XP Antivirus Pro 2010 (neue Fake Version), av.exe

solemnis · 30.01.2010, 12:14

Hallo,

ich habe mir Malware eingefangen
Bezeichnet sich als
XP Antivirus Pro 2010

Unter Google gibt es etliche Anleitungen zu diesem Fake Windows Programm. Allerdings existiert keiner der dort aufgelisteten Dateien bei mir. Ich vermute es handelt sch um eine neue Version (habe mich vorgestern, 28.1. infiziert)

Ich habe bereits im chip Forum h**p://forum.chip*de/viren-trojaner-wuermer/xp-antivirus-pro-2010-neue-version-hilfe-loeschen-1338729.html Hilfe gesucht und bin letzlich hierher weitergeleitet worden.

Durch a squared Free konnte ich die Datei
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\av.exe manuell in Quarantäne verschieben.
Dadurch erscheinen keine Popups mehr.

Ich kann keine Verknüpfungen und Programme normal laufen lassen.
Zwar kann ich inzwischen wieder die Avira Setup Datei öffnen (wurde als av.exe aktiv war blockiert) Das Setup kann aber nicht abgeschlossen werden.

Ich habe nun wie in der Anleitung

a) CCleaner laufen lassen, alles bereinigt
(was mir danach aufgefallen ist. Im Rechts-Klick-Menü gibt es nun den Punkt Öffnen garnicht mehr)

b)Malwarebytes
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3661
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.01.2010 09:56:12
mbam-log-2010-01-30 (09-56-08).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 133479
Laufzeit: 40 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\secfile (Trojan.Fakealert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Desktop\CryptLoad_1.0.4_wiki\CryptLoad_1.0.3\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Desktop\CryptLoad_1.0.4_wiki\CryptLoad_1.0.3\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTbfpmpelval.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTfnsktbaesb.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTjtbrsibsiw.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTkesxvkkbph.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTevpuctpvkn.sys.vir (Rootkit.TDSS) -> No action taken.
C:\SDFix\SDFix\dummy.sys (Malware.Trace) -> No action taken.
C:\SDFix\SDFix\apps\dummy.sys (Malware.Trace) -> No action taken.
C:\System Volume Information\_restore{DE0059D2-E6DD-4C7C-9FFC-0EEB853B3F02}\RP2\A0002251.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> No action taken.

c) rsit

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-01-30 11:39:11
Microsoft Windows XP Professional Service Pack 3
System drive C: has 870 MB (5%) free of 19 GB
Total RAM: 487 MB (31% free)

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-12-14 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-10 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-10 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2009-09-05 417792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
C:\WINDOWS\SOUNDMAN.EXE [2007-04-16 577536]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-12-14 198160]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2008-06-29 52168]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTTray.exe []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-04-16 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2009-04-16 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoResolveTrack"=1
"NoResolveSearch"=1
"NoSMHelp"=1
"NoRecentDocsNetHood"=1
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======File associations======

.exe - open - "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\av.exe" /START "%1" %*

======List of files/folders created in the last 1 months======

2010-01-30 11:39:14 ----D---- C:\Programme\trend micro
2010-01-30 11:39:11 ----D---- C:\rsit
2010-01-30 11:38:17 ----A---- C:\RSIT.exe
2010-01-30 10:15:34 ----A---- C:\Kopie von avira_antivir_personal_de.exe
2010-01-30 10:10:29 ----A---- C:\avira_antivir_personal_de.exe
2010-01-30 09:12:33 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-30 09:12:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-30 09:12:18 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-29 22:41:05 ----D---- C:\Programme\a-squared Free
2010-01-29 22:36:37 ----A---- C:\a2FreeSetup45024.exe
2010-01-29 20:50:50 ----D---- C:\WINDOWS\ERUNT
2010-01-29 20:47:54 ----A---- C:\WINDOWS\ntbtlog.txt
2010-01-29 20:26:48 ----D---- C:\SDFix
2010-01-29 13:26:43 ----D---- C:\Programme\TrendMicro
2010-01-28 21:00:49 ----D---- C:\Programme\Enigma Software Group
2010-01-28 17:18:19 ----D---- C:\Programme\a-squared Anti-Malware
2010-01-28 14:47:12 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-28 14:32:39 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera
2010-01-27 17:17:20 ----D---- C:\Programme\Blitzentspannung
2010-01-25 13:40:04 ----D---- C:\Downloads
2010-01-21 13:03:12 ----D---- C:\Programme\mp3DirectCut
2010-01-20 17:35:13 ----D---- C:\Programme\Direct MP3 Joiner
2010-01-16 20:40:21 ----A---- C:\WINDOWS\unvise32.exe
2010-01-16 20:40:17 ----D---- C:\Programme\PicSizer
2010-01-16 10:41:53 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-01-13 21:50:37 ----SHD---- C:\RECYCLER
2010-01-13 15:16:39 ----D---- C:\WINDOWS\temp
2010-01-13 15:16:35 ----A---- C:\ComboFix.txt
2010-01-13 14:43:49 ----A---- C:\Boot.bak
2010-01-13 14:43:39 ----RASHD---- C:\cmdcons
2010-01-13 14:40:44 ----A---- C:\WINDOWS\zip.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\SWSC.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\SWREG.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\sed.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\PEV.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\NIRCMD.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\MBR.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\grep.exe
2010-01-13 14:40:43 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-01-13 14:34:06 ----D---- C:\WINDOWS\ERDNT
2010-01-13 14:27:03 ----D---- C:\Qoobox
2010-01-13 11:55:32 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini

======List of files/folders modified in the last 1 months======

2010-01-30 11:39:14 ----RD---- C:\Programme
2010-01-30 10:35:06 ----D---- C:\Programme\Mozilla Thunderbird
2010-01-30 09:12:25 ----D---- C:\WINDOWS\system32\drivers
2010-01-29 20:50:50 ----D---- C:\WINDOWS
2010-01-29 20:45:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-29 20:30:21 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-29 13:26:47 ----SHD---- C:\WINDOWS\Installer
2010-01-29 13:04:07 ----D---- C:\WINDOWS\system32
2010-01-29 09:48:01 ----D---- C:\Programme\Mozilla Firefox
2010-01-28 21:55:53 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2010-01-28 20:55:33 ----D---- C:\WINDOWS\WinSxS
2010-01-28 20:55:29 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-28 18:07:02 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-27 02:43:57 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2010-01-25 21:24:00 ----D---- C:\Programme\No23 Recorder
2010-01-13 15:54:21 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2010-01-13 15:10:51 ----A---- C:\WINDOWS\system.ini
2010-01-13 15:07:16 ----SD---- C:\WINDOWS\Tasks
2010-01-13 15:03:59 ----D---- C:\WINDOWS\AppPatch
2010-01-13 14:49:47 ----D---- C:\WINDOWS\system32\config
2010-01-13 14:43:50 ----RASH---- C:\boot.ini
2010-01-13 14:40:39 ----D---- C:\WINDOWS\system32\Restore

