Mein Internetzugang wird missbraucht, Trojaner Vundo.H

Sirri · 30.12.2009, 12:17

Hallo zusammen,

bitte kann mir hier jemand helfen? Vorneweg muss ich noch zugeben, dass ich mit mit dem PC nicht so gut auskenne.

Ich habe von meinem Provider ein Email bekommen, dass mein Internetzugang missbraucht würde. Ich hab mich mit einem Anruf bei denen noch versichert, dass das Email kein Fake war.

Meine Daten:
XP Home Edition Service Pack 3
AMD Sempron Prozessor 3300+
2,01 GHz, 512 MB RAM

Windows-Firewall ist aktiv
Virenschutz ist Avira (seit ein paar Tagen, vorher AVG)

Avira hat mir einen Trojaner gemeldet: TR Crypt ZPAK.Gen

Folgendes hab ich bereits gemacht:

CC Cleaner ausgeführt. Am Ende bleibt ein Fehler bestehen, auch nach dem 20. Versuch.

Malwarebytes Scan ausführt:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3450
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.12.2009 10:52:53
mbam-log-2009-12-30 (10-52-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 336173
Laufzeit: 2 hour(s), 8 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 50

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\dllupnic.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\botasms.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{cd3efbd9-d2d8-4edd-9236-c424916aa72c} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c13ee24c-6411-4236-9810-75002a72b2f6} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\resakctl (Trojan.Vundo.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\winuravi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dllupnic.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\botasms.dll (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FA.tmp (Rootkit.MBR) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FC.tmp (Rootkit.MBR) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BCPCRHT2\eHf7fb35f9V03f01530002Rc412a4cd102Tbcd9bb66Q000002fc901807F002f0009J03000501l0007K1debf9d5316P000001070[1] (Rootkit.MBR) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant.***\Lokale Einstellungen\Temp\gYri.dll (Rootkit.MBR) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG (Trojan.Vundo.H) -> No action taken.
C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP703\A0374285.dll (Rootkit.MBR) -> No action taken.
C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP704\A0376332.dll (Rootkit.MBR) -> No action taken.
C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP707\A0377359.dll (Rootkit.MBR) -> No action taken.
C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP708\A0378055.dll (Rootkit.MBR) -> No action taken.
C:\WINDOWS\system32\dskefsap.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dotodipx.exe (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\drvexdlg.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\disipsap32.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\CatRoot2\edb.log (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\CatRoot2\tmp.edb (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\0FED88DDDE898FF6257A764221025347532B8DEE.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\11E79C8330C0B05872D5B7E47E8E141F5B875084.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\581E4C1A221E9F5785774C1B12FCF621CD592F1C.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\6103F775923ED708F1A0D165AB302A95D9248A40.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\191BEF85364C2CD1674CBEF3071DE183BD081F64.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\2522A4F3AE0FC085AF8AF3FD7F4E7A3DBD17D469.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\2DC3DA976E3A646A41074CC86DDB1DBBD30C59A5.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\4A9A8BA6FA62317D1F386128BC0507F224362C7F.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\75D9211D2E738E78745E8A6D54392E9C41D068D9.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\7E718082A7BB8C1E9F41655F54D77BA30D13AB08.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\9A06296B83A767FB74CCB436C15F2FA0F498A68F.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\A2C5527C566401C11F81137A74B8C7D90E394B5B.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\DE3EB6F90BDC3E179EFE6D40D05AD4FEF1E500A0.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\EAA8C16167B9F00ACA6D58DA14A3D39AED881AA9.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\EB916687A1BADD0B79E836CF39174AD9BCB8F61E.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\FF8BB59F3EBD28008577111EF475F38367D18F3D.dp0 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\FF8BB59F3EBD28008577111EF475F38367D18F3D.dpu (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\serudset\macatvoc.ocx (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\DEFAULT.LOG (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\SAM.LOG (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\SECURITY.LOG (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\SOFTWARE.LOG (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\system.LOG (Trojan.Vundo.H) -> No action taken.
C:\Programme\Gemeinsame Dateien\System\ado1.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> No action taken.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> No action taken.

Beim Entfernen der Trojaner bleibt "Malwarebytes" aber hängen, im Task Manager "keine Rückmeldung".

RSIT:

Log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-12-30 12:07:10
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 12 GB (16%) free of 79 GB
Total RAM: 511 MB (25% free)

Logfile of Trend Micro "HijackThis= v2.0.2
Scan saved at 12:07:24, on 30.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchospt.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Creative\Shared Files\CTDevSrv.exe
C:\Programme\Creative\Creative Media Lite\CTZDetec.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\svchosptd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/skins/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_h**p://www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - (no file)
O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [tvjbmonitor] C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [svchospt] C:\WINDOWS\system32\svchospt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [CTZDetec.exe] C:\Programme\Creative\Creative Media Lite\CTZDetec.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: &Search - h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54F199B4-92E1-44F7-8451-12E9D36F5554}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0DF301E-A14F-46F6-ACF4-6496DC953089}: NameServer = 192.168.120.252,192.168.120.253
O20 - AppInit_DLLs:
O21 - SSODL: Extobv32 - {49DE58F3-692A-4A4B-B34D-0B724CF0A09C} - (no file)
O21 - SSODL: Dskedbin - {55E9BF84-9426-434B-8353-717C99B581A8} - (no file)
O21 - SSODL: Ntedaud - {1349D3C2-361F-46A8-B444-CB3C8ADA1C8A} - (no file)
O21 - SSODL: Resakctl - {C13EE24C-6411-4236-9810-75002A72B2F6} - C:\WINDOWS\system32\botasms.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8450 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - c:\programme\real\realplayer\rpbrowserrecordplugin.dll [2009-10-19 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-10-27 1014520]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-02-13 7557120]
"nwiz"=nwiz.exe /install []
"CloneCDTray"=C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2006-09-28 57344]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-02-13 86016]
"tvjbmonitor"=C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe [2006-12-26 53248]
"AppleSyncNotifier"=C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2009-08-13 177440]
"svchospt"=C:\WINDOWS\system32\svchospt.exe [2009-02-08 946176]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-09-05 417792]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-10-19 198160]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-10-28 141600]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [2006-04-21 94208]
"AnyDVD"=C:\Programme\SlySoft\AnyDVD\AnyDVD.exe [2007-07-02 1364168]
"CTZDetec.exe"=C:\Programme\Creative\Creative Media Lite\CTZDetec.exe [2007-12-18 401408]

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=" "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Extobv32 - {49DE58F3-692A-4A4B-B34D-0B724CF0A09C}
Dskedbin - {55E9BF84-9426-434B-8353-717C99B581A8}
Ntedaud - {1349D3C2-361F-46A8-B444-CB3C8ADA1C8A}
Resakctl - {C13EE24C-6411-4236-9810-75002A72B2F6} - C:\WINDOWS\system32\botasms.dll [2009-03-21 823296]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Grisoft\AVG Free\avginet.exe"="C:\Programme\Grisoft\AVG Free\avginet.exe:*:Enabled:avginet.exe"
"C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe"="C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe:*:Enabled:VoipStunt"
"C:\Programme\Grisoft\AVG Free\avgamsvr.exe"="C:\Programme\Grisoft\AVG Free\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\Programme\Grisoft\AVG Free\avgcc.exe"="C:\Programme\Grisoft\AVG Free\avgcc.exe:*:Enabled:avgcc.exe"
"C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe"="C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe:*:Enabled:IncrediMail Installer"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\AVG\AVG8\avgemc.exe"="C:\Programme\AVG\AVG8\avgemc.exe:*:Enabled:avgemc.exe"
"C:\Programme\AVG\AVG8\avgupd.exe"="C:\Programme\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\Programme\ElsterFormular\2008-2009\elfoStarter2008.exe"="C:\Programme\ElsterFormular\2008-2009\elfoStarter2008.exe:*:Enabled:ElsterFormular 2008-2009"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe"="C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe:*:Enabled:Google Chrome"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1ae49c4-4d77-11db-bfe3-00138f7d9bc0}]
shell\AutoRun\command - E:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7a01306-7d1d-11de-a08a-00150ccdf1ab}]
shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f70d71e1-4ad8-11de-a028-00150ccdf1ab}]
shell\AutoRun\command - E:\LaunchU3.exe -a

