virus/wurm/trojaner auf dem pc..bitte helfen

kira · 02.10.2009, 19:48

hi

machen später, das dauert zu lang...

1.
"Start--> Ausführen" dann folgende Befehl bitte eingeben: cmd --> ok
es öffnet sich ein Kommando-Fenster
danach folgende Befehl eingeben und nach jedem Befehl die Eingabetaste [Enter] drücken:

Code:

ATTFilter

sc stop ay6e1yzauiojyo
sc delete ay6e1yzauiojyo

Exit
wenn Fehlermeldung kommt versuche es mit "Print Spooler Service (ay6e1yzauiojyo)" (ohne "")

2.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

john-player · 03.10.2009, 13:14

hallo,

bei den ersten beiden namen kommt die meldung: "Der angegebene Dienst ist kein installierter Dienst"

beim 3. kommt die meldung: "Syntaxfehler"

führe nun den scan durch...

kira · 03.10.2009, 19:34

mach weiter, dann werden wir einfach dafür HijackThis verwenden

john-player · 04.10.2009, 10:36

hallo, habe fälschlicherweise erst ein schnellscan durchgeführt. das sind die ergebnisse:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/04/2009 at 02:03 AM

Application Version : 4.29.1002

Core Rules Database Version : 4144
Trace Rules Database Version: 2075

Scan type : Quick Scan
Total Scan Time : 00:13:58

Memory items scanned : 496
Memory threats detected : 0
Registry items scanned : 567
Registry threats detected : 0
File items scanned : 1439
File threats detected : 54

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@tto2.traffictrack[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ads.heias[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@atwola[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ads.livesport[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@collective-media[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@mediaplex[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@weborama[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ad.dkb[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@zanox[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adserver.anschlusstor[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@at.atwola[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@2o7[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@www.active-tracking[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@unitymedia[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@atdmt[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@smartadserver[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ads.sportwerk[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ww251.smartadserver[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@a9.adserver01[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adsrv1.247activemedia[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ad.adition[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@fastclick[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adbrite[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@beacons.hottraffic[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@serving-sys[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@apmebf[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adtech[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@traffictrack[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@tele2de.112.2o7[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@www.etracker[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@tacoda[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@revsci[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adserve1.infoads[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@cdn.at.atwola[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@advertising[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adsrv.admediate[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ads.adshopping[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@doubleclick[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@rts.pgmediaserve[2].txt

--------------------------------------------------------------------------
hier der komplettscan:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/04/2009 at 05:43 AM

Application Version : 4.29.1002

Core Rules Database Version : 4144
Trace Rules Database Version: 2075

Scan type : Complete Scan
Total Scan Time : 03:29:44

Memory items scanned : 498
Memory threats detected : 0
Registry items scanned : 5480
Registry threats detected : 0
File items scanned : 38081
File threats detected : 20

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@mediaplex[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@smartadserver[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ww251.smartadserver[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@serving-sys[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@apmebf[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@traffictrack[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@www.etracker[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@advertising[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@doubleclick[1].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@adserver.anschlusstor[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@atdmt[2].txt
C:\Dokumente und Einstellungen\Hertha BSC\Cookies\hertha_bsc@ads.adshopping[1].txt

john-player · 04.10.2009, 10:38

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:43, on 04.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hertha-inside.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O1 - Hosts: ::1 localhost
O1 - Hosts: 210.249.144.166 we9stun.winning-eleven.net
O1 - Hosts: 217.112.88.118 pes6gate-ec.winning-eleven.net
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5764 bytes

kira · 04.10.2009, 11:25

hi

ist der Dienst schon verschwunden, also doch gelungen...

Frage noch nicht beantwortet? ob Dir bekannt?

Zitat:

Zitat von Coverflow

5.

