TR/Hijacker.gen in C:\WINDOWS\Temp\****.tmp\svchost.exe

BTT · 22.04.2010, 15:47

Hallo liebes Expertenteam!

Hoffe, ihr könnt mir weiter helfen:

Seit Montag abend den 19.04.10 habe ich einen immer wiederkehrenden Trojaner im C:\WINDOWS\Temp\ Ordner, den mir Avira AntiVir als Virus oder unerwünschtes Programm 'TR/Hijacker.Gen' [trojan] meldet.

Trotz löschen, ignorieren oder in die Quarantäne verschieben taucht der Trojaner jedes Mal wieder unter anderem Namen im Ordner auf (allerdings nur bei stehender Verbindung zum Internet). Zunächst ca. alle 10min, zuletzt in unregelmäßigeren Abständen.

Dabei ändert sich jedes Mal der vierstellige code vor dem .tmp, der Rest bleibt aber gleich.

Hier einige Beispiele:

C:\WINDOWS\Temp\bdiw.tmp\svchost.exe
C:\WINDOWS\Temp\ytcb.tmp\svchost.exe
C:\WINDOWS\Temp\lcec.tmp\svchost.exe

Zwischendrin wurde einmalig folgendes von Avira gemeldet:

In der Datei 'C:\WINDOWS\Hlywia.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.165888' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

1_Benutze außer Avira noch Spybot Search&Destroy, der mir keine Probleme meldet.

2_Nach längerem Stöbern in eurem Forum habe ich meine HijackThis Logfiles bei w*w.hijackthis.de/de auswerten lassen, die aber keine Bedrohungen gemeldet haben.

3_Außerdem habe ich mit dem CCleaner die Registry und die temporären Daten von Müll gesäubert.

4_Schließlich noch mit Malwarebytes aufgeräumt und 5 objekte in die Quaranäne geschickt.

Leider hat bis jetzt alles nichts geholfen und dieser besch*** Trojaner taucht weiterhin auf. Nun müssen also doch die profis ran... =) Bin nämlich langsam echt am verzweifeln!

Hoffe, ich habe mehr oder weniger das befolgt, was als Info für eine Analyse gefordert wird!

Der letzte vollständige Avira Scan brachte folgendes Ergebnis:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 21. April 2010 14:27

Es wird nach 2017782 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ****
Computername : ****

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 19:32:51
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:32:51
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:32:51
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 12:09:34
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:56:07
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:26:55
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:37:47
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 10:37:47
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 10:37:47
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 10:37:47
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 10:37:48
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 10:37:48
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 10:37:48
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 10:37:48
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 10:37:48
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 17:39:01
VBASE015.VDF : 7.10.6.124 2048 Bytes 19.04.2010 17:39:02
VBASE016.VDF : 7.10.6.125 2048 Bytes 19.04.2010 17:39:02
VBASE017.VDF : 7.10.6.126 2048 Bytes 19.04.2010 17:39:02
VBASE018.VDF : 7.10.6.127 2048 Bytes 19.04.2010 17:39:02
VBASE019.VDF : 7.10.6.128 2048 Bytes 19.04.2010 17:39:02
VBASE020.VDF : 7.10.6.129 2048 Bytes 19.04.2010 17:39:02
VBASE021.VDF : 7.10.6.130 2048 Bytes 19.04.2010 17:39:03
VBASE022.VDF : 7.10.6.131 2048 Bytes 19.04.2010 17:39:03
VBASE023.VDF : 7.10.6.132 2048 Bytes 19.04.2010 17:39:03
VBASE024.VDF : 7.10.6.133 2048 Bytes 19.04.2010 17:39:03
VBASE025.VDF : 7.10.6.134 2048 Bytes 19.04.2010 17:39:03
VBASE026.VDF : 7.10.6.135 2048 Bytes 19.04.2010 17:39:03
VBASE027.VDF : 7.10.6.136 2048 Bytes 19.04.2010 17:39:04
VBASE028.VDF : 7.10.6.137 2048 Bytes 19.04.2010 17:39:04
VBASE029.VDF : 7.10.6.138 2048 Bytes 19.04.2010 17:39:04
VBASE030.VDF : 7.10.6.139 2048 Bytes 19.04.2010 17:39:04
VBASE031.VDF : 7.10.6.140 46592 Bytes 19.04.2010 17:39:05
Engineversion : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 13:00:05
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 17.04.2010 10:38:11
AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 23:17:01
AESBX.DLL : 8.1.2.1 254323 Bytes 18.03.2010 14:57:35
AERDL.DLL : 8.1.4.6 541043 Bytes 17.04.2010 10:38:06
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 19:07:13
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18.03.2010 14:57:29
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 17.04.2010 10:38:04
AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 10:31:51
AEGEN.DLL : 8.1.3.7 373106 Bytes 17.04.2010 10:37:54
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 01:28:10
AECORE.DLL : 8.1.13.1 188790 Bytes 03.04.2010 10:31:48
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 20:59:25
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 15:13:01
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 03.05.2009 19:03:15
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11.06.2009 17:24:34
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 19:32:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 21. April 2010 14:27

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '103124' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrobat_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hidfind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDDXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrgToDsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KADxMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SecureUpgrade.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'docmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcsd_win32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stacsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsfIpMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKEEPER.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '67' Prozesse mit '67' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '79' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\perfc5932.dat
[0] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Click.Agent.ktq

Beginne mit der Desinfektion:
C:\WINDOWS\system32\perfc5932.dat
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c411468.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 21. April 2010 17:04
Benötigte Zeit: 1:53:25 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

22736 Verzeichnisse wurden überprüft
1342278 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
1342275 Dateien ohne Befall
8003 Archive wurden durchsucht
2 Warnungen
3 Hinweise
103124 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Letztes HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:23:17, on 22.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe
C:\Programme\Wave Systems Corp\SecureUpgrade.exe
C:\WINDOWS\system32\KADxMain.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Apoint\ApMsgFwd.exe
C:\Programme\Apoint\HidFind.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\MDM.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1071023
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1071023
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1071023
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Document Manager] C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe
O4 - HKLM\..\Run: [SecureUpgrade] C:\Programme\Wave Systems Corp\SecureUpgrade.exe
O4 - HKLM\..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Programme\Digital Line Detect\DLG.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Music Manager) - hxxp://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Broadcom ASF IP and SMBIOS Mailbox Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Autodesk Network Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskNetSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9dd74ef138af0) (gupdate1c9dd74ef138af0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SecureStorageService - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: NTRU TSS v1.2.1.12 TCS (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 12453 bytes

Und schließlich noch das Logfile von Malwarebytes:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4016

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

21.04.2010 23:26:22
mbam-log-2010-04-21 (23-26-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 329265
Laufzeit: 1 Stunde(n), 26 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 22.04.2010, 20:34

Hallo und

das deutet auf Rootkitaktivitäten hin, erstelle bitte Logs mit GMER und OSAM und poste sie.

BTT · 23.04.2010, 14:19

Hallo Arne!