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 33792]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 LX;LX; C:\WINDOWS\system32\DRIVERS\lxmini.sys [2009-04-27 81024]
R3 LXWDM;Service for GeodeLX Audio Driver (WDM); C:\WINDOWS\system32\drivers\lxwdmau.sys [2007-10-17 118016]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-06-16 83968]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-13 121984]
R3 VClone;VClone; C:\WINDOWS\system32\DRIVERS\VClone.sys [2008-09-24 29184]
S3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2008-01-24 4127488]
S3 BT;Bluetooth PAN Network Adapter; C:\WINDOWS\system32\DRIVERS\btnetdrv.sys [2008-12-07 14088]
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOWS\System32\Drivers\btcusb.sys [2009-01-03 39304]
S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2009-04-16 273024]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-13 18944]
S3 btnetBUs;Bluetooth PAN Bus Service; C:\WINDOWS\System32\Drivers\btnetBus.sys [2008-12-07 30088]
S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 IvtBtBUs;IVT Bluetooth Bus Service; C:\WINDOWS\System32\Drivers\IvtBtBus.sys [2008-07-02 26248]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 Netaapl;Apple Mobile Device Ethernet Service; C:\WINDOWS\system32\DRIVERS\netaapl.sys []
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-03-26 36864]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 VComm;Virtual Serial port driver; C:\WINDOWS\system32\DRIVERS\VComm.sys [2008-01-21 14856]
S3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOWS\System32\Drivers\VcommMgr.sys [2009-01-08 31880]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2009-04-16 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2009-04-16 82944]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS); C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2006-08-24 477696]
S4 exFat;exFat; C:\WINDOWS\system32\drivers\exFat.sys [2009-04-16 133632]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys [2009-08-10 717296]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 a2free;a-squared Free Service; C:\Programme\a-squared Free\a2service.exe [2009-10-01 1858144]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-08-10 152984]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

&

info.txt logfile of random's system information tool 1.06 2010-01-30 11:39:39

======Uninstall list======

-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.62-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Digital Editions-->"C:\Programme\Adobe\Adobe Digital Editions\uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001}
Adobe Shockwave Player 11.5-->C:\WINDOWS\system32\Adobe\uninstaller.exe
Allgemeine Runtime Dateien-->"C:\WINDOWS\$NtUninstallRuntimes$\spuninst\spuninst.exe"
Apple Application Support-->MsiExec.exe /I{B607C354-CD79-4D22-86D1-92DC94153F42}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
a-squared Free 4.5-->"C:\Programme\a-squared Free\unins000.exe"
Blitzentspannung V. 1.07b-->C:\Programme\Blitzentspannung\unins000.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Chinese (Simplified) Language Support-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\cn.inf, Uninstall
Chinese (Traditional) Language Support-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\tw.inf, Uninstall
Direct MP3 Joiner version 3.0.0.3-->"C:\Programme\Direct MP3 Joiner\unins000.exe"
DirectX 9.0c Zusatzdateien - März 2009-->"C:\WINDOWS\$NtUninstallDXAddon$\spuninst\spuninst.exe"
EarMaster Pro 5-->"C:\Programme\EarMaster Pro 5\unins000.exe"
Edraw Mind Map V4-->"C:\Programme\Edraw Mind Map\unins000.exe"
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB957661)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB959362)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB960043)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB961073)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 SP1 + KB928366-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1 SP1 + KB928366-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
No23 Recorder-->MsiExec.exe /X{22B0E143-2B0B-435B-9F56-136A3D16065F}
OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585}
PicSizer-->C:\WINDOWS\unvise32.exe C:\Programme\PicSizer\uninstal.log
QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
Reality Check-->MsiExec.exe /I{3C26AF24-2E92-4265-8946-121CB763CAD9}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
Realtek AC'97 Audio-->Alcrmv.exe -r -m
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
VirtualCloneDrive-->"C:\Programme\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="C:\Programme\Elaborate Bytes\VirtualCloneDrive"
VLC media player 0.9.9-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Internet Explorer 8-->C:\Programme\Internet Explorer\iexplore.exe
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XP Codec Pack-->C:\Programme\XP Codec Pack\Uninstall.exe

======Hosts File======

127.0.0.1 localhost

======System event log======

Computer Name: SILVERTUBE
Event Code: 8033
Message: Der Suchdienst hat eine Wahl auf dem Netzwerk "\Device\NetBT_Tcpip_{B57CBB3C-6AEC-47DB-95C4-7854CDB91C91}" erzwungen, da der Hauptsuchdienst beendet wurde.

Record Number: 5199
Source Name: BROWSER
Time Written: 20100106110822.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 4202
Message: Es wurde festgestellt, dass der Netzwerkadapter "\DEVICE\TCPIP_{B57CBB3C-6AEC-47DB-95C4-7854CDB91C91}" vom Netzwerk getrennt wurde,
und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise
ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde.
Wenden Sie sich an den Hersteller bezüglich aktueller Treiber.

Record Number: 5198
Source Name: Tcpip
Time Written: 20100106110822.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 5
Message: AMLI: ACPI-BIOS versucht, in eine ungültige E/A-Portadresse (0x70) zu schreiben, die sich in "0x70 - 0x71", einem
geschützten Adressbereich befindet. Dies kann zu Systeminstabilität führen. Wenden Sie sich an den Systemhersteller,
um technische Unterstützung zu erhalten.

Record Number: 5197
Source Name: ACPI
Time Written: 20100106105715.000000+060
Event Type: Fehler
User:

Computer Name: SILVERTUBE
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 5196
Source Name: EventLog
Time Written: 20100106105707.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 5195
Source Name: EventLog
Time Written: 20100106105707.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 656
Source Name: Bonjour Service
Time Written: 20091129214253.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 655
Source Name: Bonjour Service
Time Written: 20091129201106.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 654
Source Name: Bonjour Service
Time Written: 20091129193018.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 653
Source Name: Bonjour Service
Time Written: 20091129173940.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1002
Message: Die Shell wurde unerwartet beendet und Explorer.exe wurde neu gestartet.

