pf
27.07.2009  17:33            58.408 AVNOTIFY.EXE-31D7686A.pf
27.07.2009  12:05            92.572 ICQ.EXE-09964922.pf
27.07.2009  12:05            25.538 MSMSGS.EXE-32066BA5.pf
27.07.2009  12:05            13.858 CTFMON.EXE-0E17969B.pf
27.07.2009  12:05            44.586 RTHDCPL.EXE-06918CFA.pf
27.07.2009  12:05            19.898 GROOVEMONITOR.EXE-27AC1EA0.pf
27.07.2009  12:05            39.222 IMAPI.EXE-0BF740A4.pf
27.07.2009  12:05            49.760 USERINIT.EXE-30B18140.pf
27.07.2009  12:05            96.940 EXPLORER.EXE-082F38A9.pf
27.07.2009  12:05            12.242 SKYTEL.EXE-12751D3A.pf
27.07.2009  12:05             6.486 NEROCHECK.EXE-092C6DFA.pf
27.07.2009  12:05             8.080 QTTASK.EXE-2D7EEF34.pf
27.07.2009  12:05            24.574 RUNDLL32.EXE-35A483DA.pf
27.07.2009  06:26            11.298 WAR3UNIN.EXE-378F646C.pf
27.07.2009  02:00            20.436 RUNDLL32.EXE-2A94BB85.pf
27.07.2009  02:00            20.162 RUNDLL32.EXE-2E5AF1D7.pf
27.07.2009  01:15            55.344 FROZEN THRONE.EXE-0ED0B3D3.pf
27.07.2009  01:15            54.530 WAR3.EXE-3858031C.pf
26.07.2009  21:39            15.428 GUARDGUI.EXE-147E0160.pf
26.07.2009  20:32           100.850 HELPSVC.EXE-2878DDA2.pf
26.07.2009  16:41            29.610 RUNDLL32.EXE-41D91FB4.pf
26.07.2009  16:40            13.832 CONTENTTRANSFERWMDETECTOR.EXE-10669E44.pf
26.07.2009  16:40            14.432 RUNDLL32.EXE-1218E1AC.pf
26.07.2009  16:40            10.796 READER_SL.EXE-2FAFE67A.pf
26.07.2009  16:40            26.822 RUNDLL32.EXE-1340EF7F.pf
26.07.2009  16:40            50.732 AVGNT.EXE-39CD89BF.pf
26.07.2009  16:39            22.502 RUNDLL32.EXE-415F88EC.pf
25.07.2009  17:38            25.190 RUNDLL32.EXE-426509DD.pf
25.07.2009  10:43            13.304 HELPER.EXE-0FA8EADB.pf
25.07.2009  10:43            47.032 DRWTSN32.EXE-2B4B52AC.pf
25.07.2009  10:43            61.692 DWWIN.EXE-30875ADC.pf
25.07.2009  10:42            11.516 UPDATER.EXE-0E756440.pf
25.07.2009  10:42            30.622 RUNDLL32.EXE-4B97E22F.pf
25.07.2009  10:42            15.372 ALG.EXE-0F138680.pf
25.07.2009  03:01            63.294 UPDATE.EXE-058DAEEF.pf
25.07.2009  01:12            16.556 SNDVOL32.EXE-383480B7.pf
25.07.2009  00:04            14.006 RUNDLL32.EXE-451FC2C0.pf
25.07.2009  00:03            33.498 REGSVR32.EXE-25EEFE2F.pf
24.07.2009  21:55            53.404 UNREGMP2.EXE-07CACB61.pf
24.07.2009  21:55            20.716 SPUPDSVC.EXE-21B36524.pf
24.07.2009  20:39            29.490 ICQUPDATER.EXE-1D42DB50.pf
23.07.2009  20:12            27.158 NWIZ.EXE-2D0F9FBC.pf
23.07.2009  19:35            15.682 WUDFHOST.EXE-215E7549.pf
23.07.2009  16:59            12.400 LOGON.SCR-151EFAEA.pf
             106 Datei(en)      4.440.282 Bytes
               0 Verzeichnis(se), 23.181.725.696 Bytes frei
 
----- Tasks ---------------------------- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\WINDOWS\tasks

28.07.2009  13:17                 6 SA.DAT
14.06.2009  14:36               276 AppleSoftwareUpdate.job
14.04.2008  14:00                65 desktop.ini
               3 Datei(en)            347 Bytes
               0 Verzeichnis(se), 23.181.725.696 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\WINDOWS\Temp

 
----- Temp ----------------------------- 
 Datenträger in Laufwerk C: ist XP
 Volumeseriennummer: A389-E0F9

 Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

28.07.2009  21:30                 0 etilqs_ugDGtv4yrk6lW9nXYgai
28.07.2009  21:18             4.762 pic13032.gif
28.07.2009  16:44             1.670 wmplog00.sqm
28.07.2009  16:37               549 filelist.zip
28.07.2009  14:02             4.762 pic27093.gif
28.07.2009  14:02             4.762 pic17481.gif
27.07.2009  17:30             4.762 pic29093.gif
27.07.2009  12:47             4.762 pic9579.gif
27.07.2009  01:12                 0 98u6C.tmp
26.07.2009  16:42             4.762 pic15564.gif
25.07.2009  18:58             4.762 pic30955.gif
25.07.2009  18:58             4.762 pic30371.gif
25.07.2009  13:57             4.762 pic10812.gif
25.07.2009  13:57             4.762 pic3705.gif
25.07.2009  11:14           130.775 090721_[NE]go)yange_VS_[ORC]Mouz.Fly_TwistedMeadows_RN.w3g
25.07.2009  11:03           180.556 090725_[ORC]EG.Grubby_VS_[NE]WemadeFOX_Moon_TerenasStand_RN.w3g
25.07.2009  10:46           250.312 090725_[ORC]nGize.LucifroN7_VS_[NE]WemadeFOX_Moon_TurtleRock_RN.w3g
25.07.2009  04:54           198.911 090627_[HM]mouz_th000_VS_[UD]ReiGn_1_TwistedMeadows_RN.w3g
25.07.2009  04:34           488.206 090703_[UD]GER.Hasu+[NE]Ger.hanf_VS_[NE]CaptainTReSH.UA+[NE]ua.hothot_LostTemple_RN.w3g
25.07.2009  03:31           178.989 090711_[UD]we09px__VS_[HM]Dhc.Dhc_TH000_EchoIsles_RN_2.w3g
25.07.2009  03:30           209.327 090713_[HM]GaB.Myth_VS_[HM]we.pepsi.sky_TwistedMeadows_RN.w3g
25.07.2009  03:27           129.198 090721_[NE]A.one)Townhall_VS_[ORC]Mouz.Fly_TwistedMeadows_RN.w3g
25.07.2009  03:07           340.023 090724_[NE]Wicked.Shy_VS_[HM]mouz_th000_EchoIsles_RN.w3g
25.07.2009  00:03             4.592 SIntfIcn.ani
25.07.2009  00:03            24.516 SIntfNT.dll
25.07.2009  00:03            19.924 SIntf32.dll
25.07.2009  00:03            12.067 SIntf16.dll
25.07.2009  00:03            36.864 CmdLineExt02.dll
24.07.2009  20:36             4.762 pic22250.gif
24.07.2009  20:35            22.263 Turkish.bin
24.07.2009  20:35            21.975 Norwegian.bin
24.07.2009  20:35            26.094 Hungarian.bin
24.07.2009  20:35            19.564 Hebrew.bin
24.07.2009  20:35            22.868 Finnish.bin
24.07.2009  20:35            24.321 Czech.bin
24.07.2009  20:35            25.082 Portuguese(Brazil).bin
24.07.2009  20:35            24.232 Polish.bin
24.07.2009  20:35            25.093 Greek.bin
24.07.2009  20:35            21.987 Thai.bin
24.07.2009  20:35            20.991 Arabic.bin
24.07.2009  20:35            16.420 SimChin.bin
24.07.2009  20:35            21.944 English.bin
24.07.2009  20:35            26.271 Portuguese.bin
24.07.2009  20:35            24.093 SWEDISH.bin
24.07.2009  20:35            27.764 Spanish.bin
24.07.2009  20:35            26.136 Russian.bin
24.07.2009  20:35            27.421 Italian.bin
24.07.2009  20:35            25.764 German.bin
24.07.2009  20:35            27.245 French.bin
24.07.2009  20:35            16.962 TradChin.bin
24.07.2009  20:35            25.758 Dutch.bin
24.07.2009  20:34            22.794 Danish.bin
24.07.2009  20:34            20.145 Korean.bin
24.07.2009  20:34            24.310 Japanese.bin
24.07.2009  14:10             4.762 pic15460.gif
24.07.2009  13:45             5.521 BtnConfig.ini
24.07.2009  13:44            11.390 log.txt
              57 Datei(en)      2.868.031 Bytes
               0 Verzeichnis(se), 23.181.721.600 Bytes frei

sum.insanus · 28.07.2009, 20:55

Hier die highjackthis logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:37, on 28.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\AskBarDis\bar\bin\AskService.exe
C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
E:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Desktop\y19sjtem.exe
E:\Programme\QIP\qip.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{215A9310-6E06-4363-9EC7-8B3EF75F0697}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5947 bytes

Das sind meine Dateien:

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.2 - Deutsch
Apple Software Update
Audacity 1.2.6
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Content Transfer
DivX Web Player
Foxit Reader
Free YouTube to Mp3 Converter version 3.1
Funkyplot 1.1.0-pre1
HijackThis 2.0.2
ICQ Toolbar
ICQ6.5
Media Manager for WALKMAN 1.2
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Enterprise 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.12)
MSN
Nero Suite
NVIDIA Drivers
OpenOffice.org 3.0
QuickTime
Realtek High Definition Audio Driver
Uninstall 1.0.0.1
VLC media player 0.9.9
Vuze Toolbar
Windows Media Format 11 runtime

Code:

ATTFilter



Und hier der logfile von Rootrepeal:


ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/07/28 21:45
Program Version:		Version 1.3.3.0
Windows Version:		Windows XP SP3
==================================================

Drivers
-------------------
Name: ACPI.sys
Image Path: ACPI.sys
Address: 0xF7357000	Size: 188800	File Visible: -	Signed: -
Status: -

Name: ACPI_HAL
Image Path: \Driver\ACPI_HAL
Address: 0x804D7000	Size: 2068352	File Visible: -	Signed: -
Status: -

Name: afd.sys
Image Path: C:\WINDOWS\System32\drivers\afd.sys
Address: 0xF35B7000	Size: 138496	File Visible: -	Signed: -
Status: -

Name: atapi.sys
Image Path: atapi.sys
Address: 0xF730F000	Size: 96512	File Visible: -	Signed: -
Status: -

Name: audstub.sys
Image Path: C:\WINDOWS\system32\DRIVERS\audstub.sys
Address: 0xF7BA0000	Size: 3072	File Visible: -	Signed: -
Status: -

Name: avgio.sys
Image Path: C:\Programme\Avira\AntiVir Desktop\avgio.sys
Address: 0xF79D9000	Size: 6144	File Visible: -	Signed: -
Status: -

Name: avgntflt.sys
Image Path: C:\WINDOWS\system32\DRIVERS\avgntflt.sys
Address: 0xBAED4000	Size: 81920	File Visible: -	Signed: -
Status: -

Name: avipbb.sys
Image Path: C:\WINDOWS\system32\DRIVERS\avipbb.sys
Address: 0xF34B2000	Size: 114688	File Visible: -	Signed: -
Status: -

Name: Beep.SYS
Image Path: C:\WINDOWS\System32\Drivers\Beep.SYS
Address: 0xF79CF000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: BIOS.sys
Image Path: C:\WINDOWS\system32\drivers\BIOS.sys
Address: 0xF3C2F000	Size: 13696	File Visible: -	Signed: -
Status: -

Name: BOOTVID.dll
Image Path: C:\WINDOWS\system32\BOOTVID.dll
Address: 0xF7897000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: Cdfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Address: 0xF3CDF000	Size: 63744	File Visible: -	Signed: -
Status: -

Name: cdrom.sys
Image Path: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Address: 0xF75F7000	Size: 62976	File Visible: -	Signed: -
Status: -

Name: CLASSPNP.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Address: 0xF74C7000	Size: 53248	File Visible: -	Signed: -
Status: -

Name: disk.sys
Image Path: disk.sys
Address: 0xF74B7000	Size: 36352	File Visible: -	Signed: -
Status: -

Name: drmk.sys
Image Path: C:\WINDOWS\system32\drivers\drmk.sys
Address: 0xF7517000	Size: 61440	File Visible: -	Signed: -
Status: -

Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF3472000	Size: 98304	File Visible: No	Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79DB000	Size: 8192	File Visible: No	Signed: -
Status: -

Name: Dxapi.sys
Image Path: C:\WINDOWS\System32\drivers\Dxapi.sys
Address: 0xF36D2000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: dxg.sys
Image Path: C:\WINDOWS\System32\drivers\dxg.sys
Address: 0xBF9C3000	Size: 73728	File Visible: -	Signed: -
Status: -

Name: dxgthk.sys
Image Path: C:\WINDOWS\System32\drivers\dxgthk.sys
Address: 0xF7A52000	Size: 4096	File Visible: -	Signed: -
Status: -

Name: fdc.sys
Image Path: C:\WINDOWS\system32\DRIVERS\fdc.sys
Address: 0xF7797000	Size: 27392	File Visible: -	Signed: -
Status: -

Name: Fips.SYS
Image Path: C:\WINDOWS\System32\Drivers\Fips.SYS
Address: 0xF7577000	Size: 44672	File Visible: -	Signed: -
Status: -

Name: flpydisk.sys
Image Path: C:\WINDOWS\system32\DRIVERS\flpydisk.sys
Address: 0xF77DF000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: fltMgr.sys
Image Path: fltMgr.sys
Address: 0xF72EF000	Size: 129792	File Visible: -	Signed: -
Status: -

Name: Fs_Rec.SYS
Image Path: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Address: 0xF79CD000	Size: 7936	File Visible: -	Signed: -
Status: -