======List of files/folders created in the last 1 months======

2009-12-30 12:07:10 ----D---- C:\rsit
2009-12-30 11:19:24 ----D---- C:\Programme\Trend Micro
2009-12-30 11:10:23 ----A---- C:\WINDOWS\system32\appebmon.dll
2009-12-29 20:45:17 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-29 20:45:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-29 20:45:08 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-12-29 20:25:22 ----D---- C:\Programme\CCleaner
2009-12-26 18:16:48 ----D---- C:\Programme\RegCleaner
2009-12-24 23:37:42 ----A---- C:\WINDOWS\system32\winuravi.dll
2009-12-23 12:50:04 ----HD---- C:\$AVG
2009-12-23 12:46:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9
2009-12-23 12:46:20 ----D---- C:\WINDOWS\SxsCaPendDel
2009-12-23 09:43:51 ----D---- C:\Programme\Avira
2009-12-23 09:43:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-12-21 21:37:30 ----D---- C:\Programme\HD Tune
2009-12-13 08:49:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2009-12-13 08:40:21 ----A---- C:\WINDOWS\wininit.ini
2009-12-13 07:51:56 ----D---- C:\Programme\File Scanner Library (Spybot - Search & Destroy)
2009-12-13 07:42:30 ----D---- C:\WINDOWS\pss
2009-12-12 19:18:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Uniblue
2009-12-09 18:21:16 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2009-12-09 18:21:08 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2009-12-09 18:20:56 ----HDC---- C:\WINDOWS\$NtUninstallKB976325$
2009-12-09 18:20:43 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2009-12-09 18:20:35 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2009-12-09 18:20:24 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$

======List of files/folders modified in the last 1 months======

2009-12-30 12:07:18 ----D---- C:\WINDOWS\Prefetch
2009-12-30 12:06:44 ----D---- C:\Programme\StarOffice7
2009-12-30 11:40:44 ----D---- C:\WINDOWS\Temp
2009-12-30 11:25:57 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ!
2009-12-30 11:19:24 ----RD---- C:\Programme
2009-12-30 11:11:30 ----D---- C:\WINDOWS\system32\CatRoot2
2009-12-30 11:10:50 ----D---- C:\WINDOWS\system32
2009-12-30 11:04:35 ----D---- C:\Programme\Mozilla Firefox
2009-12-30 08:08:22 ----D---- C:\WINDOWS
2009-12-30 02:54:47 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-12-29 20:45:12 ----D---- C:\WINDOWS\system32\drivers
2009-12-29 20:27:49 ----D---- C:\WINDOWS\Debug
2009-12-29 20:27:47 ----D---- C:\WINDOWS\Minidump
2009-12-29 16:21:57 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2009-12-29 14:39:11 ----D---- C:\Programme\ICQ6.5
2009-12-27 02:09:19 ----A---- C:\WINDOWS\cdplayer.ini
2009-12-26 18:04:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-26 09:46:56 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2009-12-24 19:06:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-12-23 15:41:16 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-12-23 12:46:52 ----D---- C:\Programme\AVG
2009-12-23 12:46:34 ----SHD---- C:\WINDOWS\Installer
2009-12-23 12:46:32 ----D---- C:\WINDOWS\WinSxS
2009-12-23 09:44:15 ----HD---- C:\WINDOWS\inf
2009-12-21 21:33:48 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\U3
2009-12-13 14:27:26 ----D---- C:\WINDOWS\system32\3ditcab
2009-12-13 08:49:10 ----D---- C:\Programme\Google
2009-12-13 08:49:08 ----SD---- C:\WINDOWS\Tasks
2009-12-13 08:47:42 ----D---- C:\Programme\Heureka
2009-12-12 21:52:47 ----A---- C:\WINDOWS\NeroDigital.ini
2009-12-12 19:39:48 ----D---- C:\Programme\DivX
2009-12-12 16:59:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-12-12 16:45:58 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-12-12 16:25:45 ----D---- C:\Dokumente und Einstellungen
2009-12-12 16:17:45 ----D---- C:\WINDOWS\system32\CatRoot
2009-12-12 15:55:43 ----D---- C:\WINDOWS\system32\config
2009-12-12 15:54:57 ----D---- C:\WINDOWS\system32\wbem
2009-12-12 15:54:56 ----D---- C:\WINDOWS\Registration
2009-12-09 18:20:41 ----HD---- C:\WINDOWS\$hf_mig$
2009-12-01 21:06:19 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Athlon64 Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-10-21 35840]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2007-02-28 15440]
R1 NETDSL;AVM PPP over Ethernet; C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R2 EIO;EIO; \??\C:\WINDOWS\system32\drivers\EIO.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-09-22 3727680]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2007-05-20 96328]
R3 AVMUNET;AVM FRITZ!Box; C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 15104]
R3 AVMWAN;NDIS WAN CAPI Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-11-14 38608]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2007-01-14 34760]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2009-05-18 26600]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN; C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2001-07-24 224768]
R3 NETFWDSL;AVM FRITZ!web DSL PPP; C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-02-13 3642784]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-29 34048]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-29 12928]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 AF15BDA;AF9015 BDA Filter; C:\WINDOWS\system32\DRIVERS\AF15BDA.sys [2007-03-20 300544]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 cusbohcn;cusbohcn; \??\C:\DOKUME~1\Yasmin\LOKALE~1\Temp\cusbohcn.sys []
S3 fxusbase;1&1 NetXXL (WinXP/2000); C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2002-11-14 503600]
S3 irsir;Microsoft serieller Infrarottreiber; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688]
S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 nvmpu401;Service for NVIDIA(R) nForce(TM) MIDI UART; C:\WINDOWS\system32\drivers\nvmpu401.sys [2005-04-13 10240]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712]
R2 avg8wd;AVG Free8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-08-16 297752]
R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-11-21 81920]
R2 *Bonjour Service;Bonjour-Dienst*; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\system32\CTsvcCDA.exe [1999-12-13 44032]
R2 CTDevice_Srv;CT Device Query service; C:\Programme\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-10-27 246520]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-02-13 143426]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-10-28 545568]
S2 avg8emc;AVG Free8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-08-16 908056]
S3 de_serv;AVM FRITZ!web Routing Service; C:\PROGRAMME\FRITZ!\de_serv.exe [2001-07-24 196665]

-----------------EOF-----------------

info.txt

info.txt logfile of random's system information tool 1.06 2009-12-30 12:07:27

======Uninstall list======

Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: AVG Anti-Virus Free (disabled) (outdated)
AV: AntiVir Desktop

======System event log======

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 911
Source Name: Service Control Manager
Time Written: 20091208162352.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 35
Message: Der Zeitdienst synchronisiert die Systemzeit mit folgender
Zeitquelle: time.windows.com (ntp.m|0x1|192.168.178.20:123->207.46.232.182:123).

Record Number: 910
Source Name: W32Time
Time Written: 20091208162159.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "Google Update Service (gupdate1ca50d0b3747e3a)" befindet sich jetzt im Status "Beendet".

Record Number: 909
Source Name: Service Control Manager
Time Written: 20091208162151.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet".