Record Number: 652
Source Name: Winlogon
Time Written: 20091129161724.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=5
"PROCESSOR_IDENTIFIER"=x86 Family 5 Model 10 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0a02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Hoffe, ich habe die Anleitung richtig befolgt und alle Infos gegeben.
Freu mich auf Hilfe.

Gruß,
solemnis

cosinus · 02.02.2010, 10:00

Hallo und

Zitat:

C:\WINDOWS\unvise32.exe

Bitte bei Virustotal.com auswerten lassen und Ergebnislink posten, auch bitte das alte combofix-log (c:\combofix.txt)

Mach danach bitte ein frisches Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

solemnis · 02.02.2010, 10:59

Hallo Arne,

danke für die Begrüßung und deine Antwort!
War so klar struktieriert und erklärt, dass ich ganz leicht folgen konnte.

1) Hier der link von virustotal h**p://www*virustotal.com/de/analisis/f241f37d423dd5c192b22ca1d4655dbf9e9b861487a6ac0f958b190e975934dc-1263356448

2) altes combo file
ComboFix 10-01-12.04 - Administrator 13.01.2010 14:57:17.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.487.307 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\1234.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\ADMINI~1\LOKALE~1\Temp\wscsvc32.exe
c:\windows\msa.exe
c:\windows\system32\drivers\H8SRTevpuctpvkn.sys
c:\windows\system32\H8SRTbfpmpelval.dll
c:\windows\system32\H8SRTfnsktbaesb.dll
c:\windows\system32\H8SRTjtbrsibsiw.dll
c:\windows\system32\H8SRTkesxvkkbph.dll
c:\windows\system32\h8srtkrl32mainweq.dll
c:\windows\system32\h8srtshsyst.dll
c:\windows\system32\H8SRTwktdifhfvr.dat
c:\windows\system32\msxml71.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys

((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 ))))))))))))))))))))))))))))))
.

2010-01-13 10:55 . 2010-01-13 10:55 768 ----a-w- c:\windows\system32\d3d8caps.dat
2009-12-16 20:26 . 2009-12-16 20:29 -------- d-----w- c:\programme\Edraw Mind Map

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 11:25 . 2009-11-16 16:26 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-01-13 10:55 . 2009-08-29 06:28 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-12 12:48 . 2009-12-11 15:38 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-10 23:03 . 2009-11-01 08:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2010-01-10 06:29 . 2009-11-02 09:29 -------- d-----w- c:\programme\No23 Recorder
2009-12-22 19:31 . 2009-12-07 16:11 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-12-16 20:29 . 2009-08-29 06:28 11624 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-14 01:14 . 2009-12-14 01:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-12-14 01:14 . 2009-12-14 01:14 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-12-14 01:13 . 2009-08-10 15:56 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-12-14 01:13 . 2009-12-14 01:13 -------- d-----w- c:\programme\Real
2009-12-11 15:37 . 2009-12-11 15:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
2009-12-11 15:10 . 2009-12-11 15:10 -------- d-----w- c:\programme\JRE
2009-12-11 15:10 . 2009-12-11 15:10 -------- d-----w- c:\programme\OpenOffice.org 3
2009-12-05 17:02 . 2009-12-05 17:01 -------- d-----w- c:\programme\EarMaster Pro 5
2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EarMaster
2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\EarMaster
2009-11-25 20:23 . 2009-11-25 20:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2009-11-20 15:54 . 2009-11-20 15:54 22842 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{3C26AF24-2E92-4265-8946-121CB763CAD9}\_fbf2f14.exe
2009-11-20 15:54 . 2009-11-20 15:54 22842 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{3C26AF24-2E92-4265-8946-121CB763CAD9}\_6ad647e.exe
2009-11-20 15:54 . 2009-11-20 15:54 -------- d-----w- c:\programme\Byte Red
2009-11-16 23:03 . 2009-11-16 23:03 -------- d-----w- c:\programme\XP Codec Pack
2009-11-16 16:27 . 2009-11-16 16:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Talkback
2009-11-16 16:27 . 2009-11-16 16:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird
2009-11-03 16:59 . 2008-04-14 12:00 84704 ----a-w- c:\windows\system32\perfc007.dat
2009-11-03 16:59 . 2008-04-14 12:00 458732 ----a-w- c:\windows\system32\perfh007.dat
.

------- Sigcheck -------

[-] 2009-04-16 . E7F374DF9C093432782C4A3309DCB95C . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-04-16 . 15527E782355538F180992B4D685C193 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2009-08-11 07:07 . 18747FCB2508EEEC79415B32F63F3654 . 36864 . . [------] . . c:\windows\system32\ctfmon.exe
[-] 2009-08-11 07:07 . 18747FCB2508EEEC79415B32F63F3654 . 36864 . . [------] . . c:\windows\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-04-16 128512]
"Extra"="advpack.dll" [2009-04-16 128512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 417792 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2007-04-16 20:28 577536 ----a-w- c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-12-14 01:13 198160 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2008-06-29 22:01 52168 ----a-w- c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [07.01.2009 22:39 20744]
R3 LX;LX;c:\windows\system32\drivers\lxmini.sys [10.08.2009 18:23 81024]
R3 LXWDM;Service for GeodeLX Audio Driver (WDM);c:\windows\system32\drivers\lxwdmau.sys [10.08.2009 18:22 118016]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [07.12.2008 11:44 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [02.07.2008 13:58 26248]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys --> c:\windows\system32\DRIVERS\netaapl.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.08.2009 17:36 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jwmallnu.default\
FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jwmallnu.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-MailBlocker - c:\dokume~1\ADMINI~1\LOKALE~1\Temp\b.exe
AddRemove-Microsoft .NET Framework 3.5 Language Pack SP1 - deu - c:\windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 15:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1275210071-1708537768-1060284298-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,99,27,e9,b5,fb,e0,4d,a6,75,83,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,99,27,e9,b5,fb,e0,4d,a6,75,83,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2728)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-13 15:16:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-13 14:16

Vor Suchlauf: 2.893.201.408 Bytes frei
Nach Suchlauf: 2.888.921.088 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 5750D279F3C98B69ACA94054BD39DA36

3) ComboFix von heute (nach CCleaner Reinigung)
ComboFix 10-02-01.02 - Administrator 02.02.2010 10:21:38.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.487.280 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\kernel32.dll wurde gefunden und desinfiziert
Kopie von - c:\windows\ERDNT\cache\kernel32.dll wurde wiederhergestellt

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-02 bis 2010-02-02 ))))))))))))))))))))))))))))))
.