Name: ftdisk.sys
Image Path: ftdisk.sys
Address: 0xF7327000	Size: 126336	File Visible: -	Signed: -
Status: -

Name: hal.dll
Image Path: C:\WINDOWS\system32\hal.dll
Address: 0x806D0000	Size: 131840	File Visible: -	Signed: -
Status: -

Name: HDAudBus.sys
Image Path: C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
Address: 0xF6AB5000	Size: 163840	File Visible: -	Signed: -
Status: -

Name: HIDCLASS.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS
Address: 0xF7667000	Size: 36864	File Visible: -	Signed: -
Status: -

Name: HIDPARSE.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Address: 0xF784F000	Size: 28672	File Visible: -	Signed: -
Status: -

Name: hidusb.sys
Image Path: C:\WINDOWS\system32\DRIVERS\hidusb.sys
Address: 0xF36F6000	Size: 10368	File Visible: -	Signed: -
Status: -

Name: HTTP.sys
Image Path: C:\WINDOWS\System32\Drivers\HTTP.sys
Address: 0xBA631000	Size: 264832	File Visible: -	Signed: -
Status: -

Name: i8042prt.sys
Image Path: C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Address: 0xF75D7000	Size: 52992	File Visible: -	Signed: -
Status: -

Name: imapi.sys
Image Path: C:\WINDOWS\system32\DRIVERS\imapi.sys
Address: 0xF75E7000	Size: 42112	File Visible: -	Signed: -
Status: -

Name: ipnat.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Address: 0xF34CE000	Size: 152832	File Visible: -	Signed: -
Status: -

Name: ipsec.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Address: 0xF365A000	Size: 75264	File Visible: -	Signed: -
Status: -

Name: isapnp.sys
Image Path: isapnp.sys
Address: 0xF7487000	Size: 37632	File Visible: -	Signed: -
Status: -

Name: kbdclass.sys
Image Path: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Address: 0xF779F000	Size: 25216	File Visible: -	Signed: -
Status: -

Name: KDCOM.DLL
Image Path: C:\WINDOWS\system32\KDCOM.DLL
Address: 0xF7987000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: kmixer.sys
Image Path: C:\WINDOWS\system32\drivers\kmixer.sys
Address: 0xB94E7000	Size: 172416	File Visible: -	Signed: -
Status: -

Name: ks.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ks.sys
Address: 0xF6ADD000	Size: 143360	File Visible: -	Signed: -
Status: -

Name: KSecDD.sys
Image Path: KSecDD.sys
Address: 0xF72C6000	Size: 92288	File Visible: -	Signed: -
Status: -

Name: mnmdd.SYS
Image Path: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Address: 0xF79D1000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: mouclass.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Address: 0xF77CF000	Size: 23552	File Visible: -	Signed: -
Status: -

Name: mouhid.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mouhid.sys
Address: 0xF36F2000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: MountMgr.sys
Image Path: MountMgr.sys
Address: 0xF7497000	Size: 42368	File Visible: -	Signed: -
Status: -

Name: mrxdav.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Address: 0xBAC27000	Size: 180608	File Visible: -	Signed: -
Status: -

Name: mrxsmb.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Address: 0xF34F4000	Size: 455296	File Visible: -	Signed: -
Status: -

Name: Msfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Msfs.SYS
Address: 0xF7837000	Size: 19072	File Visible: -	Signed: -
Status: -

Name: msgpc.sys
Image Path: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Address: 0xF7657000	Size: 35072	File Visible: -	Signed: -
Status: -

Name: mssmbios.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Address: 0xF7963000	Size: 15488	File Visible: -	Signed: -
Status: -

Name: Mup.sys
Image Path: Mup.sys
Address: 0xF71DF000	Size: 105344	File Visible: -	Signed: -
Status: -

Name: NDIS.sys
Image Path: NDIS.sys
Address: 0xF71F9000	Size: 182656	File Visible: -	Signed: -
Status: -

Name: ndistapi.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Address: 0xF7953000	Size: 10112	File Visible: -	Signed: -
Status: -

Name: ndisuio.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Address: 0xBAE94000	Size: 14592	File Visible: -	Signed: -
Status: -

Name: ndiswan.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Address: 0xF62DE000	Size: 91520	File Visible: -	Signed: -
Status: -

Name: NDProxy.SYS
Image Path: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Address: 0xF7697000	Size: 40576	File Visible: -	Signed: -
Status: -

Name: netbios.sys
Image Path: C:\WINDOWS\system32\DRIVERS\netbios.sys
Address: 0xF7567000	Size: 34688	File Visible: -	Signed: -
Status: -

Name: netbt.sys
Image Path: C:\WINDOWS\system32\DRIVERS\netbt.sys
Address: 0xF35D9000	Size: 162816	File Visible: -	Signed: -
Status: -