Record Number: 908
Source Name: Service Control Manager
Time Written: 20091208162150.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 907
Source Name: Service Control Manager
Time Written: 20091208162149.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: ***
Event Code: 1
Message:
Record Number: 6719
Source Name: Bonjour Service
Time Written: 20090210183310.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 1005
Message: Der Windows Installer hat einen Neustart des Systems initiiert, um die Konfiguration von "iTunes" fortzusetzen bzw. abzuschließen.

Record Number: 6718
Source Name: MsiInstaller
Time Written: 20090210183046.000000+060
Event Type: Informationen
User: ***\***

Computer Name: ***
Event Code: 11707
Message: Produkt: iTunes -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 6717
Source Name: MsiInstaller
Time Written: 20090210183046.000000+060
Event Type: Informationen
User: ***\***

Computer Name: ***
Event Code: 0
Message:
Record Number: 6716
Source Name: iPod Service
Time Written: 20090210183025.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 1903
Message:
Record Number: 6715
Source Name: HHCTRL
Time Written: 20090210183023.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;"C:\Programme\Zone Labs\ZoneAlarm\MailFrontier";C:\Programme\Gemeinsame Dateien\GTK\2.0\bin;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 28 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=1c00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"LANG"=de
"CLASSPATH"=.;C:\Programme\Java\jre1.5.0_03\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.5.0_03\lib\ext\QTJava.zip

-----------------EOF-----------------

Hijack This:

Logfile of Trend Micro *HijackThis* v2.0.2
Scan saved at 11:59:27, on 30.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchospt.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Creative\Shared Files\CTDevSrv.exe
C:\Programme\Creative\Creative Media Lite\CTZDetec.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\svchosptd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/skins/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_h**p://www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - (no file)
O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [tvjbmonitor] C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [svchospt] C:\WINDOWS\system32\svchospt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [CTZDetec.exe] C:\Programme\Creative\Creative Media Lite\CTZDetec.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: &Search - h**tp://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54F199B4-92E1-44F7-8451-12E9D36F5554}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0DF301E-A14F-46F6-ACF4-6496DC953089}: NameServer = 192.168.120.252,192.168.120.253
O20 - AppInit_DLLs:
O21 - SSODL: Extobv32 - {49DE58F3-692A-4A4B-B34D-0B724CF0A09C} - (no file)
O21 - SSODL: Dskedbin - {55E9BF84-9426-434B-8353-717C99B581A8} - (no file)
O21 - SSODL: Ntedaud - {1349D3C2-361F-46A8-B444-CB3C8ADA1C8A} - (no file)
O21 - SSODL: Resakctl - {C13EE24C-6411-4236-9810-75002A72B2F6} - C:\WINDOWS\system32\botasms.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: *Bonjour-Dienst (Bonjour Service)* - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8064 bytes

Vielen Dank schon Mal im Voraus. Ich hoffe, dass ich jetzt alles richtig reingesetzt habe!

Grüße
Sirri

cosinus · 30.12.2009, 13:41

Hallo und

Hast Du die Funde mit Malwarebytes entfernen lassen?

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Sirri · 30.12.2009, 14:16

Danke für Deine Antwort!

Nein, leider stürzt "Malwarebytes beim Löschen ab!

Auf den Link zu Lop S&D komme ich gerade nicht, ich erhalte folgende Meldung:

The bandwidth or page view limit for this site has been exceeded and the page cannot be viewed at this time. Once the site is below the limit, it will once again begin serving as normal.

Ich werde das später wieder versuchen, oder kann ich mir das auch von woanders laden?

cosinus · 30.12.2009, 14:24

Alternativlink LOPS&D

Sirri · 30.12.2009, 14:33

Danke!!

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3300+ )
BIOS : Default System BIOS
USER : *** ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:76 Go (Free:12 Go)
D:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 30.12.2009|14:25 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[13.09.2009|20:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[09.04.2009|17:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[10.11.2008|19:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
[05.10.2006|18:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\1&1
[03.08.2008|21:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[09.08.2006|11:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
[24.12.2009|19:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[23.08.2008|19:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[23.12.2009|15:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\avg9
[23.12.2009|09:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[11.03.2009|20:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creative
[13.07.2007|16:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
[05.10.2008|09:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ElsterFormular
[04.04.2006|01:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FRITZ!
[13.12.2009|08:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[20.11.2009|18:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[13.02.2009|13:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier
[29.12.2009|20:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[05.04.2006|18:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[14.10.2006|06:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA
[28.10.2006|13:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
[05.04.2006|16:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[19.10.2009|16:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Real
[02.07.2007|17:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft
[26.12.2009|18:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
[10.10.2006|17:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[31.03.2006|12:53] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[31.03.2006|12:49] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[11.12.2009|19:58] C:\DOKUME~1\HELPAS~1\ANWEND~1\1&1
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Adobe
[11.12.2009|19:58] C:\DOKUME~1\HELPAS~1\ANWEND~1\AdobeUM
[11.12.2009|19:58] C:\DOKUME~1\HELPAS~1\ANWEND~1\Ahead
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Apple Computer
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Creative
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Elaborate Bytes
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\FRITZ!
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Google
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\gtk-2.0
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Help
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\ICQ
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\InterVideo
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Kazaa Lite
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Leadertech
[11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Macromedia
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Microsoft
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Mozilla
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Real
[11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sibelius Software
[11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\SlySoft
[11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sun
[11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\Talkback
[12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes
[26|Verzeichnis(se),] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes frei

[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\1&1
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Adobe
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\AdobeUM
[20.12.2009|11:07] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Ahead
[26.12.2009|10:02] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Apple Computer
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Creative
[20.12.2009|11:07] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Disney Interactive
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\DivX
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\dvdcss
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Elaborate Bytes
[30.12.2009|11:13] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\FRITZ!
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Google
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\gtk-2.0
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Help
[29.12.2009|18:39] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\ICQ
[31.03.2006|12:53] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Identities
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\InterVideo
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Kazaa Lite
[12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Leadertech
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Macromedia
[21.12.2009|16:36] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\MailFrontier
[30.12.2009|07:42] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Malwarebytes
[13.12.2009|19:13] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Microsoft
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Mozilla
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\MP3toiPodAudioBookConverter
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\MyTraveler
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Real
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Sibelius Software
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\SlySoft
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Sun
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Talkback
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\TravelerSafe+
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\U3
[13.12.2009|06:56] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Uniblue
[12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\vlc
[21.12.2009|16:38] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\VoipStunt
[0|Datei(en)] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Bytes
[38|Verzeichnis(se),] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Bytes frei

[29.12.2009|20:03] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe
[23.12.2009|15:41] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[08.10.2007|20:14] C:\DOKUME~1\***\ANWEND~1\1&1
[15.05.2006|19:39] C:\DOKUME~1\***\ANWEND~1\Adobe
[13.04.2006|21:43] C:\DOKUME~1\***\ANWEND~1\AdobeUM
[09.08.2006|10:45] C:\DOKUME~1\***\ANWEND~1\Ahead
[30.04.2009|06:47] C:\DOKUME~1\***\ANWEND~1\Apple Computer
[27.05.2006|02:57] C:\DOKUME~1\***\ANWEND~1\Elaborate Bytes
[23.11.2007|17:12] C:\DOKUME~1\***\ANWEND~1\FRITZ!
[14.10.2006|22:30] C:\DOKUME~1\***\ANWEND~1\Google
[04.05.2007|18:47] C:\DOKUME~1\***\ANWEND~1\Help
[31.03.2006|12:53] C:\DOKUME~1\***\ANWEND~1\Identities
[18.05.2006|14:59] C:\DOKUME~1\***\ANWEND~1\InterVideo
[15.10.2006|14:12] C:\DOKUME~1\***\ANWEND~1\Kazaa Lite
[15.05.2006|19:39] C:\DOKUME~1\***\ANWEND~1\Leadertech
[14.04.2006|19:12] C:\DOKUME~1\***\ANWEND~1\Macromedia
[16.02.2009|17:25] C:\DOKUME~1\***\ANWEND~1\MailFrontier
[23.12.2009|15:41] C:\DOKUME~1\***\ANWEND~1\Microsoft
[14.09.2008|23:03] C:\DOKUME~1\***\ANWEND~1\Mozilla
[27.12.2009|02:09] C:\DOKUME~1\***\ANWEND~1\Real
[31.05.2006|13:06] C:\DOKUME~1\***\ANWEND~1\SlySoft
[16.04.2006|02:23] C:\DOKUME~1\***\ANWEND~1\Sun
[05.10.2006|17:53] C:\DOKUME~1\***\ANWEND~1\VoipStunt
[0|Datei(en)] C:\DOKUME~1\***\ANWEND~1\Bytes
[23|Verzeichnis(se),] C:\DOKUME~1\***\ANWEND~1\Bytes frei

