das von avira:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 6. Januar 2010 17:20

Es wird nach 1501318 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Jean
Computername : JEAN-5E6950AF44

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 04:11:10
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 04:11:10
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 04:11:10
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 04:11:10
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 04:11:10
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 04:11:10
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 04:11:10
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 04:11:10
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 04:11:11
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 04:11:11
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 04:11:11
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 04:11:11
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 04:11:11
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 04:11:11
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 04:11:12
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 04:11:12
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 04:11:12
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 04:11:13
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 04:11:13
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 04:11:13
VBASE021.VDF : 7.10.2.94 2048 Bytes 29.12.2009 04:11:13
VBASE022.VDF : 7.10.2.95 2048 Bytes 29.12.2009 04:11:13
VBASE023.VDF : 7.10.2.96 2048 Bytes 29.12.2009 04:11:13
VBASE024.VDF : 7.10.2.97 2048 Bytes 29.12.2009 04:11:13
VBASE025.VDF : 7.10.2.98 2048 Bytes 29.12.2009 04:11:13
VBASE026.VDF : 7.10.2.99 2048 Bytes 29.12.2009 04:11:13
VBASE027.VDF : 7.10.2.100 2048 Bytes 29.12.2009 04:11:13
VBASE028.VDF : 7.10.2.101 2048 Bytes 29.12.2009 04:11:13
VBASE029.VDF : 7.10.2.102 2048 Bytes 29.12.2009 04:11:13
VBASE030.VDF : 7.10.2.103 2048 Bytes 29.12.2009 04:11:14
VBASE031.VDF : 7.10.2.126 197120 Bytes 05.01.2010 04:11:14
Engineversion : 8.2.1.130
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 06.01.2010 04:11:17
AESCN.DLL : 8.1.3.0 127348 Bytes 06.01.2010 04:11:17
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 06.01.2010 04:11:17
AEPACK.DLL : 8.2.0.4 422263 Bytes 06.01.2010 04:11:16
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.192 2195833 Bytes 06.01.2010 04:11:16
AEHELP.DLL : 8.1.9.0 237943 Bytes 06.01.2010 04:11:15
AEGEN.DLL : 8.1.1.83 369014 Bytes 06.01.2010 04:11:14
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 06.01.2010 04:11:14
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, H:, I:, L:, M:, E:, J:, K:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 6. Januar 2010 17:20

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZDWlan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'libusbd-nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!
Bootsektor 'L:\'
[INFO] Im Laufwerk 'L:\' ist kein Datenträger eingelegt!
Bootsektor 'M:\'
[INFO] Im Laufwerk 'M:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '74' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger ( Win XP )>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Jean\Lokale Einstellungen\Temp\3056ymg.dll
[FUND] Ist das Trojanische Pferd TR/Agent.28160.AC
C:\Dokumente und Einstellungen\Jean\Lokale Einstellungen\Temp\3117ymg.dll
[FUND] Ist das Trojanische Pferd TR/Agent.28160.AC
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Lokaler Datenträger ( Vista )>
D:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'L:\'
Der zu durchsuchende Pfad L:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'M:\'
Der zu durchsuchende Pfad M:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'K:\'
Der zu durchsuchende Pfad K:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Jean\Lokale Einstellungen\Temp\3056ymg.dll
[FUND] Ist das Trojanische Pferd TR/Agent.28160.AC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b79cd73.qua' verschoben!
C:\Dokumente und Einstellungen\Jean\Lokale Einstellungen\Temp\3117ymg.dll
[FUND] Ist das Trojanische Pferd TR/Agent.28160.AC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75cd74.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 6. Januar 2010 18:49
Benötigte Zeit: 1:28:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

25411 Verzeichnisse wurden überprüft
558461 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
558456 Dateien ohne Befall
4001 Archive wurden durchsucht
3 Warnungen
3 Hinweise

Hi,

das gefällt mir noch nicht...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Hier das is von Combofix


ComboFix 10-01-04.01 - Jean 06.01.2010 22:56:38.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2558.2043 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Jean\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1694060903-3945031567-3295474741-1000
c:\$recycle.bin\S-1-5-21-2870799809-3337764006-454167650-1000
c:\dokumente und einstellungen\Jean\Favoriten\Videos.url
c:\programme\ICQ6.5\ICQLRun.exe
c:\windows\system32\ic32.dll
c:\windows\system32\jxckygwb.ini
c:\windows\system32\srcr.dat
c:\windows\system32\sysdm.exe
c:\windows\system32\wk32.dll
C:\wow.jpg

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-06 bis 2010-01-06 ))))))))))))))))))))))))))))))
.