Code:

ATTFilter

O1 - Hosts: 210.249.144.166 we9stun.winning-eleven.net
O1 - Hosts: 217.112.88.118 pes6gate-ec.winning-eleven.net

wenn`s Dir nicht bekannt:
Lade dir HostsXpert auf dem Desktop speichern & und entpacken

Ordner HostsXpert öffnen.
HostsXpert.exe doppelklicken.
klicke auf Restore Microsoft's Hosts File,dann OK.

john-player · 04.10.2009, 12:53

das was mit pes in der host steht, ist mir bekannt...und wird auch benötigt

sry, dann hatte ich die fragestellung vorher falsch verstanden

kira · 04.10.2009, 21:30

hi

berichte bitte wie das System läuft??

john-player · 04.10.2009, 22:24

hi, systemstart dauert noch bisschn lang, un die einrichtung danach. bei manchen internetseiten, oder windows anwendungen, stockt manchmal dann wieder die musik. also auslastung dann kurz wieder sehr hoch..aber sonst läuft es bisher besser als vorher...danke schonmal

kira · 05.10.2009, 00:13

hi

1.
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:

Code:

ATTFilter

HijackThis/Trend Micro
hjtscanlist
CCleaner

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
Vor dem nächsten Schritt, also bevor wir weitermachen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, eventuell auf externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

3.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

4.
- Speichermedien wie Externe Festplatte/USB-Stick usw wenn Du hast, bitte anschließen - Halte beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- [u][b]Wichtig!: Wichtig!: Vor dem Speichern, benenne ComboFix.exe um in "cflauf.exe" - dann installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

john-player · 05.10.2009, 21:46

hi,

ComboFix 09-10-04.01 - Hertha BSC 05.10.2009 21:40.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.474 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Hertha BSC\Desktop\cflauf.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO
c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO\FlashGetBHO.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO\FlvDetector.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO\FlvDetector.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO\LiveQuery.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO\LiveQuery.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO\LiveSupport.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashGetBHO\zlib.dll
c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\BITS
c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\BITS\UPnP.ini
c:\programme\FlashGet Network
c:\programme\FlashGet Network\Flashget\ADInfo\ADInfo.ini
c:\programme\FlashGet Network\Flashget\ADInfo\FCAE53AA_75D2_B5A1_DA4B_3FF14BE8E912.swf
c:\programme\FlashGet Network\Flashget\Bhocfg.ini
c:\programme\FlashGet Network\Flashget\dbtrans_verbose.log
c:\programme\FlashGet Network\Flashget\fgoption.ini
c:\programme\FlashGet Network\Flashget\FlvDetector.ini
c:\programme\FlashGet Network\Flashget\InmediaInfo.ini
c:\programme\FlashGet Network\Flashget\JCCHS.INI
c:\programme\FlashGet Network\Flashget\modules\firefox\flashget.xpi
c:\programme\FlashGet Network\Flashget\modules\firefox\flashgetXpi.dll
c:\programme\FlashGet Network\Flashget\modules\firefox\IFlashgetXpi.xpt
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\0.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\1.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\10.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\11.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\12.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\13.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\14.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\15.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\16.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\17.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\18.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\19.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\2.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\20.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\21.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\3.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\4.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\5.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\6.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\7.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\8.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\9.bmp
c:\programme\FlashGet Network\Flashget\modules\garage\Headers\nologin.bmp
c:\programme\FlashGet Network\Flashget\P2PCfg.ini
c:\programme\FlashGet Network\Flashget\P4PClientInfo.ini
c:\programme\FlashGet Network\Flashget\p4spmgr.ini
c:\programme\FlashGet Network\Flashget\perf.ini
c:\programme\FlashGet Network\Flashget\Profiles\config.dat
c:\programme\FlashGet Network\Flashget\Profiles\tasks.dat
c:\programme\FlashGet Network\Flashget\pstat.dat
c:\programme\FlashGet Network\Flashget\StatInfo.ini
c:\programme\FlashGet Network\Flashget\transaction.log
C:\test.txt
c:\windows\Installer\4f499b.msi
c:\windows\Installer\4f499f.msi
c:\windows\Installer\ed4cae.msi
c:\windows\kb913800.exe
c:\windows\struct~.ini
c:\windows\system32\1.dat
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\ic32.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\secustat.dat
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\wk32.dll
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NWCWORKSTATION
-------\Service_NWCWorkstation

((((((((((((((((((((((( Dateien erstellt von 2009-09-05 bis 2009-10-05 ))))))))))))))))))))))))))))))
.