[04.12.2006|18:00] C:\DOKUME~1\***\ANWEND~1\1&1
[03.09.2009|12:41] C:\DOKUME~1\***\ANWEND~1\Adobe
[03.08.2008|20:49] C:\DOKUME~1\***\ANWEND~1\AdobeUM
[08.08.2006|21:19] C:\DOKUME~1\***\ANWEND~1\Ahead
[26.12.2009|09:46] C:\DOKUME~1\***\ANWEND~1\Apple Computer
[05.04.2009|13:13] C:\DOKUME~1\***\ANWEND~1\Creative
[05.04.2009|19:26] C:\DOKUME~1\***\ANWEND~1\DivX
[18.10.2009|16:48] C:\DOKUME~1\***\ANWEND~1\dvdcss
[16.04.2007|18:27] C:\DOKUME~1\***\ANWEND~1\Elaborate Bytes
[30.12.2009|13:38] C:\DOKUME~1\***\ANWEND~1\FRITZ!
[02.10.2006|19:21] C:\DOKUME~1\***\ANWEND~1\Google
[12.10.2009|09:33] C:\DOKUME~1\***\ANWEND~1\gtk-2.0
[06.02.2007|21:50] C:\DOKUME~1\***\ANWEND~1\Help
[29.12.2009|16:21] C:\DOKUME~1\***\ANWEND~1\ICQ
[31.03.2006|12:53] C:\DOKUME~1\***\ANWEND~1\Identities
[14.05.2006|19:49] C:\DOKUME~1\***\ANWEND~1\InterVideo
[16.10.2006|20:24] C:\DOKUME~1\***\ANWEND~1\Kazaa Lite
[27.07.2006|21:22] C:\DOKUME~1\***\ANWEND~1\Leadertech
[02.01.2007|12:02] C:\DOKUME~1\***\ANWEND~1\Macromedia
[29.12.2009|20:45] C:\DOKUME~1\***\ANWEND~1\Malwarebytes
[23.12.2009|15:41] C:\DOKUME~1\***\ANWEND~1\Microsoft
[05.09.2008|21:42] C:\DOKUME~1\***\ANWEND~1\Mozilla
[05.04.2009|13:04] C:\DOKUME~1\***\ANWEND~1\MP3toiPodAudioBookConverter
[12.01.2007|15:09] C:\DOKUME~1\***\ANWEND~1\MyTraveler
[19.10.2009|16:31] C:\DOKUME~1\***\ANWEND~1\Real
[23.09.2008|20:15] C:\DOKUME~1\***\ANWEND~1\Sibelius Software
[21.03.2007|23:34] C:\DOKUME~1\***\ANWEND~1\SlySoft
[06.04.2006|17:11] C:\DOKUME~1\***\ANWEND~1\Sun
[04.04.2006|18:36] C:\DOKUME~1\***\ANWEND~1\Talkback
[12.01.2007|15:46] C:\DOKUME~1\***\ANWEND~1\TravelerSafe+
[21.12.2009|21:33] C:\DOKUME~1\***\ANWEND~1\U3
[12.12.2009|19:18] C:\DOKUME~1\***\ANWEND~1\Uniblue
[09.11.2008|14:18] C:\DOKUME~1\***\ANWEND~1\vlc
[04.10.2006|18:27] C:\DOKUME~1\***\ANWEND~1\VoipStunt
[0|Datei(en)] C:\DOKUME~1\***\ANWEND~1\Bytes
[36|Verzeichnis(se),] C:\DOKUME~1\***\ANWEND~1\Bytes frei

[23.12.2009|15:41] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[15.10.2006|06:47] C:\DOKUME~1\SIMS2~1\ANWEND~1\FRITZ!
[15.10.2006|08:04] C:\DOKUME~1\SIMS2~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\SIMS2~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\SIMS2~1\ANWEND~1\Bytes frei