2010-01-06 19:43 . 2010-01-06 19:43 79488 ----a-w- c:\dokumente und einstellungen\Jean\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-06 16:28 . 2010-01-06 16:29 -------- d-----w- C:\rsit
2010-01-06 16:28 . 2010-01-06 16:29 -------- d-----w- c:\programme\trend micro
2010-01-06 04:09 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-06 04:09 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-06 04:09 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-06 04:09 . 2010-01-06 04:09 -------- d-----w- c:\programme\Avira
2010-01-06 04:09 . 2010-01-06 04:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-05 21:27 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-05 21:27 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 19:45 . 2010-01-04 19:45 -------- d-sh--w- c:\dokumente und einstellungen\Jean\PrivacIE
2010-01-01 20:34 . 2010-01-01 20:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-12-30 11:26 . 2009-12-30 11:26 -------- d-sh--w- c:\dokumente und einstellungen\Jean\IETldCache
2009-12-30 11:26 . 2009-12-30 11:26 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-12-30 11:11 . 2010-01-05 21:27 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-30 11:08 . 2009-10-29 07:40 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-12-30 11:08 . 2009-10-29 07:40 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-12-30 11:08 . 2009-12-30 11:08 -------- d-----w- c:\windows\ie8updates
2009-12-30 11:08 . 2009-10-02 04:44 92160 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-12-30 11:07 . 2009-12-30 11:07 -------- dc-h--w- c:\windows\ie8
2009-12-29 18:29 . 2009-12-29 22:49 -------- d-----w- c:\programme\a-squared Free
2009-12-29 18:05 . 2009-06-04 17:13 64072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\KAV 2010\setup.exe
2009-12-29 18:05 . 2009-12-29 18:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-12-29 07:03 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-29 06:36 . 2009-12-29 06:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-12-28 20:52 . 2009-12-28 20:52 -------- d-----w- c:\dokumente und einstellungen\Jean\Anwendungsdaten\teamspeak2
2009-12-28 18:59 . 2009-12-28 20:50 -------- d-----w- c:\dokumente und einstellungen\Jean\Anwendungsdaten\mIRC
2009-12-28 17:22 . 2009-12-28 17:22 -------- d-----w- c:\dokumente und einstellungen\Jean\Anwendungsdaten\TS3Client
2009-12-28 17:12 . 2010-01-01 20:34 -------- d-----w- c:\programme\TeamSpeak 3 Client
2009-12-28 12:52 . 2009-12-28 12:52 1924200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2009-12-27 20:34 . 2009-12-27 20:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-12-27 20:34 . 2009-12-28 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-12-25 20:23 . 2009-10-21 05:38 75776 ------w- c:\windows\system32\dllcache\strmfilt.dll
2009-12-25 20:23 . 2009-10-21 05:38 25088 ------w- c:\windows\system32\dllcache\httpapi.dll
2009-12-25 20:23 . 2009-10-20 16:20 265728 ------w- c:\windows\system32\dllcache\http.sys
2009-12-25 20:23 . 2009-10-12 13:38 79872 ------w- c:\windows\system32\dllcache\raschap.dll
2009-12-25 20:23 . 2009-10-12 13:38 150528 ------w- c:\windows\system32\dllcache\rastls.dll
2009-12-25 20:23 . 2009-07-17 16:15 1441792 ------w- c:\windows\system32\dllcache\query.dll
2009-12-25 20:23 . 2009-09-04 21:03 58880 ------w- c:\windows\system32\dllcache\msasn1.dll
2009-12-25 20:23 . 2009-10-13 10:32 271360 ------w- c:\windows\system32\dllcache\oakley.dll
2009-12-25 16:06 . 2009-12-25 16:06 -------- d-----w- c:\dokumente und einstellungen\Jean\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-12-13 19:54 . 2009-12-13 19:54 -------- d-----w- c:\programme\ZyDAS Technology Corporation