Name: Npfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Npfs.SYS
Address: 0xF783F000	Size: 30848	File Visible: -	Signed: -
Status: -

Name: Ntfs.sys
Image Path: Ntfs.sys
Address: 0xF7226000	Size: 574976	File Visible: -	Signed: -
Status: -

Name: ntkrnlpa.exe
Image Path: C:\WINDOWS\system32\ntkrnlpa.exe
Address: 0x804D7000	Size: 2068352	File Visible: -	Signed: -
Status: -

Name: Null.SYS
Image Path: C:\WINDOWS\System32\Drivers\Null.SYS
Address: 0xF7B10000	Size: 2944	File Visible: -	Signed: -
Status: -

Name: nv4_disp.dll
Image Path: C:\WINDOWS\System32\nv4_disp.dll
Address: 0xBF9D5000	Size: 5693440	File Visible: -	Signed: -
Status: -

Name: nv4_mini.sys
Image Path: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
Address: 0xF634E000	Size: 6807424	File Visible: -	Signed: -
Status: -

Name: NVENETFD.sys
Image Path: C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
Address: 0xF76B7000	Size: 54400	File Visible: -	Signed: -
Status: -

Name: nvnetbus.sys
Image Path: C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
Address: 0xF7617000	Size: 40960	File Visible: -	Signed: -
Status: -

Name: NVNRM.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\NVNRM.SYS
Address: 0xF69CC000	Size: 954368	File Visible: -	Signed: -
Status: -

Name: parport.sys
Image Path: C:\WINDOWS\system32\DRIVERS\parport.sys
Address: 0xF6B24000	Size: 80384	File Visible: -	Signed: -
Status: -

Name: PartMgr.sys
Image Path: PartMgr.sys
Address: 0xF770F000	Size: 19712	File Visible: -	Signed: -
Status: -

Name: ParVdm.SYS
Image Path: C:\WINDOWS\System32\Drivers\ParVdm.SYS
Address: 0xF79AD000	Size: 7040	File Visible: -	Signed: -
Status: -

Name: pci.sys
Image Path: pci.sys
Address: 0xF7346000	Size: 68224	File Visible: -	Signed: -
Status: -

Name: pciide.sys
Image Path: pciide.sys
Address: 0xF7A4F000	Size: 3328	File Visible: -	Signed: -
Status: -

Name: PCIIDEX.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Address: 0xF7707000	Size: 28672	File Visible: -	Signed: -
Status: -

Name: PnpManager
Image Path: \Driver\PnpManager
Address: 0x804D7000	Size: 2068352	File Visible: -	Signed: -
Status: -

Name: portcls.sys
Image Path: C:\WINDOWS\system32\drivers\portcls.sys
Address: 0xF373F000	Size: 147456	File Visible: -	Signed: -
Status: -

Name: processr.sys
Image Path: C:\WINDOWS\system32\DRIVERS\processr.sys
Address: 0xF75B7000	Size: 39936	File Visible: -	Signed: -
Status: -

Name: psched.sys
Image Path: C:\WINDOWS\system32\DRIVERS\psched.sys
Address: 0xF62CD000	Size: 69120	File Visible: -	Signed: -
Status: -

Name: ptilink.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Address: 0xF77BF000	Size: 17792	File Visible: -	Signed: -
Status: -

Name: rasacd.sys
Image Path: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Address: 0xF793F000	Size: 8832	File Visible: -	Signed: -
Status: -

Name: rasl2tp.sys
Image Path: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Address: 0xF7627000	Size: 51328	File Visible: -	Signed: -
Status: -

Name: raspppoe.sys
Image Path: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Address: 0xF7637000	Size: 41472	File Visible: -	Signed: -
Status: -

Name: raspptp.sys
Image Path: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Address: 0xF7647000	Size: 48384	File Visible: -	Signed: -
Status: -

Name: raspti.sys
Image Path: C:\WINDOWS\system32\DRIVERS\raspti.sys
Address: 0xF77C7000	Size: 16512	File Visible: -	Signed: -
Status: -

Name: RAW
Image Path: \FileSystem\RAW
Address: 0x804D7000	Size: 2068352	File Visible: -	Signed: -
Status: -

Name: rdbss.sys
Image Path: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Address: 0xF358C000	Size: 175744	File Visible: -	Signed: -
Status: -

Name: RDPCDD.sys
Image Path: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Address: 0xF79D3000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: redbook.sys
Image Path: C:\WINDOWS\system32\DRIVERS\redbook.sys
Address: 0xF7607000	Size: 57728	File Visible: -	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xBA2E6000	Size: 49152	File Visible: No	Signed: -
Status: -