2010-02-02 09:17 . 2010-02-02 09:17 184 ----a-w- C:\cc_20100202_101736.reg
2010-02-02 09:17 . 2010-02-02 09:17 1478 ----a-w- C:\cc_20100202_101711.reg
2010-02-02 09:16 . 2010-02-02 09:16 5072 ----a-w- C:\cc_20100202_101618.reg
2010-02-01 20:58 . 2010-02-01 20:59 -------- d-----w- C:\kme20beta2
2010-02-01 20:52 . 2010-02-01 20:52 59865 ----a-w- C:\kme20beta2.zip
2010-02-01 20:47 . 2010-02-01 20:47 8159312 ----a-w- C:\Firefox_Setup_3.6.exe
2010-01-30 11:15 . 2010-01-30 11:15 77312 ----a-w- C:\mbr.exe
2010-01-30 10:46 . 2010-01-30 10:46 1852 ----a-w- C:\cc_20100130_114621.reg
2010-01-30 10:45 . 2010-01-30 10:45 136726 ----a-w- C:\cc_20100130_114528.reg
2010-01-30 10:39 . 2010-01-30 10:39 -------- d-----w- c:\programme\trend micro
2010-01-30 10:39 . 2010-01-30 10:39 -------- d-----w- C:\rsit
2010-01-30 10:38 . 2010-01-30 10:38 781909 ----a-w- C:\RSIT.exe
2010-01-30 08:12 . 2010-01-30 08:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-30 08:12 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-30 08:12 . 2010-01-30 08:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-30 08:12 . 2010-01-30 08:56 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-30 08:12 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-29 21:41 . 2010-01-30 13:39 -------- d-----w- c:\programme\a-squared Free
2010-01-29 19:50 . 2010-01-29 19:50 -------- d-----w- c:\windows\ERUNT
2010-01-29 19:26 . 2010-01-29 19:26 -------- d-----w- C:\SDFix
2010-01-29 19:26 . 2010-01-29 19:25 1882786 ----a-w- C:\SDFix.zip
2010-01-29 12:26 . 2010-01-29 12:26 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-29 12:26 . 2010-01-29 12:26 -------- d-----w- c:\programme\TrendMicro
2010-01-28 16:18 . 2010-01-28 19:56 -------- d-----w- c:\programme\a-squared Anti-Malware
2010-01-28 13:47 . 2010-01-29 09:22 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-28 13:32 . 2010-01-28 13:32 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-27 16:17 . 2010-01-27 16:17 -------- d-----w- c:\programme\Blitzentspannung
2010-01-25 12:40 . 2010-02-02 09:13 -------- d-----w- C:\Downloads
2010-01-21 12:03 . 2010-01-21 12:03 -------- d-----w- c:\programme\mp3DirectCut
2010-01-20 16:35 . 2010-01-20 16:35 -------- d-----w- c:\programme\Direct MP3 Joiner
2010-01-16 19:40 . 1999-12-17 08:13 86016 ----a-w- c:\windows\unvise32.exe
2010-01-16 19:40 . 2010-01-16 19:40 -------- d-----w- c:\programme\PicSizer
2010-01-16 09:41 . 2010-01-16 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-01-16 09:41 . 2010-01-16 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\.mp3splt-gtk
2010-01-13 10:55 . 2010-01-19 15:57 768 ----a-w- c:\windows\system32\d3d8caps.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-02 09:03 . 2009-08-29 06:28 11624 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-02-02 09:00 . 2009-11-16 16:26 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-02-02 08:17 . 2009-12-11 15:38 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-02 00:40 . 2009-11-01 08:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2010-02-01 23:57 . 2009-08-29 06:28 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-30 15:16 . 2009-12-07 16:11 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2010-01-25 20:24 . 2009-11-02 09:29 -------- d-----w- c:\programme\No23 Recorder
2010-01-14 13:55 . 2009-08-10 16:04 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-13 14:54 . 2009-08-10 17:32 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2009-12-16 20:29 . 2009-12-16 20:26 -------- d-----w- c:\programme\Edraw Mind Map
2009-12-14 01:14 . 2009-12-14 01:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-12-14 01:14 . 2009-12-14 01:14 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-12-14 01:13 . 2009-08-10 15:56 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-12-14 01:13 . 2009-12-14 01:13 -------- d-----w- c:\programme\Real
2009-12-11 15:37 . 2009-12-11 15:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
2009-12-11 15:10 . 2009-12-11 15:10 -------- d-----w- c:\programme\JRE
2009-12-11 15:10 . 2009-12-11 15:10 -------- d-----w- c:\programme\OpenOffice.org 3
2009-12-05 17:02 . 2009-12-05 17:01 -------- d-----w- c:\programme\EarMaster Pro 5
2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EarMaster
2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\EarMaster
2009-11-20 15:54 . 2009-11-20 15:54 22842 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{3C26AF24-2E92-4265-8946-121CB763CAD9}\_fbf2f14.exe
2009-11-20 15:54 . 2009-11-20 15:54 22842 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{3C26AF24-2E92-4265-8946-121CB763CAD9}\_6ad647e.exe
.