Vielen Dank für deine schnelle Antwort.. So die Scans sind jetzt durch..

lieben Gruß,

*beate

osam:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:34:43 on 22.04.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries

[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ASFConfig.cpl" - "Broadcom Corporation" - C:\WINDOWS\system32\ASFConfig.cpl
"BACSCPL.cpl" - ? - C:\WINDOWS\system32\BACSCPL.cpl
"DMdm32.cpl" - ? - C:\WINDOWS\system32\DMdm32.cpl
"DxCpl.cpl" - "Knowles Acoustics" - C:\WINDOWS\system32\DxCpl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"NicConfigSvc.cpl" - "Dell Inc." - C:\WINDOWS\system32\NicConfigSvc.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"stacgui.cpl" - "SigmaTel, Inc." - C:\WINDOWS\system32\stacgui.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.6.0.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"APPDRV" (APPDRV) - "Dell Inc" - C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"BASFND" (BASFND) - "Broadcom Corporation" - C:\Programme\Broadcom\ASFIPMon\BASFND.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"Cisco Systems IPsec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"DLABMFSM" (DLABMFSM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABMFSM.SYS
"DLABOIOM" (DLABOIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABOIOM.SYS
"DLACDBHM" (DLACDBHM) - "Roxio" - C:\WINDOWS\System32\Drivers\DLACDBHM.SYS
"DLADResM" (DLADResM) - "Roxio" - C:\WINDOWS\System32\DLA\DLADResM.SYS
"DLAIFS_M" (DLAIFS_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAIFS_M.SYS
"DLAOPIOM" (DLAOPIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAOPIOM.SYS
"DLAPoolM" (DLAPoolM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAPoolM.SYS
"DLARTL_M" (DLARTL_M) - "Roxio" - C:\WINDOWS\System32\Drivers\DLARTL_M.SYS
"DLAUDFAM" (DLAUDFAM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDFAM.SYS
"DLAUDF_M" (DLAUDF_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDF_M.SYS
"DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVMCDB.SYS
"DRVNDDM" (DRVNDDM) - "Roxio" - C:\WINDOWS\System32\Drivers\DRVNDDM.SYS
"DXEC01" (DXEC01) - "Knowles Acoustics" - C:\WINDOWS\System32\drivers\dxec01.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"PBADRV" (PBADRV) - "Dell Inc" - C:\WINDOWS\System32\DRIVERS\PBADRV.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"pohci13F" (pohci13F) - ? - C:\DOKUME~1\BT\LOKALE~1\Temp\pohci13F.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"vsdatant" (vsdatant) - "Zone Labs LLC" - C:\WINDOWS\system32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)
"WIRELESS USB Filter Driver" (TF0801) - ? - C:\WINDOWS\System32\DRIVERS\TF0801.sys (File found, but it contains no detailed information)
"WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{9F2C5BFD-3CB1-419F-9F5F-90B32ADD5BA8} "AdpShellExt Class" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Shell\AdpWShellExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{4B392032-A759-43ED-9469-377C80A4472D} "AcDgnImageExtractor" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcDgnCOM18.dll
{5800AD5B-72C1-477B-9A08-CA112DF06D97} "AcInfoTipHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk, Inc." - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Roxio" - C:\Programme\Roxio\Drag-to-Disc\Shellex.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{C45B1500-7B63-47C2-AB25-C28CB46AFDEE} "Music Manager" - "LoudEye" - C:\WINDOWS\Downloaded Program Files\MusicManagerPlugin.ocx / hxxp://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "ClsidExtension" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Wave Systems Corp." - C:\WINDOWS\system32\wvauth.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Acrobat - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe (Shortcut exists | File exists)
"Adobe Reader Synchronizer.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe (Shortcut exists | File exists)
"Cisco Systems VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Digital Line Detect.lnk" - "Avanquest Software " - C:\Programme\Digital Line Detect\DLG.exe (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\BT\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 8.0" - "Adobe Systems Inc." - "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe_ID0EYTHM" - "Adobe Systems Incorporated" - C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Dell QuickSet" - "Dell Inc" - C:\Programme\Dell\QuickSet\quickset.exe
"Document Manager" - ? - C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe
"ECenter" - " " - C:\Dell\E-Center\EULALauncher.exe
"IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
"IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"ISUSPM Startup" - "InstallShield Software Corporation" - C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler" - "InstallShield Software Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"KADxMain" - "Knowles Acoustics" - C:\WINDOWS\system32\KADxMain.exe
"NVHotkey" - "NVIDIA Corporation" - rundll32.exe nvHotkey.dll,Start
"nwiz" - "NVIDIA Corporation" - nwiz.exe /installquiet
"PDVDDXSrv" - "CyberLink Corp." - "C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"RoxioDragToDisc" - "Roxio" - "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
"SecureUpgrade" - "Wave Systems Corp." - C:\Programme\Wave Systems Corp\SecureUpgrade.exe
"SigmatelSysTrayApp" - "SigmaTel, Inc." - stsystra.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe Version Cue CS3 {de_DE} " (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
"Akamai NetSession Interface" (Akamai) - ? - c:\programme\gemeinsame dateien\akamai\rswin_3653.dll (File found, but it contains no detailed information)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Autodesk Network Licensing Service" (Autodesk Network Licensing Service) - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskNetSrv.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Broadcom ASF IP and SMBIOS Mailbox Monitor" (ASFIPmon) - "Broadcom Corporation" - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate1c9dd74ef138af0)" (gupdate1c9dd74ef138af0) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"Intel(R) PROSet/Wireless SSO Service" (WLANKEEPER) - "Intel(R) Corporation" - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"NICCONFIGSVC" (NICCONFIGSVC) - "Dell Inc." - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
"NTRU TSS v1.2.1.12 TCS" (tcsd_win32.exe) - ? - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe (File found, but it contains no detailed information)
"SecureStorageService" (SecureStorageService) - "Wave Systems Corp." - C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe
"SigmaTel Audio Service" (STacSV) - "SigmaTel, Inc." - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"Wave Systems Kerberos LSP" - "Wave Systems Corp." - C:\WINDOWS\system32\biolsp.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

und gmer:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-23 06:34:19
Windows 5.1.2600 Service Pack 2
Running: blwdltv2.exe; Driver: C:\DOKUME~1\BT\LOKALE~1\Temp\fxtdypow.sys

---- System - GMER 1.0.15 ----

SSDT BA74A19E ZwCreateKey
SSDT BA74A194 ZwCreateThread
SSDT BA74A1A3 ZwDeleteKey
SSDT BA74A1AD ZwDeleteValueKey
SSDT BA74A1B2 ZwLoadKey
SSDT BA74A180 ZwOpenProcess
SSDT BA74A185 ZwOpenThread
SSDT BA74A1BC ZwReplaceKey
SSDT BA74A1B7 ZwRestoreKey
SSDT BA74A1A8 ZwSetValueKey
SSDT BA74A18F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8BD2380, 0x2F2807, 0xE8000020]
.rsrc C:\WINDOWS\system32\DRIVERS\ipsec.sys entry point in ".rsrc" section [0xB7464414]
page C:\WINDOWS\System32\Drivers\oz776.sys entry point in "page" section [0xB92D7D4A]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\wuauclt.exe[1516] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00C0000A
.text C:\WINDOWS\system32\wuauclt.exe[1516] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C1000A
.text C:\WINDOWS\system32\wuauclt.exe[1516] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00BF000C
.text C:\WINDOWS\System32\svchost.exe[1876] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0098000A
.text C:\WINDOWS\System32\svchost.exe[1876] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0099000A
.text C:\WINDOWS\System32\svchost.exe[1876] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0097000C
.text C:\WINDOWS\System32\svchost.exe[1876] USER32.dll!GetCursorPos 7E36BD76 5 Bytes JMP 0087000A
.text C:\WINDOWS\System32\svchost.exe[1876] ole32.dll!CoCreateInstance 774CFAC3 5 Bytes JMP 0086000A
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] ntdll.dll!NtFlushVirtualMemory 7C91D35E 5 Bytes JMP 00356DCE C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] ntdll.dll!NtMapViewOfSection 7C91D51E 5 Bytes JMP 003572BA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] ntdll.dll!NtReadFile 7C91D9CE 5 Bytes JMP 00355BBB C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] ntdll.dll!NtUnmapViewOfSection 7C91DF0E 5 Bytes JMP 0035737D C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] ntdll.dll!NtWriteFile 7C91DF7E 5 Bytes JMP 0035724D C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!ReadFile 7C80180E 7 Bytes JMP 00355AF1 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 003573E3 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!CreateFileMappingW 7C8093AA 5 Bytes JMP 00356C79 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!CloseHandle 7C809B57 5 Bytes JMP 0035595F C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetDriveTypeW 7C80B2E0 5 Bytes JMP 003561DA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetFileAttributesW 7C80B75C 5 Bytes JMP 003565B6 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!DuplicateHandle 7C80DE0E 7 Bytes JMP 00356AEA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!FindFirstFileExW 7C80EA8D 5 Bytes JMP 0035633F C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!FindClose 7C80EDE7 7 Bytes JMP 00356261 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!FindNextFileW 7C80EF4A 7 Bytes JMP 003562BB C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!CreateFileW 7C810770 5 Bytes JMP 00356035 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetFileSizeEx 7C810A19 5 Bytes JMP 003566AD C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetFileInformationByHandle 7C810C7D 5 Bytes JMP 00356A54 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!WriteFile 7C810D97 7 Bytes JMP 003559B9 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetFileAttributesExW 7C811105 5 Bytes JMP 003564E4 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetLongPathNameW 7C813363 5 Bytes JMP 00356EA5 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetShortPathNameW 7C81F27E 5 Bytes JMP 00356F53 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!MoveFileWithProgressW 7C81F73E 5 Bytes JMP 00356725 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!SetFilePointerEx 7C821067 5 Bytes JMP 00357202 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!CopyFileExW 7C827B42 7 Bytes JMP 00355C61 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!ReadFileEx 7C82BD0B 5 Bytes JMP 00355BDA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!WriteFileGather 7C82DDB5 7 Bytes JMP 0035718A C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!ReadFileScatter 7C82DE61 7 Bytes JMP 00356BE5 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!SetFileAttributesW 7C8314F5 5 Bytes JMP 0035644C C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetOverlappedResult 7C8315E4 5 Bytes JMP 003569D0 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!DeleteFileW 7C831F7B 5 Bytes JMP 00356135 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!SetEndOfFile 7C83208E 5 Bytes JMP 00357001 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!FlushViewOfFile 7C8359B9 5 Bytes JMP 00356D63 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!RemoveDirectoryW 7C836FA3 5 Bytes JMP 00355E5A C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!BackupRead 7C856F6F 5 Bytes JMP 00356E31 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!CreateDirectoryExW 7C85A782 5 Bytes JMP 00355F4C C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!WriteFileEx 7C85C891 5 Bytes JMP 00355A83 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!GetCompressedFileSizeW 7C85D501 5 Bytes JMP 00357108 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] kernel32.dll!CreateHardLinkW 7C86B65C 7 Bytes JMP 00357236 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[3064] USER32.dll!ExitWindowsEx 7E3AA045 5 Bytes JMP 003571E7 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[3172] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B5000A
.text C:\WINDOWS\Explorer.EXE[3172] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BF000A
.text C:\WINDOWS\Explorer.EXE[3172] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B4000C