Name: RtkHDAud.sys
Image Path: C:\WINDOWS\system32\drivers\RtkHDAud.sys
Address: 0xF3763000	Size: 4792320	File Visible: -	Signed: -
Status: -

Name: serenum.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serenum.sys
Address: 0xF7947000	Size: 15744	File Visible: -	Signed: -
Status: -

Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF75C7000	Size: 65536	File Visible: -	Signed: -
Status: -

Name: sr.sys
Image Path: sr.sys
Address: 0xF72DD000	Size: 73472	File Visible: -	Signed: -
Status: -

Name: srv.sys
Image Path: C:\WINDOWS\system32\DRIVERS\srv.sys
Address: 0xBAABD000	Size: 333952	File Visible: -	Signed: -
Status: -

Name: ssmdrv.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
Address: 0xF7847000	Size: 23040	File Visible: -	Signed: -
Status: -

Name: swenum.sys
Image Path: C:\WINDOWS\system32\DRIVERS\swenum.sys
Address: 0xF799D000	Size: 4352	File Visible: -	Signed: -
Status: -

Name: sysaudio.sys
Image Path: C:\WINDOWS\system32\drivers\sysaudio.sys
Address: 0xBAC9C000	Size: 60800	File Visible: -	Signed: -
Status: -

Name: tcpip.sys
Image Path: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Address: 0xF3601000	Size: 361600	File Visible: -	Signed: -
Status: -

Name: TDI.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\TDI.SYS
Address: 0xF77B7000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: termdd.sys
Image Path: C:\WINDOWS\system32\DRIVERS\termdd.sys
Address: 0xF7687000	Size: 40704	File Visible: -	Signed: -
Status: -

Name: update.sys
Image Path: C:\WINDOWS\system32\DRIVERS\update.sys
Address: 0xF626F000	Size: 384768	File Visible: -	Signed: -
Status: -

Name: USBD.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Address: 0xF799F000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: usbehci.sys
Image Path: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Address: 0xF77AF000	Size: 30208	File Visible: -	Signed: -
Status: -

Name: usbhub.sys
Image Path: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Address: 0xF76D7000	Size: 59520	File Visible: -	Signed: -
Status: -

Name: usbohci.sys
Image Path: C:\WINDOWS\system32\DRIVERS\usbohci.sys
Address: 0xF77A7000	Size: 17152	File Visible: -	Signed: -
Status: -

Name: USBPORT.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Address: 0xF6B00000	Size: 147456	File Visible: -	Signed: -
Status: -

Name: vga.sys
Image Path: C:\WINDOWS\System32\drivers\vga.sys
Address: 0xF782F000	Size: 20992	File Visible: -	Signed: -
Status: -

Name: VIDEOPRT.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Address: 0xF633A000	Size: 81920	File Visible: -	Signed: -
Status: -

Name: VolSnap.sys
Image Path: VolSnap.sys
Address: 0xF74A7000	Size: 53760	File Visible: -	Signed: -
Status: -

Name: wanarp.sys
Image Path: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Address: 0xF7587000	Size: 34560	File Visible: -	Signed: -
Status: -

Name: watchdog.sys
Image Path: C:\WINDOWS\System32\watchdog.sys
Address: 0xF7857000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: wdmaud.sys
Image Path: C:\WINDOWS\system32\drivers\wdmaud.sys
Address: 0xBA850000	Size: 83072	File Visible: -	Signed: -
Status: -

Name: wdyafakj.sys
Image Path: C:\DOKUME~1\User\LOKALE~1\Temp\wdyafakj.sys
Address: 0xB9812000	Size: 81664	File Visible: No	Signed: -
Status: -

Name: Win32k
Image Path: \Driver\Win32k
Address: 0xBF800000	Size: 1847296	File Visible: -	Signed: -
Status: -

Name: win32k.sys
Image Path: C:\WINDOWS\System32\win32k.sys
Address: 0xBF800000	Size: 1847296	File Visible: -	Signed: -
Status: -

Name: wmiacpi.sys
Image Path: C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
Address: 0xF794F000	Size: 8832	File Visible: -	Signed: -
Status: -

Name: WMILIB.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\WMILIB.SYS
Address: 0xF7989000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: WMIxWDM
Image Path: \Driver\WMIxWDM
Address: 0x804D7000	Size: 2068352	File Visible: -	Signed: -
Status: -

Name: WudfPf.sys
Image Path: WudfPf.sys
Address: 0xF72B3000	Size: 77568	File Visible: -	Signed: -
Status: -

Ich habe grade auf C:\ Einen Order Namens Recylcer endeckt, der jedoch nicht zu löschen ist.
Und eine Frage noch zum Gmer: Wo ist die Zwischenablage??