2009-10-05 18:39 . 2009-10-05 18:39 -------- d-----w- c:\programme\CCleaner
2009-10-03 13:15 . 2009-10-03 13:15 -------- d-----w- c:\windows\system32\TVUAx
2009-10-02 21:39 . 2009-10-02 21:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-10-02 14:09 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-09-30 22:24 . 2009-09-30 22:24 -------- d-----w- c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\Malwarebytes
2009-09-30 22:24 . 2009-09-30 22:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-29 19:50 . 2009-09-29 19:50 -------- d-----w- c:\programme\Trend Micro
2009-09-29 18:04 . 2009-09-29 18:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2009-09-29 17:28 . 2009-10-01 20:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-28 15:51 . 2009-09-28 15:51 -------- d-----w- c:\programme\Gemeinsame Dateien\uusee
2009-09-25 17:36 . 2009-09-29 21:19 -------- d-----w- c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\Uniblue
2009-09-21 07:00 . 2009-09-21 07:00 -------- d-----w- c:\dokumente und einstellungen\Hertha BSC\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2009-09-12 16:03 . 2009-09-12 16:06 -------- dc-h--w- c:\windows\ie8
2009-09-09 22:45 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-04 21:38 . 2007-06-06 13:41 -------- d-----w- c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\ICQ
2009-10-04 01:40 . 2008-11-09 09:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-09-30 21:06 . 2009-06-06 13:25 -------- d-----w- c:\programme\QuickTime
2009-09-30 20:57 . 2006-11-13 11:27 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-30 20:45 . 2007-10-29 11:47 -------- d-----w- c:\programme\Java
2009-09-30 20:42 . 2007-04-20 18:14 -------- d-----w- c:\programme\LimeWire
2009-09-30 20:39 . 2008-12-10 16:54 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-28 21:24 . 2009-05-03 10:52 -------- d-----w- c:\programme\DkZ Studio
2009-09-28 19:01 . 2007-04-20 17:07 -------- d-----w- c:\programme\KONAMI
2009-09-28 16:18 . 2009-07-31 12:54 -------- d-----w- c:\programme\TuneUp Utilities 2009
2009-09-21 09:28 . 2008-10-24 14:48 -------- d-----w- c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\ppstream
2009-09-20 09:42 . 2006-11-13 12:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-08-16 18:27 . 2006-11-13 12:39 30664 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-16 18:23 . 2007-04-20 18:30 -------- d-----w- c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\Corel
2009-08-16 18:22 . 2006-11-14 09:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Borland
2009-08-16 15:24 . 2009-08-16 15:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-08-16 15:24 . 2009-07-30 18:54 -------- d-----w- c:\programme\TVUPlayer
2009-08-16 13:29 . 2008-03-20 12:14 -------- d-----w- c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\TVU networks
2009-08-16 01:29 . 2006-03-24 12:00 82144 ----a-w- c:\windows\system32\perfc007.dat
2009-08-16 01:29 . 2006-03-24 12:00 452314 ----a-w- c:\windows\system32\perfh007.dat
2009-08-15 08:46 . 2009-08-15 08:45 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-08-15 08:45 . 2009-08-15 08:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-08-06 20:31 . 2007-11-11 07:56 -------- d-----w- c:\programme\Logitech
2009-08-05 16:28 . 2009-05-21 21:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2006-03-24 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 12:55 . 2009-07-31 12:55 604488 ----a-w- c:\windows\system32\TUProgSt.exe
2009-07-31 12:55 . 2009-07-31 12:55 361288 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-17 19:01 . 2006-03-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-15 09:48 . 2009-07-31 12:55 29000 ----a-w- c:\windows\system32\uxtuneup.dll
2009-07-13 21:43 . 2006-03-24 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2008-11-03 05:37 . 2008-11-03 05:37 27648 ----a-w- c:\programme\mozilla firefox\components\flashgetXpi.dll
2007-07-18 20:50 . 2007-04-20 18:28 900 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 4AFB3B0919649F95C1964AA1FAD27D73 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2007-10-30 . 90CAFF4B094573449A0872A0F919B178 . 360064 . . [5.1.2600.3244] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtUninstallKB941644$\tcpip.sys
[-] 2006-01-13 . 5562CC0A47B2AEF06D3417B733F3C195 . 360448 . . [5.1.2600.2827] . . c:\windows\$hf_mig$\KB913446\SP2QFE\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-25 61440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-20 198160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-30 149280]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-01-23 101136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ehTray"=c:\windows\ehome\ehtray.exe
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.07.2009 20:34 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [19.06.2009 10:26 55152]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [31.07.2009 14:55 604488]
S3 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [06.02.2009 18:08 533360]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [11.07.2007 09:57 17152]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-05 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-15 10:07]