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-06 22:00 . 2009-01-10 14:01 -------- d-----w- c:\programme\ICQ6.5
2010-01-06 21:50 . 2008-07-19 03:28 -------- d-----w- c:\dokumente und einstellungen\Jean\Anwendungsdaten\ICQ
2009-12-29 21:28 . 2009-03-08 17:02 -------- d-----w- c:\programme\Steam
2009-12-27 20:42 . 2008-07-19 00:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-27 19:03 . 2008-07-19 00:15 -------- d-----w- c:\programme\PokerStars
2009-12-26 01:49 . 2004-08-04 12:00 78634 ----a-w- c:\windows\system32\perfc007.dat
2009-12-26 01:49 . 2004-08-04 12:00 445526 ----a-w- c:\windows\system32\perfh007.dat
2009-12-26 01:46 . 2008-07-18 23:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-14 21:49 . 2008-07-19 03:36 69728 ----a-w- c:\dokumente und einstellungen\Jean\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-13 22:52 . 2008-07-19 00:11 -------- d-----w- c:\programme\Microsoft Works
2009-12-13 22:14 . 2008-07-18 23:17 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-13 21:22 . 2008-07-19 00:10 -------- d-----w- c:\programme\Messenger Plus! Live
2009-10-29 07:40 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2004-08-04 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-04 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2004-08-04 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2008-02-28 12:30 . 2008-07-19 00:11 8784 ----a-w- c:\programme\mozilla firefox\plugins\ractrlkeyhook.dll
2008-02-28 12:33 . 2008-07-19 00:11 245408 ----a-w- c:\programme\mozilla firefox\plugins\unicows.dll
.

------- Sigcheck -------

[-] 2004-08-04 12:00 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464]
"SoundMan"="SOUNDMAN.EXE" [2003-08-14 57344]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-06-02 148888]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2007-10-30 13801]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2009-03-08 128512]

c:\dokumente und einstellungen\Jean\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-7-19 113664]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ZDWLan Utility.lnk - c:\programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe [2009-12-13 487424]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
"Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" -autorun
"Steam"="c:\programme\Steam\Steam.exe" -silent
"EPSON Stylus DX7400 Series"=c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "c:\windows\TEMP\E_S229.tmp" /EF "HKCU"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iconcache"=c:\windows\vcp_temp\iconcache\icon.bat
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Spiele\\Counter-Strike 1.6\\hl.exe"=
"d:\\Spiele\\Counter-Strike 1.6\\hlds.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Spiele\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"d:\\Spiele\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Steam\\SteamApps\\ghanbari92\\counter-strike source\\hl2.exe"=
"d:\\Spiele\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\Steam\\SteamApps\\12janheiko12\\counter-strike\\hl.exe"=
"c:\\Programme\\Steam\\SteamApps\\dom6224\\counter-strike\\hl.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"d:\\Spiele\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"d:\\Spiele\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"d:\\Spiele\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"c:\\Programme\\Steam\\SteamApps\\p_a_o_k\\counter-strike\\hl.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [19.07.2008 00:17 11264]
R2 a2free;a-squared Free Service;c:\programme\a-squared Free\a2service.exe [29.12.2009 19:29 1858144]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 06:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.01.2010 05:09 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [16.09.2009 10:06 54752]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [08.01.2009 19:38 222456]
R3 libusb0;LibUsb-Win32 - Kernel Driver 11/20/2005, 20051120;c:\windows\system32\drivers\libusb0.sys [19.07.2008 21:41 29184]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27.07.2008 15:22 721904]
S2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
S3 AIPTEK;DV3300 Video Capture;c:\windows\system32\drivers\CoachVc.sys [17.05.2009 19:11 46048]
S3 athrusb;Atheros Wireless LAN USB device driver;c:\windows\system32\drivers\athrusb.sys [03.08.2008 00:05 451072]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;c:\windows\system32\drivers\BRGSp50.sys [19.07.2008 00:24 20608]
S3 DV3300Usb;DV3300 Digital Camera on USB;c:\windows\system32\drivers\CoachUsb.sys [17.05.2009 19:11 42624]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
S3 ZD1211U(Digital Data Communication);LevelOne WNC-0301USB 11g Wireless USB Adapter(Digital Data Communication);c:\windows\system32\drivers\ZD1211U.sys [23.02.2009 17:28 259584]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-01-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-18 02:36]