Vielen Dank schon mal für alle Coverflow!

kira · 29.07.2009, 11:52

hi

- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen

1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`

Code:

ATTFilter

Vuze Toolbar

2.
- Alt + Strg + Entf drücken Taskmanager wird geöffnet
- beende folgende Prozess/e im Taskmanager:

Code:

ATTFilter

AskService.exe
ASKUpgrade.exe

3.
Start → Ausführen→ (schreibe rein) Services.msc -->OK
"Eigenschaften"→ "Stop" → Starttyp "deaktiviert" auswählen:

Code:

ATTFilter

 ASKService

- starte neu

4.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):

Zitat:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

5.
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

6.
→ besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:

Code:

ATTFilter

C:\Dokumente und Einstellungen\User\Desktop\y19sjtem.exe

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

sum.insanus · 30.07.2009, 14:38

So hier nochmal die
gmr file:

Code:

ATTFilter


GMER 1.0.15.15011 [zkjqgwiv.exe] - http://www.gmer.net
Rootkit scan 2009-07-30 15:18:35
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  F7A8517E                                                                                         ZwCreateKey
SSDT  F7A85174                                                                                         ZwCreateThread
SSDT  F7A85183                                                                                         ZwDeleteKey
SSDT  F7A8518D                                                                                         ZwDeleteValueKey
SSDT  F7A85192                                                                                         ZwLoadKey
SSDT  F7A85160                                                                                         ZwOpenProcess
SSDT  F7A85165                                                                                         ZwOpenThread
SSDT  F7A8519C                                                                                         ZwReplaceKey
SSDT  F7A85197                                                                                         ZwRestoreKey
SSDT  F7A85188                                                                                         ZwSetValueKey
SSDT  F7A8516F                                                                                         ZwTerminateProcess

---- Registry - GMER 1.0.15 ----

Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd6011fe                      
Reg   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd6011fe@0017d581bec1         0x24 0xD0 0x84 0x38 ...
Reg   HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd6011fe (not active ControlSet)  
Reg   HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd6011fe@0017d581bec1             0x24 0xD0 0x84 0x38 ...
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout               15
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                  10000
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                yes
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                               
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout               90
Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                 10000

---- EOF - GMER 1.0.15 ----

Und hier die Auswertung von VirusTotal:

Code:

ATTFilter


Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.07.30	-
AhnLab-V3	5.0.0.2	2009.07.30	-
AntiVir	7.9.0.234	2009.07.30	-
Antiy-AVL	2.0.3.7	2009.07.30	-
Authentium	5.1.2.4	2009.07.30	-
Avast	4.8.1335.0	2009.07.29	-
AVG	8.5.0.387	2009.07.30	-
BitDefender	7.2	2009.07.30	-
CAT-QuickHeal	10.00	2009.07.30	-
ClamAV	0.94.1	2009.07.30	-
Comodo	1813	2009.07.30	-
DrWeb	5.0.0.12182	2009.07.30	-
eSafe	7.0.17.0	2009.07.29	Suspicious File
eTrust-Vet	31.6.6647	2009.07.30	-
F-Prot	4.4.4.56	2009.07.30	-
F-Secure	8.0.14470.0	2009.07.30	-
Fortinet	3.120.0.0	2009.07.30	-
GData	19	2009.07.30	-
Ikarus	T3.1.1.64.0	2009.07.30	-
Jiangmin	11.0.800	2009.07.30	-
K7AntiVirus	7.10.805	2009.07.29	-
Kaspersky	7.0.0.125	2009.07.30	-
McAfee	5692	2009.07.29	-
McAfee+Artemis	5692	2009.07.29	-
McAfee-GW-Edition	6.8.5	2009.07.30	-
Microsoft	1.4903	2009.07.30	-
NOD32	4290	2009.07.30	-
Norman	6.01.09	2009.07.29	-
nProtect	2009.1.8.0	2009.07.30	-
PCTools	4.4.2.0	2009.07.29	-
Prevx	3.0	2009.07.30	-
Rising	21.40.34.00	2009.07.30	-
Sophos	4.44.0	2009.07.30	-
Sunbelt	3.2.1858.2	2009.07.29	-
TheHacker	6.3.4.3.378	2009.07.30	-
TrendMicro	8.950.0.1094	2009.07.30	-
VBA32	3.12.10.9	2009.07.30	-
ViRobot	2009.7.30.1861	2009.07.30	-
VirusBuster	4.6.5.0	2009.07.29	-
weitere Informationen
File size: 287232 bytes
MD5...: 6e1f81ada8e5f604b9eda64fd527edd8
SHA1..: 27e261803fd000bb664bd07fde88ff964c9dd975
SHA256: a6598db42305dc319da36449a1815ea998ef37c0a886d05b37e7dfa9c89cb9a5
ssdeep: 6144:ywfGbK24VzDlvyBnJgYoWizw58bfhOl7eY1yiCJLiH+KK:X2UoBKZPw5oa1
yBBieKK
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb06d0
timedatestamp.....: 0x4a7164f5 (Thu Jul 30 09:16:37 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6c000 0x45000 0x44a00 7.93 6de58ecc12bd55b0ce6fc59354679385
.rsrc 0xb1000 0x2000 0x1400 3.38 cacc80002a9c5fb03f1da22f68115cd6