------- Sigcheck -------

[-] 2009-04-16 . E7F374DF9C093432782C4A3309DCB95C . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-04-16 . 15527E782355538F180992B4D685C193 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2009-08-11 07:07 . 18747FCB2508EEEC79415B32F63F3654 . 36864 . . [------] . . c:\windows\system32\ctfmon.exe
[-] 2009-08-11 07:07 . 18747FCB2508EEEC79415B32F63F3654 . 36864 . . [------] . . c:\windows\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-01-13_14.10.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-07 01:19 . 2007-11-07 01:19 54272 c:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 62976 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 46080 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 46592 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 64512 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 66048 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 56832 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 66560 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 39936 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 38912 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 05:07 . 2008-07-29 05:07 59904 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
+ 2008-07-29 05:07 . 2008-07-29 05:07 59904 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
+ 2009-08-10 16:20 . 2010-01-30 12:48 91888 c:\windows\system32\FNTCACHE.DAT
+ 2001-08-18 02:54 . 2009-04-16 00:35 14336 c:\windows\system32\dllcache\wowfaxui.dll
+ 2009-08-10 16:50 . 2008-04-14 04:52 54272 c:\windows\system32\dllcache\vfwwdm32.dll
+ 2001-08-17 12:02 . 2009-04-16 00:35 58112 c:\windows\system32\dllcache\vdmindvd.sys
+ 2001-08-18 02:54 . 2009-04-16 00:35 49211 c:\windows\system32\dllcache\usrvpa.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 45116 c:\windows\system32\dllcache\usrvoica.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 49209 c:\windows\system32\dllcache\usrv80a.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 41019 c:\windows\system32\dllcache\usrsvpia.dll
+ 2001-08-18 02:55 . 2009-04-16 00:35 69700 c:\windows\system32\dllcache\usrshuta.exe
+ 2001-08-18 02:54 . 2009-04-16 00:35 49211 c:\windows\system32\dllcache\usrsdpia.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 77883 c:\windows\system32\dllcache\usrrtosa.dll
+ 2001-08-18 02:55 . 2009-04-16 00:35 61508 c:\windows\system32\dllcache\usrprbda.exe
+ 2001-08-18 02:55 . 2009-04-16 00:35 77891 c:\windows\system32\dllcache\usrmlnka.exe
+ 2001-08-18 02:54 . 2009-04-16 00:35 53305 c:\windows\system32\dllcache\usrlbva.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 86073 c:\windows\system32\dllcache\usrfaxa.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 77890 c:\windows\system32\dllcache\usrdpa.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 69699 c:\windows\system32\dllcache\usrcoina.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 61500 c:\windows\system32\dllcache\usrcntra.dll
+ 2009-08-10 16:47 . 2008-04-14 04:52 77312 c:\windows\system32\dllcache\usbui.dll
+ 2008-04-13 22:15 . 2009-04-16 00:38 15872 c:\windows\system32\dllcache\usbintel.sys
+ 2008-04-13 22:15 . 2009-04-16 00:38 25728 c:\windows\system32\dllcache\usbcamd2.sys
+ 2008-04-13 22:15 . 2009-04-16 00:38 25600 c:\windows\system32\dllcache\usbcamd.sys
+ 2008-04-13 22:26 . 2009-04-16 00:38 12288 c:\windows\system32\dllcache\tunmp.sys
+ 2001-08-17 12:06 . 2009-04-16 00:35 21376 c:\windows\system32\dllcache\tsbvcap.sys
+ 2001-08-17 12:01 . 2009-04-16 00:35 51712 c:\windows\system32\dllcache\tosdvd.sys
+ 2009-08-10 16:39 . 2008-04-14 04:52 76288 c:\windows\system32\dllcache\storprop.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 72192 c:\windows\system32\dllcache\sprio800.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 70656 c:\windows\system32\dllcache\sprio600.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 69632 c:\windows\system32\dllcache\spnike.dll
+ 2008-04-13 22:16 . 2009-04-16 00:38 25344 c:\windows\system32\dllcache\sonydcam.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 11008 c:\windows\system32\dllcache\sffp_sd.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 11904 c:\windows\system32\dllcache\sffdisk.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 15744 c:\windows\system32\dllcache\serenum.sys
+ 2008-04-14 12:00 . 2008-04-14 04:52 29184 c:\windows\system32\dllcache\sdhcinst.dll
+ 2008-04-14 12:00 . 2008-04-14 12:00 79232 c:\windows\system32\dllcache\sdbus.sys
+ 2001-08-17 11:24 . 2009-04-16 00:35 12032 c:\windows\system32\dllcache\riodrv.sys
+ 2001-08-17 11:24 . 2009-04-16 00:35 12032 c:\windows\system32\dllcache\rio8drv.sys
+ 2008-04-14 05:21 . 2009-04-16 00:38 39936 c:\windows\system32\dllcache\processr.sys
+ 2008-04-14 05:52 . 2009-04-16 00:38 35328 c:\windows\system32\dllcache\pid.dll
+ 2008-04-14 12:00 . 2008-04-14 12:00 24960 c:\windows\system32\dllcache\pciidex.sys
+ 2008-04-14 05:32 . 2009-04-16 00:38 46848 c:\windows\system32\dllcache\p3.sys
- 2008-04-14 12:00 . 2008-04-14 12:00 70144 c:\windows\system32\dllcache\notepad.exe
+ 2009-08-10 16:39 . 2008-04-14 12:00 70144 c:\windows\system32\dllcache\notepad.exe
+ 2001-08-17 11:24 . 2009-04-16 00:35 12032 c:\windows\system32\dllcache\nikedrv.sys
+ 2008-04-13 22:21 . 2009-04-16 00:38 61824 c:\windows\system32\dllcache\nic1394.sys
+ 2008-04-14 05:52 . 2009-04-16 00:38 16896 c:\windows\system32\dllcache\msyuv.dll
+ 2008-04-14 05:19 . 2009-04-16 00:38 30336 c:\windows\system32\dllcache\modem.sys
+ 2008-04-13 22:06 . 2009-04-16 00:38 63744 c:\windows\system32\dllcache\mf.sys
+ 2008-04-14 05:52 . 2009-04-16 00:38 47616 c:\windows\system32\dllcache\iyuv_32.dll
+ 2008-04-14 12:00 . 2008-04-14 12:00 40448 c:\windows\system32\dllcache\intelppm.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 24960 c:\windows\system32\dllcache\hidparse.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 36864 c:\windows\system32\dllcache\hidclass.sys
+ 2001-08-18 02:32 . 2009-04-16 00:35 12288 c:\windows\system32\dllcache\fsvga.sys
+ 2001-08-18 02:54 . 2009-04-16 00:35 57856 c:\windows\system32\dllcache\dvdplay.exe
+ 2008-04-14 05:52 . 2009-04-16 00:38 59392 c:\windows\system32\dllcache\dmutil.dll
+ 2008-04-14 05:26 . 2009-04-16 00:38 40832 c:\windows\system32\dllcache\crusoe.sys
+ 2001-08-17 11:24 . 2009-04-16 00:35 11776 c:\windows\system32\dllcache\cpqdap01.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 13952 c:\windows\system32\dllcache\cbidf2k.sys
+ 2008-04-14 12:00 . 2008-04-14 04:52 20992 c:\windows\system32\dllcache\bthci.dll
+ 2009-08-10 16:46 . 2008-04-14 04:22 16384 c:\windows\system32\dllcache\battc.sys
+ 2008-04-13 22:21 . 2009-04-16 00:38 60800 c:\windows\system32\dllcache\arp1394.sys
+ 2008-04-14 05:20 . 2009-04-16 00:38 41856 c:\windows\system32\dllcache\amdk7.sys
+ 2008-04-14 05:20 . 2009-04-16 00:38 41472 c:\windows\system32\dllcache\amdk6.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 12160 c:\windows\system32\dllcache\acpiec.sys
+ 2001-08-18 02:52 . 2009-04-16 00:35 3200 c:\windows\system32\dllcache\wowfax.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 8192 c:\windows\system32\dllcache\tsbyuv.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 8192 c:\windows\system32\dllcache\streamci.dll
+ 2008-04-14 12:00 . 2008-04-14 12:00 3456 c:\windows\system32\dllcache\oprghdlr.sys
+ 2008-04-14 12:00 . 2008-04-14 12:00 7168 c:\windows\system32\dllcache\hccoin.dll
+ 2009-08-10 16:04 . 2010-01-14 13:55 2426 c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
- 2009-08-10 16:04 . 2010-01-13 13:52 2426 c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
+ 2008-07-29 07:05 . 2008-07-29 07:05 655872 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 572928 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
+ 2008-07-29 02:54 . 2008-07-29 02:54 225280 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 161784 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
+ 1998-07-06 00:00 . 1998-07-06 00:00 102912 c:\windows\system32\VB6STKIT.DLL
+ 1998-07-06 00:00 . 1998-07-06 00:00 125712 c:\windows\system32\VB6DE.DLL
+ 1998-07-06 00:00 . 1998-07-06 00:00 158208 c:\windows\system32\MSCMCDE.DLL
- 2008-04-14 12:00 . 2008-04-14 12:00 146944 c:\windows\system32\dllcache\winspool.drv
+ 2009-08-10 16:39 . 2008-04-14 12:00 146944 c:\windows\system32\dllcache\winspool.drv
+ 2001-08-18 02:54 . 2009-04-16 00:35 102457 c:\windows\system32\dllcache\usrv42a.dll
+ 2001-08-18 02:54 . 2009-04-16 00:35 323641 c:\windows\system32\dllcache\usrdtea.dll
+ 2008-04-14 12:00 . 2008-04-14 12:00 120576 c:\windows\system32\dllcache\pcmcia.sys
+ 2001-08-18 02:54 . 2009-04-16 00:35 157696 c:\windows\system32\dllcache\paqsp.dll
+ 2001-08-18 02:53 . 2009-04-16 00:35 147968 c:\windows\system32\dllcache\mdwmdmsp.dll
+ 2008-04-14 12:00 . 2008-04-14 12:00 193024 c:\windows\system32\dllcache\fsquirt.exe
+ 2001-08-18 02:22 . 2009-04-16 00:35 262528 c:\windows\system32\dllcache\cinemst2.sys
+ 2010-01-28 13:49 . 2010-01-28 13:49 228352 c:\windows\Installer\7b3dad.msi
+ 2010-01-29 19:50 . 2010-01-29 19:50 282624 c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2010-01-29 19:50 . 2008-08-07 14:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2010-01-29 19:51 . 2010-01-29 19:51 282624 c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2010-01-29 19:51 . 2008-08-07 14:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-07-29 07:05 . 2008-07-29 07:05 3783672 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 3768312 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
+ 2010-01-29 12:26 . 2010-01-29 12:26 1093632 c:\windows\Installer\93dad.msi
+ 2010-01-29 19:50 . 2010-01-29 19:50 3264512 c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2010-01-29 19:51 . 2010-01-29 19:51 3264512 c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-04-16 128512]
"Extra"="advpack.dll" [2009-04-16 128512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 417792 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2007-04-16 20:28 577536 -c--a-w- c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-12-14 01:13 198160 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2008-06-29 22:01 52168 ----a-w- c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [07.01.2009 22:39 20744]
R2 a2free;a-squared Free Service;c:\programme\a-squared Free\a2service.exe [29.01.2010 22:41 1858144]
R3 LX;LX;c:\windows\system32\drivers\lxmini.sys [10.08.2009 18:23 81024]
R3 LXWDM;Service for GeodeLX Audio Driver (WDM);c:\windows\system32\drivers\lxwdmau.sys [10.08.2009 18:22 118016]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [07.12.2008 11:44 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [02.07.2008 13:58 26248]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys --> c:\windows\system32\DRIVERS\netaapl.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.08.2009 17:36 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
uInternet Settings,ProxyOverride = *.local
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jwmallnu.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.attractingabundance.com/newsletters/issue35.html
FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jwmallnu.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-SpyHunter Security Suite - c:\programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-02 10:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1275210071-1708537768-1060284298-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,99,27,e9,b5,fb,e0,4d,a6,75,83,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,99,27,e9,b5,fb,e0,4d,a6,75,83,\