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Fastfat \Fat B02A2C8A

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)
Device -> \Driver\atapi \Device\Harddisk0\DR0 8893EAC8

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\DRIVERS\ipsec.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

cosinus · 23.04.2010, 14:40

Ok, bitte mal CF anwenden, das sollte die modifizierten Dateien durch Originale ersetzen (wenn nicht machen wir das anders

)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

BTT · 23.04.2010, 14:58

soll ich den CCleaner auch trotzdem noch mal anwenden, obwohl ich ihn schon vor dem ersten posten ausgeführt habe??

cosinus · 23.04.2010, 15:05

Nein, ist nicht unbedingt notwendig.

BTT · 23.04.2010, 15:48

sooo... das lief leider, glaub ich, nicht ganz wie geplant:

zur installierung der wiederherstellungskonsole musste ich natürlich das w-lan anlassen.. während des scans hat combofix auch prompt rootkitaktivitäten festgestellt und den pc neu gestartet... beim neustart springt dann natürlich auch avira automatisch wieder an.. und lief dann für den rest des scans mit

und hat folgende meldung abgegeben:

In der Datei 'C:\Qoobox\32788R22FWJFW\ipsec.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

hoffe, das ganze ist jetzt nicht für die katz gewesen oder hat schlimmeres angerichtet!? Panik...!! :-P

Grüße,

*beate

aber trotzdem mal das combofix log:

ComboFix 10-04-21.01 - BT 23.04.2010 16:21:29.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1565 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\BT\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG8.tmp
c:\windows\system32\pst.dat

Infizierte Kopie von c:\windows\system32\drivers\ipsec.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack

wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS

((((((((((((((((((((((( Dateien erstellt von 2010-03-23 bis 2010-04-23 ))))))))))))))))))))))))))))))
.

2010-04-21 22:21 . 2010-04-21 22:21 -------- d-----w- c:\programme\CCleaner
2010-04-21 17:29 . 2010-04-21 17:29 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\Malwarebytes
2010-04-21 17:29 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-21 17:29 . 2010-04-21 17:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-21 17:29 . 2010-04-21 17:29 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-21 17:29 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-21 16:54 . 2010-04-21 16:54 -------- d-sh--w- c:\dokumente und einstellungen\BT\IECompatCache
2010-04-21 15:40 . 2010-04-21 15:40 -------- d-----w- c:\programme\Trend Micro
2010-04-03 13:59 . 2010-04-03 13:59 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-03-30 13:10 . 2010-03-30 13:10 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-03-30 13:10 . 2010-03-30 13:10 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-03-30 12:59 . 2010-04-22 13:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-30 12:59 . 2010-03-30 13:05 -------- d-----w- c:\programme\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-23 14:34 . 2004-08-13 11:40 85594 ----a-w- c:\windows\system32\perfc007.dat
2010-04-23 14:34 . 2004-08-13 11:40 460908 ----a-w- c:\windows\system32\perfh007.dat
2010-04-23 14:31 . 2009-11-11 21:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai
2010-04-23 14:09 . 2010-02-25 14:43 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\Skype
2010-04-23 14:02 . 2009-08-31 08:21 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\skypePM
2010-04-23 13:54 . 2007-10-25 18:13 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\Wave Systems Corp
2010-04-16 10:24 . 2007-10-27 14:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-15 23:12 . 2007-10-22 18:17 19728 ----a-w- c:\windows\system32\nvModes.dat
2010-04-14 23:01 . 2009-11-12 01:39 799808 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-04-10 19:18 . 2007-10-22 18:49 -------- d-----w- c:\programme\Google
2010-03-30 16:58 . 2007-10-22 18:35 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-03-30 13:31 . 2010-03-30 13:30 601898 ----a-w- c:\windows\system32\g6j8h5.tmp
2010-03-30 13:14 . 2010-03-30 13:13 623439 ----a-w- c:\windows\system32\c8u8kj.tmp
2010-03-30 11:44 . 2010-03-30 11:43 468880 ----a-w- c:\windows\system32\nrik32.tmp
2010-03-30 11:14 . 2010-03-30 11:14 16654 ----a-w- c:\windows\system32\iplsnv.tmp
2010-03-21 15:46 . 2010-03-21 15:46 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\TeamViewer
2010-03-21 11:36 . 2010-03-21 11:36 1 ----a-w- c:\windows\system32\perfc7683.dat
2010-03-10 06:15 . 2004-08-13 11:40 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2004-08-13 11:40 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 12:31 . 2004-08-13 11:40 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:23 . 2004-08-13 11:40 2146304 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:23 . 2004-08-03 23:50 2024448 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-11 10:23 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:45 . 2004-08-13 11:40 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2004-08-13 11:40 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2007-04-15 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-31 8429568]
"nwiz"="nwiz.exe" [2007-05-31 1626112]
"NVHotkey"="nvHotkey.dll" [2007-05-31 67584]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-31 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-05-14 1191936]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-18 303104]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"Document Manager"="c:\programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2007-01-30 102400]
"SecureUpgrade"="c:\programme\Wave Systems Corp\SecureUpgrade.exe" [2007-01-22 212992]
"KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"RoxioDragToDisc"="c:\programme\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"PDVDDXSrv"="c:\programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 118784]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2007-05-24 17920]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-4-18 295606]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
Cisco Systems VPN Client.lnk - c:\programme\Cisco Systems\VPN Client\vpngui.exe [2008-11-14 1537064]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-10-22 50688]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 wvauth