[17.10.2009|15:49] C:\DOKUME~1\***\ANWEND~1\Adobe
[02.06.2006|12:55] C:\DOKUME~1\***\ANWEND~1\Ahead
[24.12.2009|19:52] C:\DOKUME~1\***\ANWEND~1\Apple Computer
[11.04.2006|15:10] C:\DOKUME~1\***\ANWEND~1\Disney Interactive
[31.07.2006|16:41] C:\DOKUME~1\***\ANWEND~1\FRITZ!
[04.10.2006|13:50] C:\DOKUME~1\***\ANWEND~1\Google
[29.12.2009|16:57] C:\DOKUME~1\***\ANWEND~1\ICQ
[31.03.2006|12:53] C:\DOKUME~1\***\ANWEND~1\Identities
[26.05.2006|18:24] C:\DOKUME~1\***\ANWEND~1\InterVideo
[16.12.2007|17:55] C:\DOKUME~1\***\ANWEND~1\Macromedia
[23.12.2009|15:41] C:\DOKUME~1\***\ANWEND~1\Microsoft
[04.02.2009|16:07] C:\DOKUME~1\***\ANWEND~1\Mozilla
[21.12.2009|16:12] C:\DOKUME~1\***\ANWEND~1\Real
[22.03.2007|13:40] C:\DOKUME~1\***\ANWEND~1\SlySoft
[10.04.2006|13:34] C:\DOKUME~1\***\ANWEND~1\Sun
[26.12.2009|10:03] C:\DOKUME~1\***\ANWEND~1\U3
[0|Datei(en)] C:\DOKUME~1\***\ANWEND~1\Bytes
[18|Verzeichnis(se),] C:\DOKUME~1\***\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[23.12.2009 16:50][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[30.12.2009 11:10][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[05.10.2006|18:41] C:\Programme\1&1
[04.04.2006|01:43] C:\Programme\1&1 Internet
[08.04.2006|13:17] C:\Programme\Adobe
[26.08.2008|22:26] C:\Programme\Apple Software Update
[09.10.2006|19:32] C:\Programme\Ashampoo
[13.03.2009|07:34] C:\Programme\Audible
[23.12.2009|12:46] C:\Programme\AVG
[23.12.2009|09:43] C:\Programme\Avira
[15.10.2006|08:04] C:\Programme\AvRack
[27.10.2006|19:49] C:\Programme\Billy Blade and the Temple of Time
[09.04.2009|17:25] C:\Programme\Bonjour
[16.05.2006|15:39] C:\Programme\Cbsinstall
[29.12.2009|20:25] C:\Programme\CCleaner
[28.01.2007|12:22] C:\Programme\Claudiator
[31.03.2006|12:42] C:\Programme\ComPlus Applications
[11.03.2009|18:06] C:\Programme\Creative
[01.10.2006|16:54] C:\Programme\Disney Interactive
[12.12.2009|19:39] C:\Programme\DivX
[29.07.2007|11:01] C:\Programme\EA GAMES
[14.05.2006|19:39] C:\Programme\Elaborate Bytes
[11.10.2009|08:45] C:\Programme\ElsterFormular
[25.07.2006|20:46] C:\Programme\ElsterFormular2005
[13.12.2009|07:51] C:\Programme\File Scanner Library (Spybot - Search & Destroy)
[06.04.2006|17:57] C:\Programme\FRITZ!
[26.09.2006|16:57] C:\Programme\FRITZ!Box
[29.10.2006|19:59] C:\Programme\FRITZ!DSL
[06.04.2006|17:55] C:\Programme\FRITZ!X
[11.10.2009|11:05] C:\Programme\Gemeinsame Dateien
[14.05.2007|18:45] C:\Programme\GIMP-2.0
[13.12.2009|08:49] C:\Programme\Google
[21.12.2009|21:37] C:\Programme\HD Tune
[13.12.2009|08:47] C:\Programme\Heureka
[29.12.2009|14:39] C:\Programme\ICQ6.5
[21.11.2009|12:17] C:\Programme\ICQ6Toolbar
[11.10.2009|08:45] C:\Programme\InstallShield Installation Information
[20.09.2008|17:56] C:\Programme\Internet Explorer
[29.05.2006|17:28] C:\Programme\InterVideo
[29.05.2006|17:24] C:\Programme\InterVideo Information Service
[02.11.2009|09:57] C:\Programme\iPod
[02.11.2009|09:58] C:\Programme\iTunes
[24.06.2006|00:51] C:\Programme\Java
[30.12.2009|10:52] C:\Programme\Malwarebytes' Anti-Malware
[04.09.2006|15:45] C:\Programme\Maxis
[20.09.2008|18:02] C:\Programme\Messenger
[31.03.2006|12:46] C:\Programme\microsoft frontpage
[01.02.2008|14:57] C:\Programme\MMEDIA
[20.09.2008|17:56] C:\Programme\Movie Maker
[30.12.2009|11:04] C:\Programme\Mozilla Firefox
[05.04.2009|13:02] C:\Programme\MP3ToIpodAudioBookConverter
[31.03.2006|12:41] C:\Programme\MSN
[31.03.2006|12:41] C:\Programme\MSN Gaming Zone
[14.05.2006|19:45] C:\Programme\MSXML 4.0
[30.05.2006|19:15] C:\Programme\Nero
[20.09.2008|17:51] C:\Programme\NetMeeting
[31.03.2006|12:42] C:\Programme\Online Services
[31.03.2006|12:44] C:\Programme\Online-Dienste
[14.08.2009|08:10] C:\Programme\Outlook Express
[04.03.2009|18:14] C:\Programme\ParentsFriend8
[24.07.2006|20:11] C:\Programme\PDFCreator
[24.07.2006|20:10] C:\Programme\PDFCreator Toolbar
[21.08.2008|07:49] C:\Programme\PT Software
[13.09.2009|20:02] C:\Programme\QuickTime
[04.04.2006|20:38] C:\Programme\Real
[15.10.2006|08:04] C:\Programme\Realtek AC97
[15.10.2006|08:04] C:\Programme\Realtek Sound Manager
[26.12.2009|18:21] C:\Programme\RegCleaner
[02.11.2008|11:00] C:\Programme\Safari
[23.09.2008|20:14] C:\Programme\Sibelius Software
[02.07.2007|17:22] C:\Programme\SlySoft
[30.12.2009|12:21] C:\Programme\StarOffice7
[16.08.2008|14:41] C:\Programme\TablEdit
[30.12.2009|11:19] C:\Programme\Trend Micro
[31.03.2006|12:53] C:\Programme\Uninstall Information
[09.11.2008|14:15] C:\Programme\VideoLAN
[20.09.2008|17:57] C:\Programme\Windows Media Player
[20.09.2008|17:51] C:\Programme\Windows NT
[31.03.2006|12:44] C:\Programme\WindowsUpdate
[31.03.2006|12:46] C:\Programme\xerox
[04.04.2006|20:00] C:\Programme\Zone Labs
[0|Datei(en)] C:\Programme\Bytes
[81|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[03.08.2008|21:16] C:\Programme\Gemeinsame Dateien\Adobe
[30.05.2006|19:19] C:\Programme\Gemeinsame Dateien\Ahead
[02.11.2009|09:57] C:\Programme\Gemeinsame Dateien\Apple
[26.09.2006|16:58] C:\Programme\Gemeinsame Dateien\AVM
[14.02.2008|20:31] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[31.03.2006|12:43] C:\Programme\Gemeinsame Dateien\Dienste
[14.05.2007|18:28] C:\Programme\Gemeinsame Dateien\GTK
[11.04.2006|15:09] C:\Programme\Gemeinsame Dateien\InstallShield
[29.05.2006|17:28] C:\Programme\Gemeinsame Dateien\InterVideo
[06.04.2006|17:11] C:\Programme\Gemeinsame Dateien\Java
[20.07.2008|07:23] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[31.03.2006|12:43] C:\Programme\Gemeinsame Dateien\MSSoap
[31.03.2006|13:37] C:\Programme\Gemeinsame Dateien\ODBC
[19.10.2009|16:32] C:\Programme\Gemeinsame Dateien\Real
[31.03.2006|13:37] C:\Programme\Gemeinsame Dateien\SpeechEngines
[04.03.2009|18:15] C:\Programme\Gemeinsame Dateien\System
[04.04.2006|20:39] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 37 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-30 14:27:03
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

Kein anderen Infektionen gefunden !

[F:170][D:25]-> C:\DOKUME~1\***\LOKALE~1\Temp
[F:2][D:0]-> C:\DOKUME~1\***\Cookies
[F:25][D:4]-> C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 30.12.2009|14:28 - Option : [1]

--------------------\\ Scan beendet um 14:28:12

cosinus · 30.12.2009, 14:41

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\svchospt.exe
C:\WINDOWS\system32\svchosptd.exe
C:\WINDOWS\system32\appebmon.dll
C:\WINDOWS\system32\winuravi.dll
C:\DOKUME~1\Yasmin\LOKALE~1\Temp\cusbohcn.sys
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FA.tmp
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FC.tmp
C:\WINDOWS\system32\dllupnic.dll
C:\WINDOWS\system32\botasms.dll
C:\Dokumente und Einstellungen\HelpAssistant\Yasmin\Lokale Einstellungen\Temp\gYri.dll
C:\Programme\Gemeinsame Dateien\System\ado1.dll
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\Fonts\acrsecI.fon
C:\WINDOWS\system32\dskefsap.dll
C:\WINDOWS\system32\dotodipx.exe
C:\WINDOWS\system32\drvexdlg.dll
C:\WINDOWS\system32\disipsap32.dll

folders to delete:
C:\WINDOWS\system32\serudset

drivers to delete:
cusbohcn

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei http://file-upload.net hochladen und hier verlinken.

Sirri · 30.12.2009, 15:16

1. Systemwiederherstellung ist deaktiviert.

2. Avenger:

Logfile of The Avenger Version 2.0, (c) by

Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at

C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\svchospt.exe" deleted

successfully.
File "C:\WINDOWS\system32\svchosptd.exe" deleted

successfully.
File "C:\WINDOWS\system32\appebmon.dll" deleted

successfully.
File "C:\WINDOWS\system32\winuravi.dll" deleted

successfully.
File

"C:\DOKUME~1\***\LOKALE~1\Temp\cusbohcn.sys"

deleted successfully.
File "C:\Dokumente und

Einstellungen\HelpAssistant\Lokale

Einstellungen\Temp\FA.tmp" deleted successfully.
File "C:\Dokumente und

Einstellungen\HelpAssistant\Lokale

Einstellungen\Temp\FC.tmp" deleted successfully.
File "C:\WINDOWS\system32\dllupnic.dll" deleted

successfully.
File "C:\WINDOWS\system32\botasms.dll" deleted

successfully.