[HKEY_USERS\S-1-5-21-1275210071-1708537768-1060284298-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{91FF59DB-1CF4-F181-B05A-EC56DCA8AB3F}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oakgfaolfbgnfmbdglplggfpbnhknm"=hex:64,61,6c,6d,63,67,63,67,00,97
"oaghfpenbkoinmflnlooljijgbdbom"=hex:6a,61,6b,6d,6a,67,70,62,63,69,64,65,6f,63,
6b,67,63,70,68,6f,00,00
"namfpnjmfnbhohencnkfgojpeinm"=hex:6a,61,6b,6d,69,67,6f,62,6c,61,6f,66,67,6d,
68,63,67,62,61,62,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2200)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-02 10:42:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-02 09:42

Vor Suchlauf: 880.984.064 Bytes frei
Nach Suchlauf: 875.118.592 Bytes frei

- - End Of File - - A11B34FA1440FBB499812BB1A4BFCF48

Zwei Anmerkungen:
- Ich hatte alle Programme geschlossen. Dennoch ist dieses Windows-Sicherheitswarnungen Symbol ständig in der Taskliste (alle Funktionen deaktiviert). Deshalb weiß ich nicht, ob das irgendwie als Prozss im Hintergrund gelaufen ist. Ich fand nirgends eine Beenden Funktion oder ähnliches.
- Was ich sofort bemerkt habe: ich kann exe Dateien wieder mit Doppelklick öffnen. Juhu!
Der CCleaner hat das bei der RegistryFehlerbehebung angezeigt. Aber selbst nachdem "alle Fehler behoben" waren. Begann das Kontextmenü mit "Ausführen als" (fett gedruckt).

Dankender Gruß,
Solemnis

cosinus · 02.02.2010, 11:52

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Frische Logfiles mit RSIT wären auch nicht schlecht.

solemnis · 02.02.2010, 13:17

Malwarebytes aktualisiert und Vollscan.
Konnte die Dateien aber nicht löschen. Heißt, ich seh, da keinen Button für löschen, Quarantäne o.ä. nur Ignorieren, Hauptmenü, Kaufen, Verlassen.

Malwarebytes file:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3677
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.02.2010 13:03:21
mbam-log-2010-02-02 (13-03-12).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 129719
Laufzeit: 36 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini (Malware.Trace) -> No action taken.