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Dokumente und Einstellungen\\BT\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\CStrike\\hl.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:*

isabled:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:*

isabled:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:*

isabled:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:*

isabled:Adobe Version Cue CS3 Server

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [13.08.2004 13:40 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 20:59 108289]
R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service --> c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service [?]
R2 Wave UCSPlus;Wave UCSPlus;c:\windows\system32\dllhost.exe [13.08.2004 13:40 5120]
R3 DXEC01;DXEC01;c:\windows\system32\drivers\dxec01.sys [02.11.2006 13:32 97536]
S2 gupdate1c9dd74ef138af0;Google Update Service (gupdate1c9dd74ef138af0);c:\programme\Google\Update\GoogleUpdate.exe [25.05.2009 22:11 133104]
S2 TF0801;WIRELESS USB Filter Driver;c:\windows\system32\drivers\TF0801.sys [07.10.2008 13:22 4352]
S3 pohci13F;pohci13F;\??\c:\dokume~1\BT\LOKALE~1\Temp\pohci13F.sys --> c:\dokume~1\BT\LOKALE~1\Temp\pohci13F.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-04-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-25 20:11]

2010-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-25 20:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mSearch Bar = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1071023
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\windows\system32\biolsp.dll
FF - ProfilePath - c:\dokumente und einstellungen\BT\Anwendungsdaten\Mozilla\Firefox\Profiles\juy3wqdv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-23 16:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1348)
c:\windows\system32\wvauth.dll
c:\windows\system32\biolsp.dll

- - - - - - - > 'explorer.exe'(2632)
c:\programme\Gemeinsame Dateien\Autodesk Shared\AcSignCore16.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Roxio\Drag-to-Disc\Shellex.dll
c:\windows\system32\DLAAPI_W.DLL
c:\windows\system32\CDRTC.DLL
c:\programme\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Intel\Wireless\Bin\WLKeeper.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Dell\QuickSet\NICCONFIGSVC.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
c:\programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
c:\windows\system32\msdtc.exe
c:\programme\Apoint\ApMsgFwd.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Apoint\Apntex.exe
c:\programme\Apoint\HidFind.exe
c:\windows\stsystra.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-23 16:40:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-23 14:40

Vor Suchlauf: 14 Verzeichnis(se), 42.787.762.176 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 43.137.802.240 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - B6BAA9B3E03534D343A421C45F850778

BTT · 23.04.2010, 15:55

sehr lustiges programm aber übrigens.. beruhigt einen fortlaufend mit "fast fertig" etc wenn man gerade denkt: jetzt macht er gar nix mehr... =)

cosinus · 24.04.2010, 13:21

Ich liebe Combofix, es hat die modifizierte ipsec.sys gelöscht und eine Originaldatei zurückkopiert

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

http://www.trojaner-board.de/85207-tr-hijacker-gen-c-windows-temp-tmp-svchost-exe.html

Collect::
c:\windows\system32\g6j8h5.tmp
c:\windows\system32\c8u8kj.tmp
c:\windows\system32\nrik32.tmp
c:\windows\system32\iplsnv.tmp
c:\dokume~1\BT\LOKALE~1\Temp\pohci13F.sys

Driver::
pohci13F

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

BTT · 24.04.2010, 18:12

hallo arne,

oohh! das klingt ja schon mal gut!!!!!
ich glaube, ich bin ab jetzt auch ein riesen fan von combofix...

liebe Grüße,

*beate

hier also die neueste log datei:

ComboFix 10-04-21.01 - BT 24.04.2010 18:49:48.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1472 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\BT\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\BT\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

file zipped: c:\windows\system32\c8u8kj.tmp
file zipped: c:\windows\system32\g6j8h5.tmp
file zipped: c:\windows\system32\iplsnv.tmp
file zipped: c:\windows\system32\nrik32.tmp
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\c8u8kj.tmp
c:\windows\system32\g6j8h5.tmp
c:\windows\system32\iplsnv.tmp
c:\windows\system32\nrik32.tmp

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_POHCI13F
-------\Service_pohci13F

((((((((((((((((((((((( Dateien erstellt von 2010-03-24 bis 2010-04-24 ))))))))))))))))))))))))))))))
.

2010-04-21 22:21 . 2010-04-21 22:21 -------- d-----w- c:\programme\CCleaner
2010-04-21 17:29 . 2010-04-21 17:29 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\Malwarebytes
2010-04-21 17:29 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-21 17:29 . 2010-04-21 17:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-21 17:29 . 2010-04-21 17:29 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-21 17:29 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-21 16:54 . 2010-04-21 16:54 -------- d-sh--w- c:\dokumente und einstellungen\BT\IECompatCache
2010-04-21 15:40 . 2010-04-21 15:40 -------- d-----w- c:\programme\Trend Micro
2010-04-03 13:59 . 2010-04-03 13:59 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-03-30 13:10 . 2010-03-30 13:10 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-03-30 13:10 . 2010-03-30 13:10 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-03-30 12:59 . 2010-04-22 13:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-30 12:59 . 2010-03-30 13:05 -------- d-----w- c:\programme\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-24 16:59 . 2009-11-11 21:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai
2010-04-24 16:46 . 2004-08-13 11:40 85594 ----a-w- c:\windows\system32\perfc007.dat
2010-04-24 16:46 . 2004-08-13 11:40 460908 ----a-w- c:\windows\system32\perfh007.dat
2010-04-24 16:46 . 2010-02-25 14:43 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\Skype
2010-04-24 16:42 . 2009-08-31 08:21 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\skypePM
2010-04-23 23:56 . 2007-10-25 18:13 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\Wave Systems Corp
2010-04-16 10:24 . 2007-10-27 14:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-15 23:12 . 2007-10-22 18:17 19728 ----a-w- c:\windows\system32\nvModes.dat
2010-04-14 23:01 . 2009-11-12 01:39 799808 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-04-10 19:18 . 2007-10-22 18:49 -------- d-----w- c:\programme\Google
2010-03-30 16:58 . 2007-10-22 18:35 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-03-21 15:46 . 2010-03-21 15:46 -------- d-----w- c:\dokumente und einstellungen\BT\Anwendungsdaten\TeamViewer
2010-03-21 11:36 . 2010-03-21 11:36 1 ----a-w- c:\windows\system32\perfc7683.dat
2010-03-10 06:15 . 2004-08-13 11:40 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2004-08-13 11:40 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 12:31 . 2004-08-13 11:40 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:23 . 2004-08-13 11:40 2146304 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:23 . 2004-08-03 23:50 2024448 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-11 10:23 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:45 . 2004-08-13 11:40 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2004-08-13 11:40 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2007-04-15 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-31 8429568]
"nwiz"="nwiz.exe" [2007-05-31 1626112]
"NVHotkey"="nvHotkey.dll" [2007-05-31 67584]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-31 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-05-14 1191936]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-18 303104]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"Document Manager"="c:\programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2007-01-30 102400]
"SecureUpgrade"="c:\programme\Wave Systems Corp\SecureUpgrade.exe" [2007-01-22 212992]
"KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"RoxioDragToDisc"="c:\programme\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"PDVDDXSrv"="c:\programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 118784]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2007-05-24 17920]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-4-18 295606]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
Cisco Systems VPN Client.lnk - c:\programme\Cisco Systems\VPN Client\vpngui.exe [2008-11-14 1537064]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-10-22 50688]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 wvauth

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Dokumente und Einstellungen\\BT\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\CStrike\\hl.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:*

isabled:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:*

isabled:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:*

isabled:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:*

isabled:Adobe Version Cue CS3 Server

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [13.08.2004 13:40 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 20:59 108289]
R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service --> c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service [?]
R2 Wave UCSPlus;Wave UCSPlus;c:\windows\system32\dllhost.exe [13.08.2004 13:40 5120]
R3 DXEC01;DXEC01;c:\windows\system32\drivers\dxec01.sys [02.11.2006 13:32 97536]
S2 gupdate1c9dd74ef138af0;Google Update Service (gupdate1c9dd74ef138af0);c:\programme\Google\Update\GoogleUpdate.exe [25.05.2009 22:11 133104]
S2 TF0801;WIRELESS USB Filter Driver;c:\windows\system32\drivers\TF0801.sys [07.10.2008 13:22 4352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-04-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-04-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-25 20:11]