Error: could not open file "C:\Dokumente und

Einstellungen\HelpAssistant\***\Lokale

Einstellungen\Temp\gYri.dll"
Deletion of file "C:\Dokumente und

Einstellungen\HelpAssistant\***\Lokale

Einstellungen\Temp\gYri.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not

exist

File "C:\Programme\Gemeinsame

Dateien\System\ado1.dll" deleted successfully.
File "C:\WINDOWS\Fonts\acrsecB.fon" deleted

successfully.
File "C:\WINDOWS\Fonts\acrsecI.fon" deleted

successfully.
File "C:\WINDOWS\system32\dskefsap.dll" deleted

successfully.
File "C:\WINDOWS\system32\dotodipx.exe" deleted

successfully.
File "C:\WINDOWS\system32\drvexdlg.dll" deleted

successfully.
File "C:\WINDOWS\system32\disipsap32.dll" deleted

successfully.
Folder "C:\WINDOWS\system32\serudset" deleted

successfully.
Driver "cusbohcn" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

3. Die Zip-Datei lade ich gerade auf der von Dir genannten Seite hoch. Das geht aber leider mit der Schneckenpost und dauert laut Anzeige noch über 80 Minuten. Link folgt sobald wie möglich!

Danke!!

Sirri · 30.12.2009, 16:52

hier der Link:

http://www.file-upload.net/download-...ackup.zip.html

cosinus · 30.12.2009, 20:22

Ach Du kacke!! 40 MByte!

Kein Wunder, dass das so lange gedauert hat

Probier Du bitte in der zwischenzeit einen neuen Durchlauf mit Malwarebytes - voller Scan, aktuelle Signaturen, Funde löschen lassen, Log hier (direkt) posten!

Sirri · 30.12.2009, 23:04

Ich bin total geplättet, wie schnell mir hier geholfen wird. Vielen Dank dafür!

Und sehr happy darüber, dass dieses Mal der Scan UND das Löschen mit 'Malwarebyte funktioniert hat.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3450
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.12.2009 22:52:52
mbam-log-2009-12-30 (22-52-52).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 293283
Laufzeit: 2 hour(s), 11 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BCPCRHT2\eHf7fb35f9V03f01530002Rc412a4cd102Tbcd9bb66Q000002fc901807F002f0009J03000501l0007K1debf9d5316P000001070[1] (Rootkit.MBR) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HelpAssistant.***\Lokale Einstellungen\Temp\gYri.dll (Rootkit.MBR) -> Quarantined and deleted successfully.

cosinus · 31.12.2009, 09:03

Sehr schön, die anderen Objekte, die MBAM vorher fand hat es diesmal nicht mehr

Mach bitte einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Sirri · 31.12.2009, 15:47

Ich beginne schon zu hoffen!

Hier das Logfile von Combofix

Code:

ATTFilter

ComboFix 09-12-30.04 - *** 31.12.2009  15:19:48.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.265 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\acrsec.fon

.
original MBR restored successfully !
.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-31  ))))))))))))))))))))))))))))))
.

2009-12-31 10:30 . 2008-04-13 19:45	60032	-c--a-w-	c:\windows\system32\dllcache\usbaudio.sys
2009-12-31 10:30 . 2008-04-13 19:45	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2009-12-30 13:25 . 2009-12-30 13:28	--------	d-----w-	C:\Lop SD
2009-12-30 11:07 . 2009-12-30 11:07	--------	d-----w-	C:\rsit
2009-12-30 10:19 . 2009-12-30 10:19	--------	d-----w-	c:\programme\Trend Micro
2009-12-29 19:45 . 2009-12-29 19:45	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-29 19:45 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-29 19:45 . 2009-12-29 19:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-29 19:45 . 2009-12-30 09:52	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-12-29 19:45 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-29 19:25 . 2009-12-29 19:25	--------	d-----w-	c:\programme\CCleaner
2009-12-26 17:16 . 2009-12-26 17:21	--------	d-----w-	c:\programme\RegCleaner
2009-12-26 09:02 . 2009-12-26 09:03	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\U3
2009-12-24 21:54 . 2009-12-24 21:54	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\Shared
2009-12-23 17:35 . 2009-12-29 18:04	--------	d-----w-	c:\windows\system32\drivers\avg
2009-12-23 11:50 . 2009-12-23 12:12	--------	d-----w-	C:\$AVG
2009-12-23 11:46 . 2009-12-23 14:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2009-12-23 11:46 . 2009-12-23 12:12	--------	d-----w-	c:\windows\SxsCaPendDel
2009-12-23 08:43 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-23 08:43 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-12-23 08:43 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-12-23 08:43 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-12-23 08:43 . 2009-12-23 08:43	--------	d-----w-	c:\programme\Avira
2009-12-23 08:43 . 2009-12-23 08:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-21 20:37 . 2009-12-21 20:37	--------	d-----w-	c:\programme\HD Tune
2009-12-21 15:43 . 2009-12-21 15:43	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\[
2009-12-21 15:39 . 2009-12-23 09:24	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\Incomplete
2009-12-21 15:38 . 2009-12-21 15:38	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\ddd
2009-12-13 06:51 . 2009-12-13 06:51	--------	d-----w-	c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-12-12 18:18 . 2009-12-12 18:18	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue
2009-12-12 15:46 . 2009-12-20 10:12	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\UserData
2009-12-12 15:25 . 2006-03-31 12:36	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant.***\Netzwerkumgebung
2009-12-12 15:25 . 2006-03-31 12:36	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant.***\Lokale Einstellungen
2009-12-12 15:25 . 2006-03-31 12:36	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant.***\Druckumgebung
2009-12-12 15:25 . 2006-03-31 12:36	--------	d-----r-	c:\dokumente und einstellungen\HelpAssistant.***\Startmenü
2009-12-12 15:25 . 2009-12-31 13:54	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***
2009-12-12 14:54 . 2009-12-12 14:54	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-12-11 19:16 . 2009-12-11 19:16	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\UserData
2009-12-11 19:12 . 2009-12-11 19:12	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\ElsterFormular
2009-12-11 18:58 . 2009-12-11 18:58	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.thumbnails
2009-12-11 18:58 . 2009-12-11 18:58	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.limewire
2009-12-11 18:58 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.gimp-2.2
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Startmenü
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Favoriten
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-s---w-	c:\dokumente und einstellungen\HelpAssistant