2008-11-04 c:\windows\Tasks\FRU Task 2002-12-03 04:38ewlett-Packard2002-12-03 04:38p psc 1200 series84887B468ABA3F57D76752217D5938688025EB21216653953.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2002-12-02 18:38]

2010-01-06 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-01 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Jean\Anwendungsdaten\Mozilla\Firefox\Profiles\lsltyzg1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - plugin: c:\programme\Java\jre6\bin\npdeploytk.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npRACtrl.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-06 23:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-436374069-1220945662-1801674531-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ad,79,e2,64,77,65,4f,0d,59,67,de,0e,ca,c4,85,33,19,48,2d,18,38,3f,e5,
33,f0,1a,44,ed,7e,64,16,45,58,19,9c,33,c3,f2,e8,4c,73,ad,af,6d,aa,a0,ee,4e,\
"??"=hex:c2,91,2c,f8,ac,74,e4,ec,be,bc,d7,f4,41,9a,3e,f3

[HKEY_USERS\S-1-5-21-436374069-1220945662-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:73,0c,80,a2,de,a5,bb,a4,56,46,bc,cc,5c,86,ef,5f,f0,36,f8,c3,85,
70,9b,fc,53,a4,40,0a,e2,e8,59,e0,82,6d,bd,d2,b1,db,c8,20,e1,4b,f9,d2,0f,fa,\
"rkeysecu"=hex:ca,d7,81,c3,2f,85,22,21,92,27,1f,bf,35,03,76,35
.
Zeit der Fertigstellung: 2010-01-06 23:03:11
ComboFix-quarantined-files.txt 2010-01-06 22:02

Vor Suchlauf: 13 Verzeichnis(se), 21.776.953.344 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 21.895.180.288 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT /TUTAG=9NHAFA /KERNEL=TUKERNEL.EXE
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /NOEXECUTE=OPTIN /FASTDETECT /TUTAG=9NHAFA-BAK

- - End Of File - - 51415BAA371D0F4A4C6DAFB95B610541

Hi,

das sieht jetzt gut aus...

Deinstallieren Combofix: Start->Ausführen combofix /u

chris

Danke für deine hilfe
is alles bösartige weg ? ^^

aber mein sicherheits center geht immer noch nicht wenn ich drauf klicke steht da:

Das sicherheitscenter ist momentan nicht verfügbar, da der dienst sicherheitscenter nicht gestartet bzw. beendet wurde. .......... und dann steht da noch son bisschen


wenn ich unter dienste gehe und das sicherheitscenter starte geht es zwar aber beim neu start is es wieder so wie vorher und die firewall ist dadurch immer aus

könntest du mir dabei auch noch kurz helfen
aber für alles andere, vielen dank

schon ok jetzt hab ich nochmal neu start gemacht und jetzt geht alles danke dir vielmals echt sehr gutes forum hier ^^

HijackThis.de Support Board hab ich auch um hilfe gefragt aber hat bis jetzt keiner geantwortet also nochmal vielen dank Chris4You
wenn ich i-was für dich tun kann sag´s ^^ zockste wow ? brauchste gold xD

naja schönen abend noch

closed

Hi,

prüfe ob der Dienst auf dem Starttyp "automatisch" steht, nicht auf manuel!

chris

hast wohl mein text davor nicht gelesten ^^ geht jetzt nach nochmaligen neu start ^^
und steht auf "automatisch"

danke dir vielmals echt sehr gutes forum hier ^^
HijackThis.de Support Board hab ich auch um hilfe gefragt aber hat bis jetzt keiner geantwortet also nochmal vielen dank Chris4You
wenn ich i-was für dich tun kann sag´s ^^ zockste wow ? brauchste gold xD

naja schönen abend noch

closed