2010-04-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-25 20:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mSearch Bar = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1071023
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\windows\system32\biolsp.dll
FF - ProfilePath - c:\dokumente und einstellungen\BT\Anwendungsdaten\Mozilla\Firefox\Profiles\juy3wqdv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-24 19:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1348)
c:\windows\system32\wvauth.dll
c:\windows\system32\biolsp.dll

- - - - - - - > 'explorer.exe'(3212)
c:\programme\Gemeinsame Dateien\Autodesk Shared\AcSignCore16.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Roxio\Drag-to-Disc\Shellex.dll
c:\windows\system32\DLAAPI_W.DLL
c:\windows\system32\CDRTC.DLL
c:\programme\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Intel\Wireless\Bin\WLKeeper.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Dell\QuickSet\NICCONFIGSVC.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
c:\programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
c:\windows\system32\msdtc.exe
c:\windows\system32\rundll32.exe
c:\programme\Apoint\ApMsgFwd.exe
c:\programme\Apoint\Apntex.exe
c:\programme\Apoint\HidFind.exe
c:\windows\stsystra.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-24 19:08:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-24 17:08
ComboFix2.txt 2010-04-23 14:40

Vor Suchlauf: 15 Verzeichnis(se), 42.949.431.296 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 43.027.013.632 Bytes frei

- - End Of File - - 79AD622EB729878E0E69F72A60BA6B1E

BTT · 24.04.2010, 19:25

Hey nochmal...

Nachdem ich die ganze zeit überhaupt keine virenmeldungen mehr von antivir bekommen habe, hat es eben vollkommen verrückt gespielt und innerhalb von 3 min ganze 23Viren gemeldet... (konnte noch nicht mal alle in Quarantäne schicken, so schnell ging das alles)

hab dann schließlich die w-lan verbindung gekappt und den pc neugestartet.. damit das endlich aufhört...nach dem neustart wars aber bis jetzt ruhig.. gemeldet wurde allerdings von windows:

Fehler beim Laden von uukgdrpr.dll
Das angegebene Modul wurde nicht gefunden

Liebe Grüße,
und bißchen panisch =)
*beate

Mal ein paar beispiele, was antivir so gemeldet hat:

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\Temporary Internet Files\1D.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\Temporary Internet Files\1C.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\Temporary Internet Files\1B.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\Temporary Internet Files\1A.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\Temporary Internet Files\19.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

(außerdem in 16.tmp bis 18.tmp)

In der Datei 'C:\WINDOWS\system32\uukgdrpr.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.315392' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\temp\macrxneswo.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.CFI.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\temp\marocesnxw.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\temp\marnexcwso.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Renos.PDS' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\temp\seawnxcorm.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.TDss.BM.23' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\BT\Lokale Einstellungen\temp\norsmexwca.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

cosinus · 24.04.2010, 19:56

Ups..dann ist da noch mehr. Bitte Logs mit GMER und OSAM erstellen.

BTT · 25.04.2010, 10:34

Hallo Arne,

Mist! Zu früh gefreut!
Also noch mal! Trotzdem aber weiterhin vielen Dank für deine Hilfe.. alleine wär ich echt verloren!

liebe Grüße,
*beate

PS: mein windows will außerdem bei den automatischen Updates das service pack 3 installieren... hab jetzt schon öfter gelesen, dass man das auch unbedingt tun sollte.. aber ist das jetzt auch unbedingt der richtige Zeitpunkt?? oder kann ich da eventuell alles noch mehr durcheinander würfeln???

Gmer (dauert ja ewig der Scan!).. =)

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-25 11:23:43
Windows 5.1.2600 Service Pack 2
Running: blwdltv2.exe; Driver: C:\DOKUME~1\BT\LOKALE~1\Temp\fxtdypow.sys