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-31 13:46 . 2006-04-04 00:05	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\FRITZ!
2009-12-31 13:44 . 2009-10-17 14:48	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-12-30 13:31 . 2006-04-06 16:10	--------	d-----w-	c:\programme\StarOffice7
2009-12-29 15:21 . 2009-09-03 11:21	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-12-29 13:39 . 2009-09-03 11:19	--------	d-----w-	c:\programme\ICQ6.5
2009-12-27 18:43 . 2009-12-27 18:11	1924744	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2009-12-26 17:04 . 2007-04-03 06:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-26 08:46 . 2008-08-23 18:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2009-12-24 18:52 . 2008-10-01 17:46	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2009-12-24 18:24 . 2006-05-26 17:24	36272	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-24 18:06 . 2008-08-23 18:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-23 11:46 . 2008-07-20 06:24	--------	d-----w-	c:\programme\AVG
2009-12-21 20:33 . 2009-05-27 16:19	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\U3
2009-12-13 07:49 . 2006-10-02 18:20	--------	d-----w-	c:\programme\Google
2009-12-13 07:47 . 2006-07-31 10:15	--------	d-----w-	c:\programme\Heureka
2009-12-12 18:39 . 2006-04-14 11:05	--------	d-----w-	c:\programme\DivX
2009-12-12 15:59 . 2004-08-04 12:00	48360	----a-w-	c:\windows\system32\perfc007.dat
2009-12-12 15:59 . 2004-08-04 12:00	316924	----a-w-	c:\windows\system32\perfh007.dat
2009-11-23 06:38 . 2009-06-27 19:48	14707	----a-w-	c:\windows\system32\keravdat.dll
2009-11-22 09:48 . 2006-04-03 19:11	36272	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-21 11:17 . 2009-09-03 11:29	--------	d-----w-	c:\programme\ICQ6Toolbar
2009-11-20 17:40 . 2009-09-03 11:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-11-02 08:58 . 2008-11-02 10:33	--------	d-----w-	c:\programme\iTunes
2009-11-02 08:57 . 2009-11-02 08:57	--------	d-----w-	c:\programme\iPod
2009-11-02 08:57 . 2008-08-23 18:48	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-11-02 08:33 . 2009-11-02 08:33	79144	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-10-29 05:24 . 2004-08-04 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 12:00	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 12:00	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 12:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-19 15:31 . 2006-04-03 19:11	499712	----a-w-	c:\windows\system32\msvcp71.dll
2009-10-18 14:33 . 2009-10-18 14:33	27904	---ha-w-	c:\windows\system32\mlfcache.dat
2009-10-13 10:32 . 2004-08-04 12:00	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-04 12:00	79872	----a-w-	c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2004-08-04 12:00	150528	----a-w-	c:\windows\system32\rastls.dll
2009-09-03 17:37 . 2009-09-03 17:37	10437264	----a-w-	c:\programme\mozilla firefox\plugins\PDFNetC.dll
2009-09-03 17:58 . 2009-09-03 17:58	107760	----a-w-	c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-02-13 7557120]
"nwiz"="nwiz.exe" [2006-02-13 1519616]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-02-13 86016]
"tvjbmonitor"="c:\programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe" [2006-12-26 53248]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2007-07-02 18:32	1364168	----a-w-	c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-04-21 15:03	94208	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]
2007-12-18 13:20	401408	------w-	c:\programme\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54	417792	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-10-19 15:30	198160	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\ElsterFormular\\2008-2009\\elfoStarter2008.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8000:TCP"= 8000:TCP:ElsterFormular 2008-2009
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2975:TCP"= 2975:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"7989:TCP"= 7989:TCP:Services
"9925:TCP"= 9925:TCP:Services

R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [26.09.2006 16:58 11264]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [23.12.2009 09:43 108289]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [20.07.2008 07:24 297752]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [03.09.2009 12:29 246520]
R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [26.09.2006 16:57 15104]
R3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [20.09.2000 01:00 38608]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\Netfritz.sys [04.04.2006 01:34 224768]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [26.09.2006 16:58 367104]
S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [20.07.2008 07:24 908056]
S3 fxusbase;1&1 NetXXL (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [20.09.2000 01:00 503600]
.
Inhalt des "geplante Tasks" Ordners

2009-12-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/skins/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = fritz.box
IE: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
LSP: c:\programme\FRITZ!DSL\sarah.dll
TCP: {54F199B4-92E1-44F7-8451-12E9D36F5554} = 192.168.122.252,192.168.122.253
TCP: {A0DF301E-A14F-46F6-ACF4-6496DC953089} = 192.168.120.252,192.168.120.253
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fnu6phuk.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=skin&q=
FF - component: c:\programme\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPOJI610.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-Extobv32-{49DE58F3-692A-4A4B-B34D-0B724CF0A09C} - (no file)
SSODL-Dskedbin-{55E9BF84-9426-434B-8353-717C99B581A8} - (no file)
SSODL-Ntedaud-{1349D3C2-361F-46A8-B444-CB3C8ADA1C8A} - (no file)
SSODL-Resakctl-{C13EE24C-6411-4236-9810-75002A72B2F6} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-31 15:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\AnyDVD/1]
"1"=dword:446778e3
"2"=dword:4689249e

[HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD/2]
"1"=dword:44677d33
"2"=dword:4478b930

[HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD2/2]
"1"=dword:44677d33
"2"=dword:46892518
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1080)
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
c:\programme\FRITZ!DSL\avmcsock.dll
c:\programme\FRITZ!DSL\avmufc.dll

- - - - - - - > 'explorer.exe'(2332)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchTrayHook.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\windows\system32\CTsvcCDA.exe
c:\programme\Creative\Shared Files\CTDevSrv.exe
c:\windows\system32\nvsvc32.exe
c:\programme\FRITZ!DSL\StCenter.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-31  15:41:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-31 14:41

Vor Suchlauf: 15 Verzeichnis(se), 17.043.312.640 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 18.868.191.232 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - EB246C61ADF0A99ADB46F9E1135F4DB3

cosinus · 02.01.2010, 11:54

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
"2975:TCP"=-
"2479:TCP"=-
"3389:TCP"=-
"7989:TCP"=-
"9925:TCP"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Sirri · 02.01.2010, 13:31

'Combofix hat eine Aktualisierung durchgeführt, aber nicht neu gestartet.

Code:

ATTFilter

ComboFix 10-01-01.02 - *** 02.01.2010  13:11:45.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.317 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-12-02 bis 2010-01-02  ))))))))))))))))))))))))))))))
.

2009-12-31 10:30 . 2008-04-13 19:45	60032	-c--a-w-	c:\windows\system32\dllcache\usbaudio.sys
2009-12-31 10:30 . 2008-04-13 19:45	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2009-12-30 13:25 . 2009-12-30 13:28	--------	d-----w-	C:\Lop SD
2009-12-30 11:07 . 2009-12-30 11:07	--------	d-----w-	C:\rsit
2009-12-30 10:19 . 2009-12-30 10:19	--------	d-----w-	c:\programme\Trend Micro
2009-12-29 19:45 . 2009-12-29 19:45	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-29 19:45 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-29 19:45 . 2009-12-29 19:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-29 19:45 . 2009-12-30 09:52	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-12-29 19:45 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-29 19:25 . 2009-12-29 19:25	--------	d-----w-	c:\programme\CCleaner
2009-12-26 17:16 . 2009-12-26 17:21	--------	d-----w-	c:\programme\RegCleaner
2009-12-26 09:02 . 2009-12-26 09:03	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\U3
2009-12-24 21:54 . 2009-12-24 21:54	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\Shared
2009-12-23 17:35 . 2009-12-29 18:04	--------	d-----w-	c:\windows\system32\drivers\avg
2009-12-23 11:50 . 2009-12-23 12:12	--------	d-----w-	C:\$AVG
2009-12-23 11:46 . 2009-12-23 14:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2009-12-23 11:46 . 2009-12-23 12:12	--------	d-----w-	c:\windows\SxsCaPendDel
2009-12-23 08:43 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-23 08:43 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-12-23 08:43 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-12-23 08:43 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-12-23 08:43 . 2009-12-23 08:43	--------	d-----w-	c:\programme\Avira
2009-12-23 08:43 . 2009-12-23 08:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-21 20:37 . 2009-12-21 20:37	--------	d-----w-	c:\programme\HD Tune
2009-12-21 15:43 . 2009-12-21 15:43	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\[
2009-12-21 15:39 . 2009-12-23 09:24	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\Incomplete
2009-12-21 15:38 . 2009-12-21 15:38	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\ddd
2009-12-13 06:51 . 2009-12-13 06:51	--------	d-----w-	c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-12-12 18:18 . 2009-12-12 18:18	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue
2009-12-12 15:46 . 2009-12-20 10:12	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***\UserData
2009-12-12 15:25 . 2006-03-31 12:36	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant.***\Netzwerkumgebung
2009-12-12 15:25 . 2006-03-31 12:36	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant.***\Lokale Einstellungen
2009-12-12 15:25 . 2006-03-31 12:36	--------	d--h--w-	c:\dokumente und einstellungen\HelpAssistant.***\Druckumgebung
2009-12-12 15:25 . 2006-03-31 12:36	--------	d-----r-	c:\dokumente und einstellungen\HelpAssistant.***\Startmenü
2009-12-12 15:25 . 2009-12-31 13:54	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant.***
2009-12-12 14:54 . 2009-12-12 14:54	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-12-11 19:16 . 2009-12-11 19:16	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\UserData
2009-12-11 19:12 . 2009-12-11 19:12	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\ElsterFormular
2009-12-11 18:58 . 2009-12-11 18:58	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.thumbnails
2009-12-11 18:58 . 2009-12-11 18:58	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.limewire
2009-12-11 18:58 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.gimp-2.2
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Startmenü
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Favoriten
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten
2009-12-11 18:57 . 2009-12-12 14:52	--------	d-s---w-	c:\dokumente und einstellungen\HelpAssistant