2009-10-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hertha-inside.de/
uInternet Settings,ProxyOverride = local
uInternet Settings,ProxyServer = 127.0.0.1:9666
FF - ProfilePath - c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\Mozilla\Firefox\Profiles\jhvdo13h.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.hertha-inside.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\components\flashgetXpi.dll
FF - plugin: c:\dokumente und einstellungen\Hertha BSC\Anwendungsdaten\Mozilla\Firefox\Profiles\jhvdo13h.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1399.3742\npCIDetect13.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.
.
------- Dateityp-Verknüpfung -------
.
txtfile=c:\windows\notepad.exe %1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-05 22:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Works\EulaRegClients\Ã*J*¬ \$»»]
"Q"=hex:51

[HKEY_LOCAL_MACHINE\software\Microsoft\Works\EulaRegClients\Ã*J*¬ \Ã#$]
"Q"=hex:51

[HKEY_LOCAL_MACHINE\software\Microsoft\Works\EulaRegClients\Ã*J*¬ \ÏE¼]
"Q"=hex:51
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1536)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(336)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-05 22:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-05 20:40

Vor Suchlauf: 18 Verzeichnis(se), 195.503.910.912 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 195.090.112.512 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

325 --- E O F --- 2009-10-01 02:02

kira · 06.10.2009, 00:51

hi

- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

Dein Rechner arbeitet schon besser?

john-player · 06.10.2009, 21:18

hi, besser auf jedenfall, ja. nur ebenhalt systemstart und anwedungen noch langsam. was das genau ist, wüsste ich nicht

kira · 06.10.2009, 21:34

hi

poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

john-player · 06.10.2009, 21:42

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:34, on 06.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hertha-inside.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O1 - Hosts: ::1 localhost
O1 - Hosts: 210.249.144.166 we9stun.winning-eleven.net
O1 - Hosts: 217.112.88.118 pes6gate-ec.winning-eleven.net
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5281 bytes

03.10.2009, 19:34	#18
kira /// Helfer-Team	virus/wurm/trojaner auf dem pc..bitte helfen mach weiter, dann werden wir einfach dafür HijackThis verwenden __________________

04.10.2009, 21:30	#23
kira /// Helfer-Team	virus/wurm/trojaner auf dem pc..bitte helfen hi berichte bitte wie das System läuft??

06.10.2009, 00:51	#27
kira /// Helfer-Team	virus/wurm/trojaner auf dem pc..bitte helfen hi - CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren Dein Rechner arbeitet schon besser?

06.10.2009, 21:34	#29
kira /// Helfer-Team	virus/wurm/trojaner auf dem pc..bitte helfen hi poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

virus/wurm/trojaner auf dem pc..bitte helfen

Plagegeister aller Art und deren Bekämpfung: virus/wurm/trojaner auf dem pc..bitte helfen