---- System - GMER 1.0.15 ----

SSDT BA796CFE ZwCreateKey
SSDT BA796CF4 ZwCreateThread
SSDT BA796D03 ZwDeleteKey
SSDT BA796D0D ZwDeleteValueKey
SSDT BA796D12 ZwLoadKey
SSDT BA796CE0 ZwOpenProcess
SSDT BA796CE5 ZwOpenThread
SSDT BA796D1C ZwReplaceKey
SSDT BA796D17 ZwRestoreKey
SSDT BA796D08 ZwSetValueKey
SSDT BA796CEF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8B62380, 0x2F2807, 0xE8000020]
page C:\WINDOWS\System32\Drivers\oz776.sys entry point in "page" section [0xB91D7D4A]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!CreateWindowExW 7E36FC25 5 Bytes JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[908] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!UnhookWindowsHookEx 7E36F21E 5 Bytes JMP 411D466E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!CallNextHookEx 7E36F85B 5 Bytes JMP 4125D101 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!CreateWindowExW 7E36FC25 5 Bytes JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!SetWindowsHookExW 7E37DDB5 5 Bytes JMP 41269A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] ole32.dll!CoCreateInstance 774CFAC3 5 Bytes JMP 4126DB20 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] ole32.dll!OleLoadFromStream 774FA257 5 Bytes JMP 41364AA7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] ws2_32.dll!getaddrinfo 71A12A6F 5 Bytes JMP 7CDBD511 C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] ntdll.dll!NtFlushVirtualMemory 7C91D35E 5 Bytes JMP 10006DCE C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] ntdll.dll!NtMapViewOfSection 7C91D51E 5 Bytes JMP 100072BA C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] ntdll.dll!NtReadFile 7C91D9CE 5 Bytes JMP 10005BBB C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] ntdll.dll!NtUnmapViewOfSection 7C91DF0E 5 Bytes JMP 1000737D C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] ntdll.dll!NtWriteFile 7C91DF7E 5 Bytes JMP 1000724D C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!ReadFile 7C80180E 7 Bytes JMP 10005AF1 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100073E3 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!CreateFileMappingW 7C8093AA 5 Bytes JMP 10006C79 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!CloseHandle 7C809B57 5 Bytes JMP 1000595F C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetDriveTypeW 7C80B2E0 5 Bytes JMP 100061DA C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetFileAttributesW 7C80B75C 5 Bytes JMP 100065B6 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!DuplicateHandle 7C80DE0E 7 Bytes JMP 10006AEA C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!FindFirstFileExW 7C80EA8D 5 Bytes JMP 1000633F C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!FindClose 7C80EDE7 7 Bytes JMP 10006261 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!FindNextFileW 7C80EF4A 7 Bytes JMP 100062BB C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!CreateFileW 7C810770 5 Bytes JMP 10006035 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetFileSizeEx 7C810A19 5 Bytes JMP 100066AD C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetFileInformationByHandle 7C810C7D 5 Bytes JMP 10006A54 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!WriteFile 7C810D97 7 Bytes JMP 100059B9 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetFileAttributesExW 7C811105 5 Bytes JMP 100064E4 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetLongPathNameW 7C813363 5 Bytes JMP 10006EA5 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetShortPathNameW 7C81F27E 5 Bytes JMP 10006F53 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!MoveFileWithProgressW 7C81F73E 5 Bytes JMP 10006725 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!SetFilePointerEx 7C821067 5 Bytes JMP 10007202 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!CopyFileExW 7C827B42 7 Bytes JMP 10005C61 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!ReadFileEx 7C82BD0B 5 Bytes JMP 10005BDA C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!WriteFileGather 7C82DDB5 7 Bytes JMP 1000718A C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!ReadFileScatter 7C82DE61 7 Bytes JMP 10006BE5 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!SetFileAttributesW 7C8314F5 5 Bytes JMP 1000644C C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetOverlappedResult 7C8315E4 5 Bytes JMP 100069D0 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!DeleteFileW 7C831F7B 5 Bytes JMP 10006135 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!SetEndOfFile 7C83208E 5 Bytes JMP 10007001 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!FlushViewOfFile 7C8359B9 5 Bytes JMP 10006D63 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!RemoveDirectoryW 7C836FA3 5 Bytes JMP 10005E5A C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!BackupRead 7C856F6F 5 Bytes JMP 10006E31 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!CreateDirectoryExW 7C85A782 5 Bytes JMP 10005F4C C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!WriteFileEx 7C85C891 5 Bytes JMP 10005A83 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!GetCompressedFileSizeW 7C85D501 5 Bytes JMP 10007108 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] kernel32.dll!CreateHardLinkW 7C86B65C 7 Bytes JMP 10007236 C:\WINDOWS\system32\wxvault.dll
.text C:\Dokumente und Einstellungen\BT\Desktop\blwdltv2.exe[2784] USER32.dll!ExitWindowsEx 7E3AA045 5 Bytes JMP 100071E7 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] ntdll.dll!NtFlushVirtualMemory 7C91D35E 5 Bytes JMP 02B06DCE C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] ntdll.dll!NtMapViewOfSection 7C91D51E 5 Bytes JMP 02B072BA C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] ntdll.dll!NtReadFile 7C91D9CE 5 Bytes JMP 02B05BBB C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] ntdll.dll!NtUnmapViewOfSection 7C91DF0E 5 Bytes JMP 02B0737D C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] ntdll.dll!NtWriteFile 7C91DF7E 5 Bytes JMP 02B0724D C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!ReadFile 7C80180E 7 Bytes JMP 02B05AF1 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 02B073E3 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!CreateFileMappingW 7C8093AA 5 Bytes JMP 02B06C79 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!CloseHandle 7C809B57 5 Bytes JMP 02B0595F C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetDriveTypeW 7C80B2E0 5 Bytes JMP 02B061DA C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetFileAttributesW 7C80B75C 5 Bytes JMP 02B065B6 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!DuplicateHandle 7C80DE0E 7 Bytes JMP 02B06AEA C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!FindFirstFileExW 7C80EA8D 5 Bytes JMP 02B0633F C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!FindClose 7C80EDE7 7 Bytes JMP 02B06261 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!FindNextFileW 7C80EF4A 7 Bytes JMP 02B062BB C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!CreateFileW 7C810770 5 Bytes JMP 02B06035 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetFileSizeEx 7C810A19 5 Bytes JMP 02B066AD C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetFileInformationByHandle 7C810C7D 5 Bytes JMP 02B06A54 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!WriteFile 7C810D97 7 Bytes JMP 02B059B9 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetFileAttributesExW 7C811105 5 Bytes JMP 02B064E4 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetLongPathNameW 7C813363 5 Bytes JMP 02B06EA5 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetShortPathNameW 7C81F27E 5 Bytes JMP 02B06F53 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!MoveFileWithProgressW 7C81F73E 5 Bytes JMP 02B06725 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!SetFilePointerEx 7C821067 5 Bytes JMP 02B07202 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!CopyFileExW 7C827B42 7 Bytes JMP 02B05C61 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!ReadFileEx 7C82BD0B 5 Bytes JMP 02B05BDA C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!WriteFileGather 7C82DDB5 7 Bytes JMP 02B0718A C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!ReadFileScatter 7C82DE61 7 Bytes JMP 02B06BE5 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!SetFileAttributesW 7C8314F5 5 Bytes JMP 02B0644C C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetOverlappedResult 7C8315E4 5 Bytes JMP 02B069D0 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!DeleteFileW 7C831F7B 5 Bytes JMP 02B06135 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!SetEndOfFile 7C83208E 5 Bytes JMP 02B07001 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!FlushViewOfFile 7C8359B9 5 Bytes JMP 02B06D63 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!RemoveDirectoryW 7C836FA3 5 Bytes JMP 02B05E5A C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!BackupRead 7C856F6F 5 Bytes JMP 02B06E31 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!CreateDirectoryExW 7C85A782 5 Bytes JMP 02B05F4C C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!WriteFileEx 7C85C891 5 Bytes JMP 02B05A83 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!GetCompressedFileSizeW 7C85D501 5 Bytes JMP 02B07108 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] kernel32.dll!CreateHardLinkW 7C86B65C 7 Bytes JMP 02B07236 C:\WINDOWS\system32\wxvault.dll
.text C:\WINDOWS\Explorer.EXE[2800] USER32.dll!ExitWindowsEx 7E3AA045 5 Bytes JMP 02B071E7 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] ntdll.dll!NtFlushVirtualMemory 7C91D35E 5 Bytes JMP 00336DCE C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] ntdll.dll!NtMapViewOfSection 7C91D51E 5 Bytes JMP 003372BA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] ntdll.dll!NtReadFile 7C91D9CE 5 Bytes JMP 00335BBB C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] ntdll.dll!NtUnmapViewOfSection 7C91DF0E 5 Bytes JMP 0033737D C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] ntdll.dll!NtWriteFile 7C91DF7E 5 Bytes JMP 0033724D C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!ReadFile 7C80180E 7 Bytes JMP 00335AF1 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 003373E3 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!CreateFileMappingW 7C8093AA 5 Bytes JMP 00336C79 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!CloseHandle 7C809B57 5 Bytes JMP 0033595F C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetDriveTypeW 7C80B2E0 5 Bytes JMP 003361DA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetFileAttributesW 7C80B75C 5 Bytes JMP 003365B6 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!DuplicateHandle 7C80DE0E 7 Bytes JMP 00336AEA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!FindFirstFileExW 7C80EA8D 5 Bytes JMP 0033633F C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!FindClose 7C80EDE7 7 Bytes JMP 00336261 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!FindNextFileW 7C80EF4A 7 Bytes JMP 003362BB C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!CreateFileW 7C810770 5 Bytes JMP 00336035 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetFileSizeEx 7C810A19 5 Bytes JMP 003366AD C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetFileInformationByHandle 7C810C7D 5 Bytes JMP 00336A54 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!WriteFile 7C810D97 7 Bytes JMP 003359B9 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetFileAttributesExW 7C811105 5 Bytes JMP 003364E4 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetLongPathNameW 7C813363 5 Bytes JMP 00336EA5 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetShortPathNameW 7C81F27E 5 Bytes JMP 00336F53 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!MoveFileWithProgressW 7C81F73E 5 Bytes JMP 00336725 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!SetFilePointerEx 7C821067 5 Bytes JMP 00337202 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!CopyFileExW 7C827B42 7 Bytes JMP 00335C61 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!ReadFileEx 7C82BD0B 5 Bytes JMP 00335BDA C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!WriteFileGather 7C82DDB5 7 Bytes JMP 0033718A C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!ReadFileScatter 7C82DE61 7 Bytes JMP 00336BE5 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!SetFileAttributesW 7C8314F5 5 Bytes JMP 0033644C C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetOverlappedResult 7C8315E4 5 Bytes JMP 003369D0 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!DeleteFileW 7C831F7B 5 Bytes JMP 00336135 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!SetEndOfFile 7C83208E 5 Bytes JMP 00337001 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!FlushViewOfFile 7C8359B9 5 Bytes JMP 00336D63 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!RemoveDirectoryW 7C836FA3 5 Bytes JMP 00335E5A C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!BackupRead 7C856F6F 5 Bytes JMP 00336E31 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!CreateDirectoryExW 7C85A782 5 Bytes JMP 00335F4C C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!WriteFileEx 7C85C891 5 Bytes JMP 00335A83 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!GetCompressedFileSizeW 7C85D501 5 Bytes JMP 00337108 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] kernel32.dll!CreateHardLinkW 7C86B65C 7 Bytes JMP 00337236 C:\WINDOWS\system32\wxvault.dll
.text C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe[4088] USER32.dll!ExitWindowsEx 7E3AA045 5 Bytes JMP 003371E7 C:\WINDOWS\system32\wxvault.dll

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\Internet Explorer\IEXPLORE.EXE[2544] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Fastfat \Fat B24B5C8A

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- EOF - GMER 1.0.15 ----

Osam

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 01:23:04 on 25.04.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries

[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ASFConfig.cpl" - "Broadcom Corporation" - C:\WINDOWS\system32\ASFConfig.cpl
"BACSCPL.cpl" - ? - C:\WINDOWS\system32\BACSCPL.cpl
"DMdm32.cpl" - ? - C:\WINDOWS\system32\DMdm32.cpl
"DxCpl.cpl" - "Knowles Acoustics" - C:\WINDOWS\system32\DxCpl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"NicConfigSvc.cpl" - "Dell Inc." - C:\WINDOWS\system32\NicConfigSvc.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"stacgui.cpl" - "SigmaTel, Inc." - C:\WINDOWS\system32\stacgui.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.6.0.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"APPDRV" (APPDRV) - "Dell Inc" - C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"BASFND" (BASFND) - "Broadcom Corporation" - C:\Programme\Broadcom\ASFIPMon\BASFND.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"Cisco Systems IPsec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"DLABMFSM" (DLABMFSM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABMFSM.SYS
"DLABOIOM" (DLABOIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABOIOM.SYS
"DLACDBHM" (DLACDBHM) - "Roxio" - C:\WINDOWS\System32\Drivers\DLACDBHM.SYS
"DLADResM" (DLADResM) - "Roxio" - C:\WINDOWS\System32\DLA\DLADResM.SYS
"DLAIFS_M" (DLAIFS_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAIFS_M.SYS
"DLAOPIOM" (DLAOPIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAOPIOM.SYS
"DLAPoolM" (DLAPoolM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAPoolM.SYS
"DLARTL_M" (DLARTL_M) - "Roxio" - C:\WINDOWS\System32\Drivers\DLARTL_M.SYS
"DLAUDFAM" (DLAUDFAM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDFAM.SYS
"DLAUDF_M" (DLAUDF_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDF_M.SYS
"DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVMCDB.SYS
"DRVNDDM" (DRVNDDM) - "Roxio" - C:\WINDOWS\System32\Drivers\DRVNDDM.SYS
"DXEC01" (DXEC01) - "Knowles Acoustics" - C:\WINDOWS\System32\drivers\dxec01.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"PBADRV" (PBADRV) - "Dell Inc" - C:\WINDOWS\System32\DRIVERS\PBADRV.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"vsdatant" (vsdatant) - "Zone Labs LLC" - C:\WINDOWS\system32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)
"WIRELESS USB Filter Driver" (TF0801) - ? - C:\WINDOWS\System32\DRIVERS\TF0801.sys (File found, but it contains no detailed information)
"WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{9F2C5BFD-3CB1-419F-9F5F-90B32ADD5BA8} "AdpShellExt Class" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Shell\AdpWShellExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{4B392032-A759-43ED-9469-377C80A4472D} "AcDgnImageExtractor" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcDgnCOM18.dll
{5800AD5B-72C1-477B-9A08-CA112DF06D97} "AcInfoTipHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk, Inc." - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Roxio" - C:\Programme\Roxio\Drag-to-Disc\Shellex.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{C45B1500-7B63-47C2-AB25-C28CB46AFDEE} "Music Manager" - "LoudEye" - C:\WINDOWS\Downloaded Program Files\MusicManagerPlugin.ocx / hxxp://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "ClsidExtension" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{00442EC8-157D-4596-8102-C01D4FDAFB02} "adHlpr Object" - ? - C:\WINDOWS\system32\hrpzypds.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{5B05EAD5-831C-8AA9-3141-47E428312C83} "hotrevenue browser enhancer" - ? - C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Wave Systems Corp." - C:\WINDOWS\system32\wvauth.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Acrobat - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe (Shortcut exists | File exists)
"Adobe Reader Synchronizer.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe (Shortcut exists | File exists)
"Cisco Systems VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Digital Line Detect.lnk" - "Avanquest Software " - C:\Programme\Digital Line Detect\DLG.exe (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\BT\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 8.0" - "Adobe Systems Inc." - "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe_ID0EYTHM" - "Adobe Systems Incorporated" - C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Dell QuickSet" - "Dell Inc" - C:\Programme\Dell\QuickSet\quickset.exe
"Document Manager" - ? - C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe
"ECenter" - " " - C:\Dell\E-Center\EULALauncher.exe
"IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
"IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"ISUSPM Startup" - "InstallShield Software Corporation" - C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler" - "InstallShield Software Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"jeqnrusotet" - ? - C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll"
"KADxMain" - "Knowles Acoustics" - C:\WINDOWS\system32\KADxMain.exe
"NVHotkey" - "NVIDIA Corporation" - rundll32.exe nvHotkey.dll,Start
"nwiz" - "NVIDIA Corporation" - nwiz.exe /installquiet
"PDVDDXSrv" - "CyberLink Corp." - "C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"RoxioDragToDisc" - "Roxio" - "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
"SecureUpgrade" - "Wave Systems Corp." - C:\Programme\Wave Systems Corp\SecureUpgrade.exe
"SigmatelSysTrayApp" - "SigmaTel, Inc." - stsystra.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe Version Cue CS3 {de_DE} " (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
"Akamai NetSession Interface" (Akamai) - ? - c:\programme\gemeinsame dateien\akamai\rswin_3653.dll (File found, but it contains no detailed information)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Autodesk Network Licensing Service" (Autodesk Network Licensing Service) - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskNetSrv.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Broadcom ASF IP and SMBIOS Mailbox Monitor" (ASFIPmon) - "Broadcom Corporation" - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate1c9dd74ef138af0)" (gupdate1c9dd74ef138af0) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"Intel(R) PROSet/Wireless SSO Service" (WLANKEEPER) - "Intel(R) Corporation" - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"NICCONFIGSVC" (NICCONFIGSVC) - "Dell Inc." - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
"NTRU TSS v1.2.1.12 TCS" (tcsd_win32.exe) - ? - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe (File found, but it contains no detailed information)
"SecureStorageService" (SecureStorageService) - "Wave Systems Corp." - C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe
"SigmaTel Audio Service" (STacSV) - "SigmaTel, Inc." - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"Wave Systems Kerberos LSP" - "Wave Systems Corp." - C:\WINDOWS\system32\biolsp.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

cosinus · 25.04.2010, 14:04

Code:

ATTFilter

{00442EC8-157D-4596-8102-C01D4FDAFB02} "adHlpr Object" - ? - C:\WINDOWS\system32\hrpzypds.dll
{5B05EAD5-831C-8AA9-3141-47E428312C83} "hotrevenue browser enhancer" - ? - C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll

"jeqnrusotet" - ? - C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll"

Bitte mit OSAM deaktivieren (siehe Anleitung zu OSAM). Poste danach ein neues Log von OSAM

BTT · 25.04.2010, 18:23

hallo arne,

bei der beschreibung zur deaktivierung mit osam stand noch etwas von report speichern und posten (glaub ja kaum, dass damit das hier gemeint war.. aber schaden kanns ja nicht - zur sicherheit hab ich auch das logfile vor dem neustart gespeichert.. falls du es also brauchen solltest... sag bescheid) =)

(Success) HKLM\Software\Microsoft\Windows\CurrentVersion\Run jeqnrusotet C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll
(Success) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00442EC8-157D-4596-8102-C01D4FDAFB02} adHlpr Object C:\WINDOWS\system32\hrpzypds.dll
(Success) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5B05EAD5-831C-8AA9-3141-47E428312C83} hotrevenue browser enhancer C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll

zwei der dateien

adHlpr Object in C:\WINDOWS\system32\hrpzypds.dll
hotrevenue browser enhancer in C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll

haben sich aber anscheinend direkt wieder neu eingeschlichen.. sind nämlich in dem neuen log wieder/immer noch da!
Oder vielmehr:
Nach dem ersten Neustart (wenn man die deaktivierten dateien mit "delete from storage" löschen soll) habe ich bereits gesehen, dass die datei plötzlich zwei mal aufgelistet wird (einmal mit haken und einmal ohne)... und prompt hat auch hotrevenue von alleine ein Internet Explorer Fenster geöffnet.. scheint also noch aktiv zu sein!?