Rsit log
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-02-02 13:07:43
Microsoft Windows XP Professional Service Pack 3
System drive C: has 620 MB (3%) free of 19 GB
Total RAM: 487 MB (30% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:07:57, on 02.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\RSIT.exe
C:\Programme\trend micro\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Extra] rundll32 advpack.dll,LaunchINFSection UpdatePack.inf,FirstUserStart (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 3185 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-12-14 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-10 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-10 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2009-09-05 417792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
C:\WINDOWS\SOUNDMAN.EXE [2007-04-16 577536]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-12-14 198160]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2008-06-29 52168]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTTray.exe []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-04-16 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2009-04-16 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoResolveTrack"=1
"NoResolveSearch"=1
"NoSMHelp"=1
"NoRecentDocsNetHood"=1
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-02-02 13:07:42 ----D---- C:\rsit
2010-02-02 12:18:07 ----SHD---- C:\RECYCLER
2010-02-02 10:42:24 ----D---- C:\WINDOWS\temp
2010-02-02 10:42:20 ----A---- C:\ComboFix.txt
2010-02-01 21:58:13 ----D---- C:\kme20beta2
2010-02-01 21:47:11 ----A---- C:\Firefox_Setup_3.6.exe
2010-01-30 12:15:28 ----A---- C:\mbr.exe
2010-01-30 11:39:14 ----D---- C:\Programme\trend micro
2010-01-30 11:39:11 ----D---- C:\altrsit
2010-01-30 11:38:17 ----A---- C:\RSIT.exe
2010-01-30 09:12:33 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-30 09:12:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-30 09:12:18 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-29 22:41:05 ----D---- C:\Programme\a-squared Free
2010-01-29 20:50:50 ----D---- C:\WINDOWS\ERUNT
2010-01-29 20:26:48 ----D---- C:\SDFix
2010-01-29 13:26:43 ----D---- C:\Programme\TrendMicro
2010-01-28 17:18:19 ----D---- C:\Programme\a-squared Anti-Malware
2010-01-28 14:47:12 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-28 14:32:39 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera
2010-01-27 17:17:20 ----D---- C:\Programme\Blitzentspannung
2010-01-25 13:40:04 ----D---- C:\Downloads
2010-01-21 13:03:12 ----D---- C:\Programme\mp3DirectCut
2010-01-20 17:35:13 ----D---- C:\Programme\Direct MP3 Joiner
2010-01-16 20:40:21 ----A---- C:\WINDOWS\unvise32.exe
2010-01-16 20:40:17 ----D---- C:\Programme\PicSizer
2010-01-16 10:41:53 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-01-13 15:16:35 ----A---- C:\altComboFix.txt
2010-01-13 14:43:49 ----A---- C:\Boot.bak
2010-01-13 14:43:39 ----RASHD---- C:\cmdcons
2010-01-13 14:40:44 ----A---- C:\WINDOWS\zip.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\SWSC.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\SWREG.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\sed.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\PEV.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\NIRCMD.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\MBR.exe
2010-01-13 14:40:44 ----A---- C:\WINDOWS\grep.exe
2010-01-13 14:40:43 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-01-13 14:34:06 ----D---- C:\WINDOWS\ERDNT
2010-01-13 14:27:03 ----D---- C:\Qoobox
2010-01-13 11:55:32 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini

======List of files/folders modified in the last 1 months======

2010-02-02 11:55:02 ----D---- C:\Programme\Mozilla Thunderbird
2010-02-02 10:42:26 ----D---- C:\WINDOWS\system32\drivers
2010-02-02 10:42:24 ----D---- C:\WINDOWS
2010-02-02 10:38:39 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-02 10:36:17 ----A---- C:\WINDOWS\system.ini
2010-02-02 10:31:39 ----D---- C:\WINDOWS\system32
2010-02-02 10:31:34 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-02 10:28:41 ----D---- C:\WINDOWS\AppPatch
2010-02-02 10:28:39 ----D---- C:\Programme\Gemeinsame Dateien
2010-02-02 01:40:27 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2010-02-01 21:49:11 ----D---- C:\Programme\Mozilla Firefox
2010-02-01 19:03:36 ----D---- C:\WINDOWS\system32\Restore
2010-01-30 17:27:25 ----RD---- C:\Programme
2010-01-30 16:16:20 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2010-01-29 13:26:47 ----SHD---- C:\WINDOWS\Installer
2010-01-28 20:55:33 ----D---- C:\WINDOWS\WinSxS
2010-01-28 20:55:29 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-25 21:24:00 ----D---- C:\Programme\No23 Recorder
2010-01-13 15:54:21 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2010-01-13 15:07:16 ----SD---- C:\WINDOWS\Tasks
2010-01-13 14:49:47 ----D---- C:\WINDOWS\system32\config
2010-01-13 14:43:50 ----RASH---- C:\boot.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 33792]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R3 catchme;catchme; \??\C:\Cofi\catchme.sys []
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 LX;LX; C:\WINDOWS\system32\DRIVERS\lxmini.sys [2009-04-27 81024]
R3 LXWDM;Service for GeodeLX Audio Driver (WDM); C:\WINDOWS\system32\drivers\lxwdmau.sys [2007-10-17 118016]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-06-16 83968]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-13 121984]
R3 VClone;VClone; C:\WINDOWS\system32\DRIVERS\VClone.sys [2008-09-24 29184]
R3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS); C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2006-08-24 477696]
S3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2008-01-24 4127488]
S3 BT;Bluetooth PAN Network Adapter; C:\WINDOWS\system32\DRIVERS\btnetdrv.sys [2008-12-07 14088]
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOWS\System32\Drivers\btcusb.sys [2009-01-03 39304]
S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2009-04-16 273024]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-13 18944]
S3 btnetBUs;Bluetooth PAN Bus Service; C:\WINDOWS\System32\Drivers\btnetBus.sys [2008-12-07 30088]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 IvtBtBUs;IVT Bluetooth Bus Service; C:\WINDOWS\System32\Drivers\IvtBtBus.sys [2008-07-02 26248]
S3 mbr;mbr; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mbr.sys []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 Netaapl;Apple Mobile Device Ethernet Service; C:\WINDOWS\system32\DRIVERS\netaapl.sys []
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-03-26 36864]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 VComm;Virtual Serial port driver; C:\WINDOWS\system32\DRIVERS\VComm.sys [2008-01-21 14856]
S3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOWS\System32\Drivers\VcommMgr.sys [2009-01-08 31880]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2009-04-16 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2009-04-16 82944]
S4 exFat;exFat; C:\WINDOWS\system32\drivers\exFat.sys [2009-04-16 133632]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys [2009-08-10 717296]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 a2free;a-squared Free Service; C:\Programme\a-squared Free\a2service.exe [2009-10-01 1858144]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-08-10 152984]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Rsit info
info.txt logfile of random's system information tool 1.06 2010-02-02 13:08:03