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-02 12:03 . 2009-10-17 14:48	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2010-01-02 08:53 . 2006-04-04 00:05	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\FRITZ!
2010-01-01 15:15 . 2007-05-14 17:47	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2009-12-31 18:45 . 2009-09-03 11:21	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-12-30 13:31 . 2006-04-06 16:10	--------	d-----w-	c:\programme\StarOffice7
2009-12-29 13:39 . 2009-09-03 11:19	--------	d-----w-	c:\programme\ICQ6.5
2009-12-27 18:43 . 2009-12-27 18:11	1924744	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2009-12-26 17:04 . 2007-04-03 06:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-26 08:46 . 2008-08-23 18:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2009-12-24 18:52 . 2008-10-01 17:46	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2009-12-24 18:24 . 2006-05-26 17:24	36272	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-24 18:06 . 2008-08-23 18:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-23 11:46 . 2008-07-20 06:24	--------	d-----w-	c:\programme\AVG
2009-12-21 20:33 . 2009-05-27 16:19	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\U3
2009-12-13 07:49 . 2006-10-02 18:20	--------	d-----w-	c:\programme\Google
2009-12-13 07:47 . 2006-07-31 10:15	--------	d-----w-	c:\programme\Heureka
2009-12-12 18:39 . 2006-04-14 11:05	--------	d-----w-	c:\programme\DivX
2009-12-12 15:59 . 2004-08-04 12:00	48360	----a-w-	c:\windows\system32\perfc007.dat
2009-12-12 15:59 . 2004-08-04 12:00	316924	----a-w-	c:\windows\system32\perfh007.dat
2009-11-23 06:38 . 2009-06-27 19:48	14707	----a-w-	c:\windows\system32\keravdat.dll
2009-11-22 09:48 . 2006-04-03 19:11	36272	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-21 11:17 . 2009-09-03 11:29	--------	d-----w-	c:\programme\ICQ6Toolbar
2009-11-20 17:40 . 2009-09-03 11:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-11-02 08:33 . 2009-11-02 08:33	79144	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-10-29 05:24 . 2004-08-04 12:00	672768	------w-	c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 12:00	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 12:00	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 12:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-19 15:31 . 2006-04-03 19:11	499712	----a-w-	c:\windows\system32\msvcp71.dll
2009-10-18 14:33 . 2009-10-18 14:33	27904	---ha-w-	c:\windows\system32\mlfcache.dat
2009-10-13 10:32 . 2004-08-04 12:00	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-04 12:00	79872	----a-w-	c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2004-08-04 12:00	150528	----a-w-	c:\windows\system32\rastls.dll
2009-09-03 17:37 . 2009-09-03 17:37	10437264	----a-w-	c:\programme\mozilla firefox\plugins\PDFNetC.dll
2009-09-03 17:58 . 2009-09-03 17:58	107760	----a-w-	c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-02-13 7557120]
"nwiz"="nwiz.exe" [2006-02-13 1519616]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-02-13 86016]
"tvjbmonitor"="c:\programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe" [2006-12-26 53248]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2007-07-02 18:32	1364168	----a-w-	c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-04-21 15:03	94208	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]
2007-12-18 13:20	401408	------w-	c:\programme\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54	417792	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-10-19 15:30	198160	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\ElsterFormular\\2008-2009\\elfoStarter2008.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8000:TCP"= 8000:TCP:ElsterFormular 2008-2009

R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [26.09.2006 16:58 11264]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [23.12.2009 09:43 108289]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [20.07.2008 07:24 297752]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [03.09.2009 12:29 246520]
R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [26.09.2006 16:57 15104]
R3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [20.09.2000 01:00 38608]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\Netfritz.sys [04.04.2006 01:34 224768]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [26.09.2006 16:58 367104]
S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [20.07.2008 07:24 908056]
S3 fxusbase;1&1 NetXXL (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [20.09.2000 01:00 503600]
.
Inhalt des "geplante Tasks" Ordners

2009-12-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/skins/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = fritz.box
IE: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
LSP: c:\programme\FRITZ!DSL\sarah.dll
TCP: {54F199B4-92E1-44F7-8451-12E9D36F5554} = 192.168.122.252,192.168.122.253
TCP: {A0DF301E-A14F-46F6-ACF4-6496DC953089} = 192.168.120.252,192.168.120.253
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fnu6phuk.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=skin&q=
FF - component: c:\programme\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 13:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\AnyDVD/1]
"1"=dword:446778e3
"2"=dword:4689249e

[HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD/2]
"1"=dword:44677d33
"2"=dword:4478b930

[HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD2/2]
"1"=dword:44677d33
"2"=dword:46892518
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1080)
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
c:\programme\FRITZ!DSL\avmcsock.dll
c:\programme\FRITZ!DSL\avmufc.dll

- - - - - - - > 'explorer.exe'(1660)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchTrayHook.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
.
Zeit der Fertigstellung: 2010-01-02  13:25:21
ComboFix-quarantined-files.txt  2010-01-02 12:25
ComboFix2.txt  2009-12-31 14:41

Vor Suchlauf: 16 Verzeichnis(se), 18.658.525.184 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 18.628.816.896 Bytes frei

- - End Of File - - DFFAA1DFD92D2B0081BD4155403881AF

cosinus · 02.01.2010, 14:03

Sehr schön. Mach nochmal einen Kontrollscan mit Malwarebytes.

30.12.2009, 14:24	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Mein Internetzugang wird missbraucht, Trojaner Vundo.H Alternativlink LOPS&D __________________ Logfiles bitte immer in CODE-Tags posten

30.12.2009, 20:22	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Mein Internetzugang wird missbraucht, Trojaner Vundo.H Ach Du kacke!! 40 MByte! Kein Wunder, dass das so lange gedauert hat Probier Du bitte in der zwischenzeit einen neuen Durchlauf mit Malwarebytes - voller Scan, aktuelle Signaturen, Funde löschen lassen, Log hier (direkt) posten! __________________ Logfiles bitte immer in CODE-Tags posten

02.01.2010, 14:03	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Mein Internetzugang wird missbraucht, Trojaner Vundo.H Sehr schön. Mach nochmal einen Kontrollscan mit Malwarebytes. __________________ Logfiles bitte immer in CODE-Tags posten

Mein Internetzugang wird missbraucht, Trojaner Vundo.H

Plagegeister aller Art und deren Bekämpfung: Mein Internetzugang wird missbraucht, Trojaner Vundo.H