Zur Sicherheit hab ich auch noch mal schnell im alten Log nachgeschaut, ob ich einfach nur zu blöd war, zu sehen, dass es mehrere gleiche Einträge gab.. konnte aber nichts finden... =)

Liebe Grüße,

*beate

nach dem zweiten neustart sah das logfile dann folgendermaßen aus:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 19:06:21 on 25.04.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries

[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ASFConfig.cpl" - "Broadcom Corporation" - C:\WINDOWS\system32\ASFConfig.cpl
"BACSCPL.cpl" - ? - C:\WINDOWS\system32\BACSCPL.cpl
"DMdm32.cpl" - ? - C:\WINDOWS\system32\DMdm32.cpl
"DxCpl.cpl" - "Knowles Acoustics" - C:\WINDOWS\system32\DxCpl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"NicConfigSvc.cpl" - "Dell Inc." - C:\WINDOWS\system32\NicConfigSvc.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"stacgui.cpl" - "SigmaTel, Inc." - C:\WINDOWS\system32\stacgui.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.6.0.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"APPDRV" (APPDRV) - "Dell Inc" - C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"BASFND" (BASFND) - "Broadcom Corporation" - C:\Programme\Broadcom\ASFIPMon\BASFND.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"Cisco Systems IPsec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"DLABMFSM" (DLABMFSM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABMFSM.SYS
"DLABOIOM" (DLABOIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABOIOM.SYS
"DLACDBHM" (DLACDBHM) - "Roxio" - C:\WINDOWS\System32\Drivers\DLACDBHM.SYS
"DLADResM" (DLADResM) - "Roxio" - C:\WINDOWS\System32\DLA\DLADResM.SYS
"DLAIFS_M" (DLAIFS_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAIFS_M.SYS
"DLAOPIOM" (DLAOPIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAOPIOM.SYS
"DLAPoolM" (DLAPoolM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAPoolM.SYS
"DLARTL_M" (DLARTL_M) - "Roxio" - C:\WINDOWS\System32\Drivers\DLARTL_M.SYS
"DLAUDFAM" (DLAUDFAM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDFAM.SYS
"DLAUDF_M" (DLAUDF_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDF_M.SYS
"DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVMCDB.SYS
"DRVNDDM" (DRVNDDM) - "Roxio" - C:\WINDOWS\System32\Drivers\DRVNDDM.SYS
"DXEC01" (DXEC01) - "Knowles Acoustics" - C:\WINDOWS\System32\drivers\dxec01.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"PBADRV" (PBADRV) - "Dell Inc" - C:\WINDOWS\System32\DRIVERS\PBADRV.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"vsdatant" (vsdatant) - "Zone Labs LLC" - C:\WINDOWS\system32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)
"WIRELESS USB Filter Driver" (TF0801) - ? - C:\WINDOWS\System32\DRIVERS\TF0801.sys (File found, but it contains no detailed information)
"WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{9F2C5BFD-3CB1-419F-9F5F-90B32ADD5BA8} "AdpShellExt Class" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Shell\AdpWShellExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{4B392032-A759-43ED-9469-377C80A4472D} "AcDgnImageExtractor" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcDgnCOM18.dll
{5800AD5B-72C1-477B-9A08-CA112DF06D97} "AcInfoTipHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk, Inc." - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Roxio" - C:\Programme\Roxio\Drag-to-Disc\Shellex.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{C45B1500-7B63-47C2-AB25-C28CB46AFDEE} "Music Manager" - "LoudEye" - C:\WINDOWS\Downloaded Program Files\MusicManagerPlugin.ocx / hxxp://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "ClsidExtension" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{00442EC8-157D-4596-8102-C01D4FDAFB02} "adHlpr Object" - ? - C:\WINDOWS\system32\hrpzypds.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{5B05EAD5-831C-8AA9-3141-47E428312C83} "hotrevenue browser enhancer" - ? - C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Wave Systems Corp." - C:\WINDOWS\system32\wvauth.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Acrobat - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe (Shortcut exists | File exists)
"Adobe Reader Synchronizer.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe (Shortcut exists | File exists)
"Cisco Systems VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Digital Line Detect.lnk" - "Avanquest Software " - C:\Programme\Digital Line Detect\DLG.exe (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\BT\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 8.0" - "Adobe Systems Inc." - "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe_ID0EYTHM" - "Adobe Systems Incorporated" - C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Dell QuickSet" - "Dell Inc" - C:\Programme\Dell\QuickSet\quickset.exe
"Document Manager" - ? - C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe
"ECenter" - " " - C:\Dell\E-Center\EULALauncher.exe
"IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
"IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"ISUSPM Startup" - "InstallShield Software Corporation" - C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler" - "InstallShield Software Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"jeqnrusotet" - ? - C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\tlcgrqddwsjaaycvh.dll"
"KADxMain" - "Knowles Acoustics" - C:\WINDOWS\system32\KADxMain.exe
"NVHotkey" - "NVIDIA Corporation" - rundll32.exe nvHotkey.dll,Start
"nwiz" - "NVIDIA Corporation" - nwiz.exe /installquiet
"PDVDDXSrv" - "CyberLink Corp." - "C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"RoxioDragToDisc" - "Roxio" - "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
"SecureUpgrade" - "Wave Systems Corp." - C:\Programme\Wave Systems Corp\SecureUpgrade.exe
"SigmatelSysTrayApp" - "SigmaTel, Inc." - stsystra.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe Version Cue CS3 {de_DE} " (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
"Akamai NetSession Interface" (Akamai) - ? - c:\programme\gemeinsame dateien\akamai\rswin_3653.dll (File found, but it contains no detailed information)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Autodesk Network Licensing Service" (Autodesk Network Licensing Service) - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskNetSrv.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Broadcom ASF IP and SMBIOS Mailbox Monitor" (ASFIPmon) - "Broadcom Corporation" - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate1c9dd74ef138af0)" (gupdate1c9dd74ef138af0) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"Intel(R) PROSet/Wireless SSO Service" (WLANKEEPER) - "Intel(R) Corporation" - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"NICCONFIGSVC" (NICCONFIGSVC) - "Dell Inc." - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
"NTRU TSS v1.2.1.12 TCS" (tcsd_win32.exe) - ? - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe (File found, but it contains no detailed information)
"SecureStorageService" (SecureStorageService) - "Wave Systems Corp." - C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe
"SigmaTel Audio Service" (STacSV) - "SigmaTel, Inc." - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"Wave Systems Kerberos LSP" - "Wave Systems Corp." - C:\WINDOWS\system32\biolsp.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

hier also das neue osam log:

22.04.2010, 20:34	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$TR/Hijacker.gen in C:\WINDOWS\Temp\**.tmp\svchost.exe - Standard$ TR/Hijacker.gen in C:\WINDOWS\Temp\**.tmp\svchost.exe Hallo und das deutet auf Rootkitaktivitäten hin, erstelle bitte Logs mit GMER und OSAM und poste sie. __________________ __________________

23.04.2010, 15:05	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$TR/Hijacker.gen in C:\WINDOWS\Temp\**.tmp\svchost.exe - Standard$ TR/Hijacker.gen in C:\WINDOWS\Temp\.tmp\svchost.exe Nein, ist nicht unbedingt notwendig. __________________ --> TR/Hijacker.gen in C:\WINDOWS\Temp\**.tmp\svchost.exe

24.04.2010, 19:56	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$TR/Hijacker.gen in C:\WINDOWS\Temp\**.tmp\svchost.exe - Standard$ TR/Hijacker.gen in C:\WINDOWS\Temp\.tmp\svchost.exe Ups..dann ist da noch mehr. Bitte Logs mit GMER und OSAM erstellen. __________________ Logfiles bitte immer in CODE-Tags posten**

TR/Hijacker.gen in C:\WINDOWS\Temp\****.tmp\svchost.exe

Plagegeister aller Art und deren Bekämpfung: TR/Hijacker.gen in C:\WINDOWS\Temp\****.tmp\svchost.exe