======Uninstall list======

-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.62-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Digital Editions-->"C:\Programme\Adobe\Adobe Digital Editions\uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001}
Adobe Shockwave Player 11.5-->C:\WINDOWS\system32\Adobe\uninstaller.exe
Allgemeine Runtime Dateien-->"C:\WINDOWS\$NtUninstallRuntimes$\spuninst\spuninst.exe"
Apple Application Support-->MsiExec.exe /I{B607C354-CD79-4D22-86D1-92DC94153F42}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
a-squared Free 4.5-->"C:\Programme\a-squared Free\unins000.exe"
Blitzentspannung V. 1.07b-->C:\Programme\Blitzentspannung\unins000.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Chinese (Simplified) Language Support-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\cn.inf, Uninstall
Chinese (Traditional) Language Support-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\tw.inf, Uninstall
Direct MP3 Joiner version 3.0.0.3-->"C:\Programme\Direct MP3 Joiner\unins000.exe"
DirectX 9.0c Zusatzdateien - März 2009-->"C:\WINDOWS\$NtUninstallDXAddon$\spuninst\spuninst.exe"
EarMaster Pro 5-->"C:\Programme\EarMaster Pro 5\unins000.exe"
Edraw Mind Map V4-->"C:\Programme\Edraw Mind Map\unins000.exe"
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB957661)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB959362)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB960043)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB961073)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 SP1 + KB928366-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1 SP1 + KB928366-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
No23 Recorder-->MsiExec.exe /X{22B0E143-2B0B-435B-9F56-136A3D16065F}
OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585}
PicSizer-->C:\WINDOWS\unvise32.exe C:\Programme\PicSizer\uninstal.log
QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
Reality Check-->MsiExec.exe /I{3C26AF24-2E92-4265-8946-121CB763CAD9}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
Realtek AC'97 Audio-->Alcrmv.exe -r -m
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
VirtualCloneDrive-->"C:\Programme\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="C:\Programme\Elaborate Bytes\VirtualCloneDrive"
VLC media player 0.9.9-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Internet Explorer 8-->C:\Programme\Internet Explorer\iexplore.exe
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XP Codec Pack-->C:\Programme\XP Codec Pack\Uninstall.exe

======System event log======

Computer Name: SILVERTUBE
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{B57CBB3C-6AEC-47DB-95C4-7854CDB91C91}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 5494
Source Name: Tcpip
Time Written: 20100109004403.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{B57CBB3C-6AEC-47DB-95C4-7854CDB91C91}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 5493
Source Name: Tcpip
Time Written: 20100108231837.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 4201
Message: Netzwerkadapter "(ZD1211B)IEEE...USB Adapter - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 5492
Source Name: Tcpip
Time Written: 20100108223638.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 4201
Message: Netzwerkadapter "(ZD1211B)IEEE...USB Adapter - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 5491
Source Name: Tcpip
Time Written: 20100108223033.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 4201
Message: Netzwerkadapter "(ZD1211B)IEEE...USB Adapter - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 5490
Source Name: Tcpip
Time Written: 20100108215835.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 656
Source Name: Bonjour Service
Time Written: 20091129214253.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 655
Source Name: Bonjour Service
Time Written: 20091129201106.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 654
Source Name: Bonjour Service
Time Written: 20091129193018.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1
Message:
Record Number: 653
Source Name: Bonjour Service
Time Written: 20091129173940.000000+060
Event Type: Informationen
User:

Computer Name: SILVERTUBE
Event Code: 1002
Message: Die Shell wurde unerwartet beendet und Explorer.exe wurde neu gestartet.

Record Number: 652
Source Name: Winlogon
Time Written: 20091129161724.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=5
"PROCESSOR_IDENTIFIER"=x86 Family 5 Model 10 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0a02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Kann ich die infizierten Dateien noch irgendwie sauber löschen?

cosinus · 02.02.2010, 13:55

Den Button solltest Du haben. Das Log seh ich mir gleich mal an.

solemnis · 02.02.2010, 16:38

Hieß bei mir "Auswahl entfernen" und ich hatte vorschnell geschlossen, dass das heißt, die Häckchen sind weg.

Laut Malwarebyte ist mein PC nun ok.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3677
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.02.2010 16:26:22
mbam-log-2010-02-02 (16-26-22).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 129756
Laufzeit: 34 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bei a suared werden Dateien immer noch in Quarantäne angezeigt.
Aber die wären von Malwarebyte erfasst worden?
Kann ich dort dann löschen klicken oder soll ich das so belassen?

Kannst du mir vll ein Programm empfehlen, dass mich besonders vor solcher Malware schützt?

Herzlichen Dank für die gesamte Hilfe

cosinus · 02.02.2010, 18:32

Zitat:

Kannst du mir vll ein Programm empfehlen, dass mich besonders vor solcher Malware schützt?

Es gibt KEIN Programm, was Dich zuverlässig schützen kann! V.a. bräuchte man ein Programm, das den Computer vor dem Benutzer schützt

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:

C:\kme20beta2

Was ist das für ein Ordner?

solemnis · 02.02.2010, 19:41

Zitat:

Zitat von cosinus

V.a. bräuchte man ein Programm, das den Computer vor dem Benutzer schützt

Bin ich dabei.
Bis es das gibt, versuch ichs mal mit den Regeln.

Zitat:

Zitat von cosinus

> C:\kme20beta2
Was ist das für ein Ordner?

Der beinhaltet ein Programm, um das Kontextmenü zu verändern.
(Nach der Infektion runtergeladen)
Hat sich aber ja bereits erledigt

Schönen Abend,
solemnis

02.02.2010, 11:52	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	XP Antivirus Pro 2010 (neue Fake Version), av.exe Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. Frische Logfiles mit RSIT wären auch nicht schlecht. __________________ Logfiles bitte immer in CODE-Tags posten

02.02.2010, 13:55	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	XP Antivirus Pro 2010 (neue Fake Version), av.exe Den Button solltest Du haben. Das Log seh ich mir gleich mal an. __________________ --> XP Antivirus Pro 2010 (neue Fake Version), av.exe

XP Antivirus Pro 2010 (neue Fake Version), av.exe

Plagegeister aller Art und deren Bekämpfung: XP Antivirus Pro 2010 (neue Fake Version), av.exe