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch
packers (F-Prot): UPX

kira · 30.07.2009, 15:02

Ich möchte, dass die Ergebnisse die Dateiname auch beinhaltet!
Beispiel - das zu postende logfile von virustotal soll so wie hier aussehen :

Code:

ATTFilter

Datei y19sjtem.exe  empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-
Avast	4.8.1281.0	2009.01.27	-
AVG	8.0.0.229	2009.01.28	-

also bitte die Dateiüberprüfung wiederholen!

sum.insanus · 30.07.2009, 16:50

Ich bitte vielmals um Entschuldigung für meine Dämlichkeiten

Code:

ATTFilter


Datei zkjqgwiv.exe empfangen 2009.07.30 15:49:41 (UTC)

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.07.30	-
AhnLab-V3	5.0.0.2	2009.07.30	-
AntiVir	7.9.0.236	2009.07.30	-
Antiy-AVL	2.0.3.7	2009.07.30	-
Authentium	5.1.2.4	2009.07.30	-
Avast	4.8.1335.0	2009.07.29	-
AVG	8.5.0.387	2009.07.30	-
BitDefender	7.2	2009.07.30	-
CAT-QuickHeal	10.00	2009.07.30	-
ClamAV	0.94.1	2009.07.30	-
Comodo	1813	2009.07.30	-
DrWeb	5.0.0.12182	2009.07.30	-
eSafe	7.0.17.0	2009.07.30	Suspicious File
eTrust-Vet	31.6.6647	2009.07.30	-
F-Prot	4.4.4.56	2009.07.30	-
F-Secure	8.0.14470.0	2009.07.30	-
Fortinet	3.120.0.0	2009.07.30	-
GData	19	2009.07.30	-
Ikarus	T3.1.1.64.0	2009.07.30	-
Jiangmin	11.0.800	2009.07.30	-
K7AntiVirus	7.10.806	2009.07.30	-
Kaspersky	7.0.0.125	2009.07.30	-
McAfee	5692	2009.07.29	-
McAfee+Artemis	5692	2009.07.29	-
McAfee-GW-Edition	6.8.5	2009.07.30	-
Microsoft	1.4903	2009.07.30	-
NOD32	4291	2009.07.30	-
Norman	6.01.09	2009.07.30	-
nProtect	2009.1.8.0	2009.07.30	-
PCTools	4.4.2.0	2009.07.29	-
Prevx	3.0	2009.07.30	-
Rising	21.40.34.00	2009.07.30	-
Sophos	4.44.0	2009.07.30	-
Sunbelt	3.2.1858.2	2009.07.29	-
Symantec	1.4.4.12	2009.07.30	-
TheHacker	6.3.4.3.378	2009.07.30	-
TrendMicro	8.950.0.1094	2009.07.30	-
VBA32	3.12.10.9	2009.07.30	-
ViRobot	2009.7.30.1861	2009.07.30	-
VirusBuster	4.6.5.0	2009.07.30	-
weitere Informationen
File size: 287232 bytes
MD5...: 6e1f81ada8e5f604b9eda64fd527edd8
SHA1..: 27e261803fd000bb664bd07fde88ff964c9dd975
SHA256: a6598db42305dc319da36449a1815ea998ef37c0a886d05b37e7dfa9c89cb9a5
ssdeep: 6144:ywfGbK24VzDlvyBnJgYoWizw58bfhOl7eY1yiCJLiH+KK:X2UoBKZPw5oa1
yBBieKK
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb06d0
timedatestamp.....: 0x4a7164f5 (Thu Jul 30 09:16:37 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6c000 0x45000 0x44a00 7.93 6de58ecc12bd55b0ce6fc59354679385
.rsrc 0xb1000 0x2000 0x1400 3.38 cacc80002a9c5fb03f1da22f68115cd6

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch
packers (F-Prot): UPX

kira · 31.07.2009, 22:55

was passiert wenn Du bei Virustotal die Datei "y19sjtem.exe" reinkopierst? wird "zkjqgwiv.exe " geprüft? nämlich stammt von Gmer, also nicht schädlich
schaue mal nach was unter Eigenschaften steht: "y19sjtem.exe" Erstelldatum usw

26.07.2009, 00:16	#4
kira /// Helfer-Team	$Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. - Standard$ Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. wäre das ein sicherer Weg, aber es ist deine Entscheidung! wenn Du weiter machen möchtest arbeite die schritte vollständig ab

Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.

Plagegeister aller Art und deren Bekämpfung: Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.